Grundlagen: PasswörterInformation zu Pegasus Mail basiert auf dem EDV-Info-Artikel "Grundlagen: Passwoerter (v1)" aus dem Jahr 1999.Dieser Artikel bietet einen grundsätzlichen Überblick ueber Aufgaben und Technik von Passwörtern bzw. Passwortschutz in der EDV.
Passworte bilden heutzutage die Grundlage der Authentisierung von Benutzern gegenueber Computersystemen. Neben der Überpruefung der Rechtmässigkeit eines Logins (z.B. unter Netware oder unter Unix bei "telnet" oder "ftp") werden Passworte auch zur Verschlüsselung von Daten eingesetzt. Die Wahl eines Passworts Der Wahl eines Passwortes sollte einige Aufmerksamkeit gewidmet werden. Mit der Geheimhaltung bzw. dem Bekanntwerden Ihres Passwortes steht und faellt die Sicherheit Ihrer Daten. Zum Raten von Passwoertern durch Angreifer werden von diesen etwa grosse Wortlisten benutzt. Die darin enthaltenen Worte stammen aus diversen Woerterbuechern, Sammlungen von Namen, Abkuerzungen etc. Ein Passwort, das also von einem Wort aus einem Sprachschatz (auch aus anderen Sprachen), einem Namen, einer Abkuerzung oder einer Tastaturfolge (wie z.B. "qwerty" bzw. "qwertz" auf deutschen Tastaturen) abstammt, ist als Passwort ungeeignet. Auch Modifikationen von solchen Worten sind als Passworte nicht zu empfehlen. Da dem Benutzer eines Rechnersystems bei der Wahl eines Passwortes grosse Verantwortung uebertragen wird, ist eine umfassende Aufklärung der Benutzer zu diesem Thema wichtig. Bei der Auswahl eines Passwortes sollte also darauf geachtet werden, daß es sich dabei nicht um ein Passwort handelt, das leicht erratbar ist. Problematisch sind dabei alle Passworte, die von einem Angreifer leicht ausprobiert werden koennen, wie folgende Beispiele deutlich machen. - Worte aus dem Sprachschatz (diverse Wörterbücher) - Worte aus anderen Sprachen (ebenfalls diverse Wörterbücher) - Alle Arten von Namen (Personen, Städte, Gebaeude, Comic-Figuren, u.a.), insbesondere Namen von Mann/Frau, Freund/Freundin, Sohn oder Tochter etc. - Rechnernamen, Benutzerkennungen - Geburtsdaten, Telefonnummern - Abkürzungen - Tastaturfolgen (z.B. "qwertz" oder "asdfgh") - Anfangsbuchstaben von bekannten Sprichworten, Liedern, etc. (z. B. amesads = "Alle meine Entchen schwimmen auf dem See", wrssdnuw = "Wer reitet so spät durch Nacht und Wind", fdhdgg, ...) - u.ä. Einfache Modifikationen verbessern die Situation, sind aber bei hohen Sicherheitsanforderungen auch nicht besonders empfehlenswert. - Anhängen oder Voranstellen einer Zahl (peter09, 7peter, ...) - Rückwärtsschreibung (retep, reteP, ...) - Anhängen oder Voranstellen eines beliebigen Zeichens (peter$, %peter, ...) - Bewußtes Falschschreiben von Worten (Mauss, Entte, Votograv, ...) - u.ä. Obwohl die Aufklärung der Benutzer an erster Stelle stehen sollte, kann es sinnvoll sein, die Auswahl der möglichen Passworte durch weitere technische Massnahmen einzuschraenken. Laenge eines Passworts Das gewaehlte Passwort sollte nicht zu kurz ausfallen. Es wird jedem einleuchten, dass ein sehr kurzes Passwort - "a" etwa - nicht allzu sicher ist. Einige Betriebssysteme (Beispiel Netware) bieten die Moeglichkeit, eine Mindestlaenge zu fordern. Eine Minimum von fuenf Buchstaben sollte von den Benutzern bei der Wahl ihrer Passwoerter schon verlangt werden. Die Lebensdauer eines Passworts Wird ein Passwort ueber laengere Zeit verwendet, so steigt damit auch die Wahrscheinlichkeit, dass das Paßwort (oder Teile davon) anderen Benutzern bekannt wird (z.B. durch ein "ueber die Schulter gucken" bei der Eingabe des Passwortes). Die Notwendigkeit der gelegentlichen bzw. regelmaessigen Passwort-Aenderung sollte dem Benutzer deutlich gemacht werden. Moderne Betriebssysteme (wie z.B. Novell Netware) bieten die Moeglichkeit, den Benutzer nach einer vorgebbaren Zeit automatisch zu der Wahl eines neuen Passwortes aufzufordern. Diese Moeglichkeit die Gueltigkeit eines Passwortes auf eine bestimmte Zeit einzuschraenken, ist auch unter dem Begriff "Aging" bekannt. Dem Administrator sollte allerdings bewusst sein, dass dieser Mechanismus oft nur eine Aufforderung zum Passwortwechsel darstellt. In der Regel wird nicht ueberprueft, ob das Passwort wirklich geaendert wurde oder ob der Benutzer kurze Zeit spaeter wieder sein altes Passwort waehlt. Der wichtigste Schritt bei der Aktivierung des Aging-Verfahrens ist also (wieder mal) die Aufklaerung der Benutzer. Ein weiteres Problem stellt die Wahl der maximalen Gueltigkeitsdauer eines Passwortes dar. Waehrend zu kurze Intervalle dazu fuehren koennen, dass sich die Benutzer ein Schema zur Generierung neuer Passworte ueberlegen (etwa die Verwendung der Monatsnummer bei einem monatlichen Wechsel), koennen zu lange Intervalle den Nutzen des Aging nachhaltig beeinflussen. In diesem Zusammenhang hat es sich als zweckmaessig erwiesen, Passworte mindestens jedes halbe Jahr zu wechseln. Fallbeispiel: Sicherheit von Passworten unter Unix Bei der Verwendung von Passworten zur Authentisierung unter Unix-Systemen koennen - bedingt durch die Art der Implementierung - gewisse Sicherheitsprobleme auftreten. Speicherung der Passworte Unix-Betriebssysteme verschluesseln die Passworte mit einem Verfahren, das nicht rueckgaengig gemacht werden kann. Das so erhaltene verschluesselte Passwort wird in einer Datei gespeichert. Wenn ein Benutzer sich dem System gegenueber legitimieren will, so gibt er sein Passwort ein, welches ebenfalls verschluesselt wird. Dieses verschluesselte Login-Passwort wird mit dem gespeicherten Eintrag verglichen und bei einer Uebereinstimmung ein Zugang zum System gewaehrt. Obwohl sich die Verschluesselung der Passwoerter nicht rueckgaengig machen laesst (d.h. aus dem verschluesselt abgespeicherten Passwort kann nicht das Klartext-Passwort gewonnen werden), sollte der Zugang zu diesen Informationen weiter geschuetzt sein. Andernfalls koennen mit Hilfe dieser verschluesselten Eintraege Passworte ausprobiert werden. Laenge der Passworte Bei den meisten Unix-Derivaten ist die Laenge eines Passwortes auf 8 Zeichen beschraenkt. Sollte ein kurzes Passwort gewaehlt werden, so kann dieses eventuell durch vollstaendige Suche (d.h. automatisiertes Ausprobieren aller moeglichen Kombinationen) erraten werden. Ein Passwort sollte daher mindestes 7 Zeichen lang sein und den moeglichen Zeichenvorrat nutzen. Es sollte moeglichst immer aus einer Kombination von Klein-, Grossbuchstaben, Ziffern und Sonderzeichen sein. Speicherung der (verschluesselten) Passworte Waehrend viele Informationen der Passwort-Datei /etc/passwd fuer alle Benutzer lesbar sein muessen (um z.B. eine Zuordnung von numerischen Benutzer-IDs zu Benutzernamen durchfuehren zu koennen), muss ein Zugriff auf die Paßworte normalerweise nur fuer Systemprogramme, die unter "root"-Privilegien laufen, moeglich sein. Um dieses Konzept zu realisieren, wird die Passwortdatei in zwei verschiedene Dateien aufgeteilt. Waehrend die eine Datei mit allgemeinen Informationen fuer alle Benutzer lesbar ist, ist der Zugriff auf die Datei mit den Passworten nur fuer spezielle Benutzer oder Gruppen moeglich. Dieses Verfahren wird allgemein mit "shadow passwords" bezeichnet und ist in jedem neueren Betriebssystem als Basispaket enthalten. Leider ist diese Moeglichkeit nach einer Erstinstallation nicht bei allen Herstellern automatisch aktiviert. Da die genaue Konfiguration von shadow-Passworten je nach Hersteller sehr unterschiedlich ist, muessen wir hier auf die mitgelieferte Dokumentation Ihres Betriebssystems verweisen. Oft finden sich die Hinweise zu diesem Setup unter anderen Rubriken wie "C2 Security". Sollten Sie ein sehr altes Betriebssystem benutzen, welches nicht ueber die Moeglichkeit der shadow-Passworte verfuegt, so koennen Sie das