09.01.2017

Passwörter: Von schwierigen Kennwörtern bis hin zur kinderleichten Verschlüsselung

«Let´s Encrypt – Ein Geschenk für alle Administratoren», titelt die ZEIT; und Linus Neumann vom Chaos Computer Club (CCC) nennt es einen «grossen Durchbruch». Werfen wir also einen Blick auf darauf. Let´s Encrypt, nachdem wir zuvor die Pflicht absolviert haben: den Verweis auf die Wichtigkeit komplexer Passwörter.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Passwörter

Worum geht es?

Verbindungen zu Webseiten können entweder im Klartext (unverschlüsselt) oder für Aussenstehende unlesbar (verschlüsselt) übertragen werden. Ersteres stellt nach wie vor den Löwenanteil der Webseitenaufrufe dar. Das Problem hierbei ist: jemand, der sich an exponierter Stelle in den Datenfluss zwischen dem Besucher einer Webseite (mit seinem Clientprogramm, dem Browser – also Internet Explorer, Firefox, Chrome, Safari, Opera) und dem die Webseite anbietenden Server einklinkt, kann etwaige vertrauliche Informationen mitlesen. Bei diesen handelt es sich in der Regel um Zugänge zu geschützten Bereichen, um Name/Passwort-Kombinationen in Formularen; aber auch die besuchten Seiten, aufgerufenen Links und einiges mehr könnte ein Schnüffler mitschneiden.

Zwar ist es einerseits nicht unbedingt trivial, sich in einen IP-Datenstrom einzuklinken; WLAN-Verbindungen sind heutzutage fast immer verschlüsselt, somit stellt die Verbindung zwischen beispielsweise dem Laptop eines Webseitensurfers und dem WLAN-Router eine technisch gesehen schwer zu überwindende Hürde dar (sofern man nicht ein leicht zu erratendes WLAN-Passwort wie geheim, 1234 oder Liebling gewählt hat). Bereits hinter dem WLAN-Router oder -AccessPoint allerdings könnte der Eindringling bereits versuchen, in den Datenfluss hineinzuhorchen – die Kabelverbindungen in den meisten Netzwerken sind nämlich nach wie vor ungesichert und die kabelgestützten Datenverbindungen (das klassische Netzwerk in den meisten Unternehmen und manchmal auch im Privatbereich) offen wie ein Scheunentor.

Unverschlüsselt übertragener Netzwerkverkehr birgt also ein Risiko in sich. Zwar wird nicht gleich jede Verbindung überall auf der Welt mitgeschnitten (obgleich man sich seit Snowden, NSA und Prisma dessen auch nicht mehr sicher sein kann) – aber im Falle eines Falles sind möglicherweise auch Ihre Credentials – also Kombinationen aus Benutzername und Passwort – irgendwo offengelegt. Potentielle Angreifer könnten sich diese nun nutzbar machen und automatisiert ablaufende Einbruchsversuche gegen Ihr Emailpostfach, Ihr Bankkonto und so weiter unternehmen.

Und noch etwas zeigt sich in den vergangenen Jahren: Angreifer nutzen gestohlene Credentials zwar auch unmittelbar für direkte Logins  – von Einbruchsversuchen mag man nicht recht sprechen, weil bildlich gesprochen die Haustür ja offen steht und es sich somit eher um Hausfriedensbruch und einfachen Diebstahl handeln würde. Die Angreifer sind aber auch an den Passwörtern an sich interessiert. Neuere Untersuchungen von Passwortcrackern zeigen, dass der Faktor Mensch von den Kriminellen immer mehr berücksichtigt wird. Ein Beispiel hierfür?

Nun, es gibt bei Passwörtern grob gesagt nur wenige verschiedene Grundmuster:

  • komplizierte Passwörter. Ein Beispiel hierfür wäre TNHkyBGUscgI – ein solches Passwort darf als sehr sicher gelten, so etwas merkt sich aber kein Mensch. Die Gefahr ist gross, dass es dann einfach irgendwo aufgeschrieben wird, am besten noch auf dem berühmt-berüchtigten Zettel unter der Tastatur oder am Monitor – womit der Sicherheitsaspekt wieder aufgehoben wäre.
  • Zahlenfolgen wie etwa 34857928719. Es liegt auf der Hand, dass ein Passwortgenerator oder ein automatisiert ablaufendes Script zum Hacken eines Logins hier nur lange genug durchzählen muss, um das korrekte Passwort «herauszufinden»
  • Einprägsame Passwörter – Beispiel: jagt_12Dose. Dieses Passwortbeispiel stammt aus einem Passwortgenerator, und es darf als ebenso halbwegs sicher wie recht einprägsam gelten. Wieso nur «halbwegs sicher»? Dazu gleich mehr!
  • Aussprechbare Kennwörter, gegebenenfalls mit Ersetzungen. Beispiele, mit denen Sie sich und Ihren Kindern auch einmal langweilige Autofahrten ohne elektronische Medien verkürzen können: Yelena Wizorek wird zu Ye1ena W1z0rek, oder Rudi Birthler zu Rud1 B1rth13r – und so fort. Zwar sind solche Kombinationen ebenfalls gut einprägsam, aber gleichzeitig tritt das gravierendste Sicherheitsmanko deutlich zutage.

