Jedes Monat wird hier in diesem Bereich ein Thema ein neuer Schwerpunkt gesetzt. Dieses Monat habe ich mich für einen sehr wichtigen Sicherheitsfaktor entschlossen: Die Passwörter.
Themenschwerpunkt September 2005: Passwörter - Ihre Bedeutung und Schutzfunktion
Wie sicher sind meine Passwörter und was versuchen Hacker um an meine Passwörter zu kommen?
Folgende Themen werden behandelt
- Die Arten des Schutzes von der Seite des Benutzers
- Die Arten des Schutzes für Administratoren
- Wo muss ich aufpassen? Wie erkenne ich eine sicher Seite?
- Wie funktionieren Verschlüsselungen?
- Was ist ein BruteForce und Wörterbuchangriff?
- technischer Hintergrund
Passwörter sind wichtig zur eindeutigen Authorisierung von Benutzern und zum Schutz von Ihren Daten. In den Zeiten von Netbanking und Vermehrter Speicherung von Daten im Internet wird es für Hack immer interressanter an Passwörtern von Benutzern zu kommen. Die Sicherheit von einem Passwort hängt immer von zwei Komponenten ab: Von der Sicherheit des Serververwalters bzw. des Dienstanbeiters und vom Benutzer selbst ab. Jeder Schutz ist sinnlos, wenn ein Passwort wie 12345 verwendet wird.
Welches Passwort ist optimal?
Der Benutzer hat mehrere Möglichkeiten sich vor einem "Passwortklau" zu schützen. Das wichtigste ist, dass ein Passwort verwendet wird, dass möglichst viele Zahlen und Zeichen verwendet (am besten mit Sonderzeichen). Nicht immer ist es einfach eine Kombination wie "jaJE2d7"had@" zu merken. Es gibt aber mehrere Möglichkeiten sich ein Passwort zu merken, dass schwer zu knacken ist. Viele Leute schreiben sich die Passwörter auf einen Zettel und kleben ihn auf den Bildschirm oder legen ihn unter die Arbeitsmappe. Das ist das schlechteste, leider kommt das in Büros öfters vor, was natürlich gerade dort schwere folgen haben kann. Die PCWelt hat einmal einen sehr guten Tipp gegeben, der einem hilft Passwörter sich leicht zu merken. Man denkt sich einen Satz aus, der nicht alltäglich ist (z.b: Die sieben Zwerge gehen über eine Brücke). Von diesem Satz nimmt man die ersten Buchstaben und man erhält ein gutes Passwort. In unserem Fall wäre das Passwort "D7ZgüeB". Diese Passwort sieht schwer aus, aber mit dem kleinen Trick leicht zu merken.
Wie kann ich als Betreiber eines Dienstes mein Passwort und das meiner Konsumenten schützen?
Das wichtigste ist, dass auf jeden Fall alle Administratoren ein schwer zu knackendes Passwort benutzt. Damit verhindert man schon vieles. Der Websapce und die Datenbank (falls vorhanden) sollte immer ein anderes Passwort besitzen als der AdministratorenAccount. Wichtig für die Programmierung ist, dass die Passwörter immer verschlüsselt gespeichert werden. Leider versuchen einige Betreiber an Passwörter zu kommen, indem sie diese unverschlüsselt in die Datenbank schreiben und dort auslesen.
md5() und BruteForce
Die gängigste Möglichkeit ist die Passwörter per PHP mit md5() zu verschlüsseln. md5() ist eine Funktion, welche das Passwort mit einer Einwegverschlüsselung codiert, aber nicht mehr decodieren kann. Beim Login wird dann die Passworteingabe mit der md5() Funktion verschlüsselt und mit dem bereits verschlüsseltem Wert in der Datenbank vergleicht. Die MD5() Verschlüsselung ist nur noch mit Spezialprogrammen knackbar. Diese versuchen mit zufälligen Zeichenkombinationen (String) das Passwort durchzuprobieren. Diese Angriffart nennt sich BruteForce (rohe Gewalt). Diese Angriffsart dauert bei einem schweren Passwort bis zu 100 Millionen Jahre!!! Daher verwenden viele Hacker einen sogenannte Wordlist. Diese beinhaltet alle möglichen Wörter, die oft als Passwort vorkommen. Diese Art des BruteForce Angriff leifert ein viel besseres Resultat und wird daher oft verwendet. Als Benutzer sollte man darauf achten, dass das eigene Passwort nicht auf einer solchen Wordlist oben steht.
weiterführende Links:
» Wikipedia zum Thema Passwörter
» Die sichere Passwortwahl
» BruteForce Methode
Interne Querverweise
» Allgemeine Diskussion