Security Theorien: Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter

[Gadget 37]

Hi,

 

heute bin ich auf einen sehr interessanten dreiteiligen Artikel gestossen. Dieser Artikel stammt von Professor Jesper M. Johansson afaik einem der besten Sicherheitsexperten von Microsoft.

 

Er schreibt über die Un/sicherheit von üblichen Kennwörtern im Vergleich zu Kennwortsätzen. Da ich selbst vor einigen Wochen einen Security-Consultant im Hause hatte, habe ich mich in Zwischenzeit intensiver mit dem Thema Sicherheit beschäftigt.

Da ich während des Audits doch ein paar mal richtig schlucken musste.

 

Die übliche Passwortsicherheit innerhalb einer Domäne ist geradezu eine Einladung für einen Hacker. Er muss nur das richtige Tool haben und mittels einer Wörterbuchattacke sind 80% der Kennwörter in kürzester Zeit geknackt.

 

Ich will mit diesem Artikel eine Anregung geben über das Thema nachzudenken, da die meisten Admins die ich kenne, es doch recht vernachlässigen.

 

www.microsoft.com/austria: Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter Teil 1

 

www.microsoft.com/austria: Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter Teil 2

 

www.microsoft.com/austria: Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter Teil 3

 

Einen Auszug aus dem Artikel halte ich für besonders interessant:

Wenn wir davon ausgehen, dass ein Benutzer sich sieben Informationsteile (bzw. Wörter oder Zeichen) merken kann, dann liegt die maximale Länge für ein Kennwort bei neun Zeichen – diese Annahme wurde auch durch empirische Studien belegt. Um die Stärke von Kennwörtern zu bewerten, habe ich versucht, 28.000 Kennwörter aus einer großen Domäne zu knacken. Von diesen habe 23.311 (bzw. 83%) vollständig und weitere 13,16% teilweise knacken können. Auch wenn dieses Beispiel nicht vollständig repräsentativ ist, basieren die Statistiken im Rest des Artikels auf dieser Analyse. Sie untermauert die Theorie, dass die menschlich mögliche Grenze für Kennwörter bei 9 Zeichen liegt: 64% der geknackten Kennwörter der Domäne waren neun Zeichen oder weniger lang (die Minimalanforderung für Kennwörter lag in der Domäne bei sieben Zeichen). Mehr als 90,37% aller Domänenkennwörter waren kürzer als 15 Zeichen (ohne die Kennwörter selbst zur Verfügung zu haben, ist es nicht genau möglich zu sagen, wie viele es exakt waren – daher wurde bei Kennwörtern ohne LM-Hash davon ausgegangen, dass diese 15 Zeichen oder mehr umfassten).

 

BTW: Würde mich interessieren was ihr für eine Kennwortlänge per Passwortrichtinie definiert oder ob ihr schon auf Biometrie, USB-Token o. Smartcard umgestiegen seit?

 

LG Gadget

[dippas 10]

Wichtiger Inhalt!!

 

Wir selbst verwenden eine Kennwortrichtlinie, die mindestens 8 Zeichen aufweist.

 

Jeder Nutzer wird darauf hingewiesen, dass er durchaus auch Sonderzeichen verwenden soll. Auch gebe ich den Tipp ab, dass man kennwörter zusammenstellen kann, indem man sich Sprüche ausdenkt.

 

Ein Beispiel:

 

"Es klappert die Mühle am rauschenden Bach, klipp klapp" würde "EkdMarB,kk" ergeben.

 

Wer Goethes Erlkönig zietiert ist natülich noch sicherer ;)

 

Im Übrigen kann ich aus eigener Erfahrung mitteilen, dass "Zufallskennwörter" beliebiger Länge nicht nur schlecht zu merken sind, sondern auch auf große Ablehnung stoßen, eben weil sie schwer zu merken sind.

 

Nach Lekrüre der vorgestellten Artikel ist aber auch diese Vorgehensweise noch verbesserungsfähig ;)

 

Vielen Dank für den Hinweis.

 

Wer im Übrigen über Verschlüsselung ein wenig mehr erfahren möchte, sollte sich das hier mal anschauen:

 

http://www.amazon.de/exec/obidos/ASIN/3423330716/qid=1121553505/sr=8-3/ref=pd_ka_3/028-3891916-3977346

 

Sorry, wenn ich hiergegen verstoße http://www.mcseboard.de/rules.php?u=4870#nr4 aber es passt wirklich gut. Im Zweifel bitte meinen Link rausnehmen. Danke.

 

Ich selbst empfand das Buch aber als recht kurzweilig. Es gibt einen schönen Einblick in die Thematik, die auch auf die täglich Arbeit angewandt werden kann, nur eben von der anderen Seite her ;)

 

Es zeigt aber auch menschliche Schwächen auf und genau die sind es ja, mit denen Angreifer zum Erfolg kommen.

 

grüße

 

dippas

[nerd 28]

Hi,

 

@dippas Links auf Bücher sind keine Werbung nur keine Angst :) Solange es nicht dein Buch ist ;)

 

@Topic: Ich habe es vor langer Zeit aufgegeben Passwörter durch Sätze Sprüche oder was auch immer zu erzeugen. Mir ist aufgefallen, dass ich in der Lage bin mir in kurzer Zeit ein per Zufall generiertes Passwort mit einer Länge um 14 Zeichen merken zu können. Da die Passwörter ja nur alle 90 Tage ablaufen ist das auch keine so große Arbeit. Um mir nicht mehrere Passwörter merken zu müssen setze ich einen Passwortcontainer ein der eine Sammlung an weiteren Passworten in einem verschlüsselten Container (datei) speichert. Das Passwort wird zusammen mit meinem Windows Passwort alle 90 Tage geändert. Ich bilde mir ein damit sehr sicher zu fahren ;).

 

Allerdings gehöre ich mit dieser Technik zu einer Gruppe von Leuten die wohl sehr sehr klein ist. Ich empfehle daher den Usern auch immer wieder diese Satz / Spruch Technik da man sich so ohne weiteres auch lange Passwörter merken können sollte.Wenn man dabei noch bestimmte Buchstaben durch sonderzeichen und zahlen ersetzt ist man schon fast auf der gleichen Ebene wie die Zufallspasswörter aus meinem Generator...

 

Gruß

[dmetzger 10]

Ich stehe ebenfalls hinter der Spruch-zu-Kennwort-These. Was zum Beispiel bedeutet das Kennwort "1%von2K=20"? Ganz einfach: "1 Prozent von 2000 gleich 20".

 

Hier noch ein Link zur Prüfung de Kennwortsicherheit:

https://passwortcheck.datenschutz.ch/check.php

 

So, und jetzt gehts auf zu einer Wanderung im Appenzellerland mit meinem älteren Sohn. Schönen Sonntag allerseits!

[dippas 10]

@dippas Links auf Bücher sind keine Werbung nur keine Angst :) Solange es nicht dein Buch ist ;)

 

Danke für den Hinweis Johannes.

 

Bücher schreiben ist mir bisher nicht in den Sinn gekommen, weshalb diese Gefahr (Eigenwerbung) wohl kaum bestehen wird.

 

grüße

 

dippas

[Sigma 10]

Hi,

 

ich handhabe das ähnlich wie Johannes. Der Container wird mit einem möglichst langen (>30 Zeichen) Paßwort verschlüsselt. Das Paßwort für das Benutzerkonto ist nicht ganz so lang, schließlich muß ich das täglich eintippen.

Auf Arbeit sieht die Richtlinie min. 6 Zeichen vor. Wenn ich Lust und Laune habe, werde ich mal eine entsprechende Änderung auf min. 9 vorschlagen. Momentan sehe ich aber viel gravierendere strukturelle Probleme, die es zu lösen gibt.

 

Tschau,

 

Sigma

[ovelkan 10]

Ich hatte bei Audits in Unternehmen schon gar schreckliche Erlebnisse. Nach Einführung eines neuen Netzwerkes gab es z.B. eine Frau die schon wenige Tage nach dem sie ihr Passwort gesetzt hatte, nicht mehr wusste wie es hieß. Daraufhin ging sie zum Admin und der setzte es zurück, sie veränderte es und eine Woche später stand sie wieder da. Sie hatte es erneut vergessen. Diesmal reagierte der Admin ein wenig schroffer und empfahl eindringlich, sie solle sich etwas ausdenken, das sie sich auch merken könne. Sie bekam also die Chance sich erneut ein Passwort auszuwählen. Kurz darauf wurde sie eine Woche krank, kam danach in die Firma zurück und - richtig. sie wusste schon wieder nicht mehr was ihr Passwort war. Allerdings hatte sie dieses Mal zuviel Angst sich wieder an den Administrator zu wenden. Mehr als drei Monate verbrachte sie ihre Zeit damit Akten zu sortieren, die Blumen zu gießen, Fotokopien zu machen und und und. Nur einloggen konnte sie sich natürlich nicht mehr. Ich habe das dann durch checken der Logfiles gemerkt und gefragt, ob die Dame überhaupt noch im Unternehmen beschäftigt ist.

 

Wenn man in so mancher Firma einen Mitarbeiter fragt was ein Passwort ist, hat man eine hohe Chance als Antwort zu bekommen: "Na das, was auf den gelben Klebezetteln steht, die unter der Tastatur kleben". Sicherheit ist natürlich was herrliches, aber viele Menschen haben damit mehr Schwierigkeiten, als die Unternehmen Nutzen. Ich empfehle bei solchen "Härtefällen" ein einfaches, aber hinreichend sicheres und vor allem anwendbares Verfahren.

Der User bekommt einen Scheckkartengroßen Zettel auf dem etwa folgendes steht:

 

1-2-3

4-5-6

 

11 12 13 14 15 16

21 22 23 24 25 26

31 32 33 34 35 36

41 42 43 44 45 46

51 52 53 54 55 56

61 62 63 64 65 66

 

Jetzt sucht sich der Benutzer zwei Begriffe, die er als Passwortgrundlage verwenden will z.B:

 

Feuerzeugbenzin

Istambul

 

dadurch wird "Feuer" zur eins, "zeug" zur zwei, "benzin" zur drei "Is" zur vier "tam" zur fünf "bul" zur sechs. DAS SCHREIBT ER NATÜRLICH NICHT AUF!!! Um jetzt auf ein beliebiges Passwort zu kommen, macht er einfach einen Kringel um eine Zahlenkombination auf dem Zettel z.B: 15. Damit heißt sein Passwort jetzt "benzinTam". Steht, glaube ich, in keinem Wörterbuch. Nach Ablauf der Zeitspanne für ein Passwort macht ein Kreuz durch den Kringel und kringelt eine andere Kombination ein. So kann er mit nur zwei Begriffen (am besten eignen sich natürlich längere, dreifach zusammengesetzte Hauptwörter dazu) 36 Passwortgenerationen lang auskommen. Das sind 3240 Tage!

 

Hat sich in der Praxis wirklich gut bewährt.

 

OvE

[Gadget 37]

Zum Thema hier noch ne Anleitung:

Microsoft.de/Technet: Leitfaden zum Durchsetzen der Richtlinien für sichere Kennwörter:

http://www.microsoft.com/germany/technet/datenbank/articles/600541.mspx

 

LG Gadget

[blub 115]

Hi,

 

benutzt jemand, wie im 3.-ten Artkel beschrieben, selbstgeschriebene PW-Filter?

 

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/security/sample_password_filter.asp

 

cu

blub