Public-Domain Programm "shadow" einsetzen. (Diese Software ist beispielsweise ueber anonymous FTP von folgendem FTP-Server erhaeltlich: ftp://ftp.cert.dfn.de/pub/tools/password/shadow/). Achtung! Sollten Passwort-Informationen ueber Dienste wie NIS oder NIS+ zentral verwaltet werden, so muessen in der Regel zusaetzliche Sicherungsmassnahmen ergriffen werden. Insbesondere muss der Zugang zu den Passwort-Informationen auf die notwendigen Rechner beschraenkt werden. Bitte beachten Sie die spezifischen Hinweise in der Dokumentation zu Ihrem Betriebssystem! Nachtraegliche Erkennung ungeeigneter Passworte Relativ bekannt ist die Methode, eine gegebene Passwort-Datei mit Hilfe eines Programmes zum Ausprobieren von Passworten zu ueberpruefen. Ein bekanntes Programm dieser Sorte ist "Crack". Diese Methode hat diverse Nachteile. Da nur die verschluesselten Passwort-Eintraege genutzt werden, muss jedes zu testende Wort ebenfalls verschluesselt und anschliessend mit dem gespeicherten Eintrag verglichen werden. Dieses erfordert ein großes Mass an Rechenzeit. Ein weiteres Problem dieses Verfahrens ist die Zeitspanne zwischen der Wahl des Passwortes und der Erkennung als ungeeignetes Passwort. Erkennung ungeeigneter Passworte bei der Wahl Um bei der Wahl eines Passworts den Benutzer zu unterstuetzen, kann man das passwd-Programm durch ein anderes Programm ersetzen, welches ein gewuenschtes neues Passwort nach vorgebbaren Regeln ueberprueft und dem Benutzer eventuell weitere Hilfestellungen gibt. Der grosse Vorteil dieser Methode ist die Tatsache, dass die Ueberpruefung des Passwortes anhand des Klartext-Passwortes sehr effizient und zuegig erfolgen kann. Um einen Ausblick auf die Moeglichkeiten der Ersatz-Programme zu bieten, werden im folgenden verschiedene Programme und ihre Einsatzmoeglichkeiten kurz vorgestellt. Eine genauere Beschreibung der Programme findet sich in der jeweiligen Dokumentation zu dem Paket. - cracklib Hierbei handelt es sich nicht um ein komplettes Ersatz-Programm zum Aendern von Passworten, sondern "nur" um eine Library zum Ueberpruefen von Passworten auf deren Eignung. Die bereitgestellten Funktionen koennen in einem anderen Passwort-Programm integriert werden. - passwd+ Auffallend ist die Maechtigkeit der konfigurierbaren Ueberpruefungsmoeglichkeiten. Dabei besitzt das Programm eine eigene Sprache zur Modifikation von Worten. Die Konfigurationsdatei ist dabei losgeloest von dem eigentlichen Programm, so dass auch nachtraegliche Aenderungen der Konfiguration einfach moeglich sind. Unterstuetzt wird die direkte Aenderung der Passwort-Datei /etc/passwd sowie das NIS-System fuer SunOS 4.x. - ANLpasswd Bei diesem Paket handelt es sich um eine Sammlung von PERL-Skripten und einem sehr kleinen, portablen C-Kern. Besonders auffallend ist die integrierte automatische Pluralbildung oder der Test auf Worte, die aus zwei anderen Worten zusammengesetzt wurden. Neben der direkten Aenderung der Datei /etc/passwd wird auch NIS unterstuetzt. - npasswd In der aktuellen Version werden viele verschiedene Passwort-Quellen unterstuetzt (Datei /etc/passwd, shadow-System, NIS, NIS+, ...). Ausserdem wird das SYSV-like aging unterstuetzt. Waehrend die anderen erwaehnten Programme ein passwd-Ersatz sind, das sich nach aussen hin nicht von dem Original unterscheidet, bietet npasswd eine zusaetzliche Hilfefunktion fuer den Benutzer. Alle vorgestellten Programme sind via anonymous FTP von dem FTP-Server ftp://ftp.cert.dfn.de/pub/tools/password/ erhaeltlich. Gefahr durch Abhoeren des Netzwerkes In der Regel werden Passworte im Klartext ueber das Netzwerk uebertragen (z.B. bei telnet, ftp etc.). Da dieses Netzwerk abgehoert werden kann, empfiehlt es sich (zumindest bei einem Zugriff auf Rechner ausserhalb des lokalen Subnetzes bzw. von Rechnern ausserhalb des lokalen Subnetzes) sogenannte Einmal-Passworte zu verwenden. Fallbeispiel: Intruder Detection and Lockout von Novell Netware Unter dem Netzwerkbetriebssystem Netware kann der Supervisor fuer einen File-Server eine Eindringlings-Erkennung aktivieren. Damit verbunden laesst sich auch eine automatische Sperrung vorgeben. Diese Moeglichkeiten bietet Novell etwa mit Netware 3.12/3.20 (oder natuerlich auch mit 4.x und 5.x), aber schon unter Netware 2.2 gibt/gab es eine Intruder Detection/Lockout-Option. Die Eindringlings-Erkennung baut auf der Kombination von Benutzername und zugehoerigem Passwort auf. Wenn sich jemand beim File-Server als ein bestimmter Benutzer mit einem Benutzernamen anzumelden versucht, aber wiederholt ein falsches Passwort verwendet, so liegt der Verdacht nahe, dass sich hier nicht der Benutzer selbst, sondern ein Eindringling unter dem Namen des Benutzers beim File-Server anzumelden versucht. Typisch fuer einen solchen Anmeldeversuch ist das "Ausprobieren" mehrerer Passwoerter. Einem solchen Treiben kann Netware Einhalt gebieten, und zwar mit der Eindringlings-Erkennung und Sperrung. Wenn der Eindringling jedoch das Passwort eines Benutzers bereits kennt und dieses nicht durch Ausprobieren herauszufinden versucht, ist auch Netware machtlos. Wenn ein Benutzer ueberhaupt kein Passwort besitzt, sind alle Sicherheitsmassnahmen im Zusammenhang mit einem Passwort hinfaellig. Hier wird ein weiteres Mal deutlich, wie wichtig die Benutzeraufklaerung in Bezug auf Passwoerter ist, denn auch die Benutzer sind ein Teil der Sicherheit des Systems. Wenn die Eindringlings-Erkennung aktiviert ist, beobachtet Netware jeden Anmeldeversuch genauestens. Sobald bei der Anmeldung unter einem bestimmten Benutzernamen ein falsches Passwort eingegeben wird, zaehlt Netware die Anzahl fehlerhafter Eingaben des Passwortes, und zwar innerhalb eines bestimmten Zeitraumes. Ist eine vorgegebene Anzahl von fehlerhaften Anmeldeversuchen ueberschritten, meldet Netware den Eindringversuch, und haelt dabei auch die Netzwerk- und die Node-Adresse der Workstation fest, an der das Eindringen versucht worden ist. Diese Meldung wird sowohl auf dem Bildschirm des File-Servers ausgegeben als auch im Fehlerprotokoll des File-Servers vermerkt. Wenn zusaetzlich zur Eindringlings-Erkennung auch noch die darauf aufbauende Sperrung aktiviert ist, wird der bei dem Eindringversuch angegebene Benutzer bzw. das Konto dieses Benutzers von Netware fuer eine gewisse Zeit gesperrt. Innerhalb dieser Zeit kann sich der Benutzer nicht mehr bei Netware anmelden, so dass ein Eindringling schnell die Lust verlieren wird. Selbst wenn der Eindringling das richtige Passwort nun kennt oder sich wieder der eigentlich Benutzer beim Fileserver anmelden moechte, fragt Netware nach dem in Kraft treten der Sperre gar nicht mehr nach dem Passwort, sondern blockt waehrend der Dauer der Sperre eine Anmeldung unter diesem Benutzernamen kategorisch ab. Die Sperrung des Kontos eines Benutzers wird von Netware nach Ablauf der Sperrfrist automatisch wieder aufgehoben. Der Supervisor ist allerdings in der Lage, die Sperre des Kontos eines Benutzers bereits vor Ablauf der Sperrfrist wieder aufzuheben. Quellen und Literatur: - Nils F. Lohse: Schutz von EDV-Anlagen, 1995/1996 - Nils F. Lohse: Schutz von Computern am Netz, Vortrag an der FH Hamburg am 25.10.1995 - Sicherheit von Passworten unter Unix, Informationsbulletin DIB-95:01 vom 1. Januar 1995, http://www.cert.dfn.de/infoserv/dib/dib-9501.html, DFN-CERT / dfncert@cert.dfn.de, 1994/1995 - Eric Tierling: Novell Netware 3.12 - Installation und Netzwerkverwaltung, Novell-Bibliothek, Addison Wesley, 1. Auflage 1994 - Andreas Zenk: Arbeiten mit Novell Netware - Einrichten und Verwalten von Netware v2.2, Addison Wesley, 2. ueberarbeitete Auflage 1991 Nils F. Lohse, (C) 1995/1996, 1999, Mo. 27.09.1999 19:17, aktualisiert Di. 08.08.2017 12:02
|