Das Angriffsmuster ist nämlich dasselbe wie im Beispiel mit den einprägsamen Passwörtern a la Streichmettwurst_Br0tbelag. Wir Menschen neigen dazu, einprägsame Muster zu verwenden – und unglücklicherweise frönen wir auch zu einem gewissen Herdentrieb und verfügen schliesslich über ähnliche Sozialisierungen und Denkstrukturen. Neueste Passwort-Hacktechniken machen sich genau dies zunutze. Sie sammeln Credentials, die natürlich zuvor durch Mitschneiden, Einbrüche in Datenbanken oder ähnlich kriminelles Tun gewonnen wurden, analysieren die Muster der Passwörter – und mit der entsprechenden Rechenleistung moderner Computer ist das Knacken eines Passworts wie «Genf12#Paar» viel weniger aufwändig als das blinde Erraten eines Codes wie «vFi2:YGZH\J/». Alle Beispiele entstammen übrigens dem Schlüsselgenerator eines aktuellen Mac-Rechners; mit einem Online-Tool wie passwordsgenerator.net können Sie an möglicherweise verregneten Feiertagen ja einmal ein wenig herumspielen. Wie viele verregnete Tage hingegen Sie benötigen, bis Sie sich ein dort erstelltes Passwort wie rYn@8@aJ=%KU=)kk merken können, vermag der Autor dieser Zeilen natürlich nicht vorherzusagen.

Schwachstelle verschlüsselte Verbindungen

Nun achten Sie also sorgsam auf komplexe Passwörter, die Sie auch noch regelmässig ändern – dennoch verbleibt eine potentielle Schwachstelle, nämlich die eingangs erwähnte unverschlüsselte Übertragung der Daten beim Aufruf von Webseiten oder dem Abrufen und Versenden von Emails.

Rekapitulieren wir kurz: wenn der Besucher eine verschlüsselte Webseite besucht, wird von dem Server, auf dem die Webseite liegt, und dem Browser des Besuchers eine Verschlüsselung ausgehandelt – somit ist gewährleistet, dass niemand die Daten ohne Weiteres mitlesen kann. Der Datenfluss lässt sich natürlich mitschneiden, müsste dann aber aufwendig entschlüsselt werden – und je nach Sicherheitsstandard der Verschlüsselungstechnik und dem aktuellen Stand der Technik bietet ein solches Unterfangen die ganze Bandbreite von «schnell erledigt» (es sei nur an den Heartbleed-Bug erinnert) bis «nach heutigem Ermessen unmöglich» (wie es sein sollte). Nun wird aber ein Webserver, der verschlüsselte Webseiten anbietet, seine Dienste nicht einseitig anbieten – sonst wären ja digitalen Rattenfängern Tür und Tor geöffnet. Also wird ein unabhängiger Dritter benötigt, eine Zertifizierungsinstanz – diese bestätigt die Echtheit der Webseite und stellt darüber ein Zertifikat aus. Besucher solcherart verschlüsselter Webseiten haben in ihren Anwendungen – Browser (Firefox, Chrome) und Mailclients (Outlook Thunderbird) – bereits die öffentlich bekannten und anerkannten Zertifikate der massgeblichen Zertifizierungsinstanzen (CA, Certificate Authority) eingebaut – sichert sich der Betreiber eines Webservers für seine per SSL verschlüsselnden Webseiten also ebenso bei diesen grossen CAs ab, ist alles in Ordnung. Da solche Zertifikate aber Geld kosten (wir berichteten auf Weka.ch darüber, wie Sie sich solche Zertifikate günstig erwerben können), erstellen sich viele Webseiten- oder Emailserverbetreiber ihre eigene CA – und da die Anwendungen der Besucher diesen Schwindel merken, kommt es zu den berühmt-berüchtigten Warnmeldungen im Stil von «Dieser Verbindung wird nicht vertraut» – was ja auch korrekt ist.

Die Folge ist allerdings, dass das Gros der Webseiten nach wie vor unverschlüsselt angeboten wird – weil viele Administratoren oder Unternehmen den finanziellen und administrativen Aufwand für Erwerb, Erstellung, Implementierung und vor allem rechtzeitige Erneuerung (gekaufte Zertifikate laufen nach einer bestimmten Frist ab) scheuen. Das vielversprechende Let´s Encrypt-Projekt, das von der gemeinnützigen Internet Security Research Group betrieben wird, setzt genau hier an, indem es quasi eine weltweit vernetzte, öffentlich nutzbare Zertifizierungs-Infrastruktur anbietet.

Let’s Encrypt wird unter anderem von Facebook, der Mozilla Foundation, Akamai und Cisco Systems gesponsort. Let's-Encrypt-Zertifikate werden bereits jetzt von allen bedeutenden Browsern unterstützt, weil sie durch die etablierte CA IdenTrust signiert wurden.

Ab sofort kann jeder kostenlose Zertifikate beantragen. Dazu muss lediglich der Let's-Encrypt-Client auf dem Server installiert werden, anschliessend soll alles quasi wie von selbst laufen. Die Laufzeit der Let´s Encrypt-Zertifikate ist zwar drastisch reduziert, dies dient aber der Sicherheit des Konstrukts – und die Aktualisierung lässt sich per regelmässig aufgerufenem Script automatisieren.

Fazit

Zugangskontrolle und möglichst weitreichende Verschlüsselung aller Verbindungen in Datennetzen bedeutet also nicht nur einen Schutz der darin übertragenen Informationen und trägt massgeblich zur Wahrung der Vertraulichkeit dar, sondern bedeutet auch Schutz Ihrer Anmeldeinformationen – und das sollte die Beschäftigung mit viel versprechenden Verschlüsselungs- und Verifizierungstechniken wie Let´s Encrypt wert sein.

Haben wir Ihr Interesse für das spannende Feld der IT-Sicherheit geweckt? In unserem Portal InformatikPraxisOnline finden Sie ständig aktualisierte Beiträge zu vielen Themen der IT – Administration, Planung, Sicherheit, