zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Tellafriend, Formmailer, Counter
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen

Passwörter

Allgemeines zu Passwörtern

Im Umgang mit Daten und Computersystemen ist dem Passwortverfahren sehr grosse Bedeutung zu schenken. Zum einen ist es einer der sicherheitsrelevantesten Faktoren, zum anderen ist es zugleich die größte Schwachstelle in der Computersicherheit, denn ein Passwort zu hacken ist letztendlich nur eine Frage der Zeit.

Die Sicherheit eines Passwortes hängt im wesentlichen von seiner Geheimhaltung und seiner Qualität ab. Um dies zu verdeutlichen, gehen wir nachstehend zunächst auf die Möglichkeiten der Ausspionierung von Passwörtern ein, um anschliessend die notwendigen Verhaltensmassnahmen im Umgang mit Kennwörtern zu beschreiben.

Angriffsmöglichkeiten

Mittels sog. Passwort-Cracker-Programmen (z.B. Brutus, Cain, Crack, John the Ripper, UnSecure) ist es möglich, einen ungeschützten Computer über die Internet-IP-Adresse auf offenen Ports (bestimmte Dienste) anzusprechen, um einen Angriff zu automatisieren. Dies kann über folgende Methoden erreicht werden:

  • Brute-Force Attacks: hier wird “mit roher Gewalt” jede nur mögliche Kombination von Buchstaben, Zahlen, Sonderzeichen etc. durchprobiert. Sog. Brute-Force-Tools haben mehrere Optionen zur Generierung von Passwörtern und führen leider letztendlich immer zum Ziel. Zwar ein sehr zeit- und leistungsintensives Verfahren, dafür aber um so effektiver.
  • Dictionary Attacks: hier wird einfach eine Liste, welche z.B. ein ganzes Wörterbuch sein kann, verwendet und in die Passwort-Eingabeaufforderung weitergeleitet. Die meisten Crackertools bieten noch weitere Optionen, wie z.B. Wörter rückwärts einlesen oder Kombinationen aller Wörter aus der Liste, Durchprobieren aller Gross- und Kleinbuchstaben etc.. Dieses Verfahren ist sehr schnell und führt ebenso rasch zum Erfolg, denn es können innerhalb kurzer Zeit Millionen von Einträgen getestet werden (Die Schnelligkeit ist abhängig von der verwendeten Hardware, über 1000 Abfragen/Sekunde sind möglich).

Weitere Arten der Passwort-Ausspionierung, ohne Cracker-Programm:

  • Phishing: hier wird mittels eines nachgemachten Interfaces - z.B. Homepage einer Bank oder gefälschte E-Mails bekannter Institutionen - versucht das Passwort bzw. die Kundendaten zu bekommen. Webseitenbetreiber können sich und Ihre Besucher nur durch ein Zertifikat und SSL-Verschlüsselung schützen (siehe auch unser Bauser-Enterprises-Zertifikat).
  • Social Engineering: Ähnlich wie beim Phishing wird unter Vorspiegelung falscher Tatsachen versucht an das Passwort zu kommen. Z.B. gibt sich ein Anrufer als Mitarbeiter Ihres Providers oder als Systemadministrator Ihrer Firma aus. Auch zählt das Ausspionieren des Umfeldes (Familie, Freunde, Hobbies...) zu diesem Bereich (z.B. auch über Profilseiten-Hacks in sozialen Netzwerken). Hier werden schlicht alle Namen, welche in Bezug zum Opfer stehen ausprobiert. Ebenso ist der Notizzettelklau (mit dem Passwort) aus dem Papierkorb oder Schreibtisch in diese Rubrik zu zählen.
  • Viren & Co.: spezialisierte Malware (z.B. Trojaner “BackOrifice” oder “NetBus” oder Wurm “BadTrans”) und Spyware suchen nach (ihnen) bekannten Dateien, welche Passwörter speichern und lesen diese aus oder loggen gar alle Tastatureingaben und senden diese ihren Schöpfern bei der nächsten Internetverbindung im Hintergrund (backdoor) zu.

Passwort: Verhaltensmassnahmen

“Schlechte” Passwörter lassen sich erschreckend leicht erraten. So führt in den meisten Fällen bereits das Ausprobieren von Namen aus dem Umfeld des Opfers (z.B. Namen der Freundin, der Tochter, Geburtsdaten etc.) zum Erfolg, ohne dass aufwendige Crackerprogramme zum Einsatz kommen müssen. Deshalb sollte man vermeiden:

  • keine Namen oder personenbezogene Daten verwenden (siehe Social Engineering)
  • keine realen Wörter (egal aus welcher Sprache) verwenden: ein Crackerprogramm hat dies in kurzer Zeit herausgefunden, auch wenn das Wort rückwärts, klein oder gross geschrieben wird (siehe Brute-Force- und Dictionary-Attacks)
  • Passwörter weder speichern, noch aufschreiben
  • Passwörter niemals mehrfach verwenden: vor allem nicht bei Anmeldung auf Webservern im Internet

Ein Passwort sollte äußerst schwer oder überhaupt nicht zu erraten sein. Generell ist folgendes zu beachten:

  • um so länger, um so besser: mindestens 8 Zeichen
  • Mischung aus Zahlen, Leerzeichen, Sonderzeichen, Gross- und Kleinschreibung verwenden
  • In regelmäßigen Abständen sollten Passwörter geändert werden, ohne einem potentiellen Angreifer das Erkennen einer Systematik bei der Vergabe des Passworts zu ermöglichen (z.B. durch Fortsetzung eines Zahlenanhängsel wie 1, 2, 3).
  • Auch sollte das Computersystem insgesamt gegen Angriffe geschützt sein (siehe generelle Massnahmen)
  • Des weiteren muss die Geheimhaltung ernst genommen werden und auf die Umstände der Preisgabe des Passwortes penibel geachtet werden: Ein seriöser Diensteanbieter (z.B. Onlinebank, Internet-Service-Provider) wird Sie niemals auffordern, Ihr Passwort per E-Mail einzugeben/zu verschicken oder am Telefon zu nennen (siehe Phishing).
  • Beim Versenden bzw. der Eingabe von persönlichen Daten oder Passwörtern im Internet sollten Sie grundsätzlich darauf achten, dass die Webseite verschlüsselt ist und über ein Zertifikat verfügt. Sehen Sie hierzu bitte auch unsere Sicherheitsmassnahmen.

Auf der Seite https://passwortcheck.datenschutz.ch können Sie die Qualität von Passwörtern online überprüfen.

zum Empehlungs-Formular Diese Seite weiterempfehlen zum Empehlungs-Formular

 
© Copyright Bauser-Enterprises-IT: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |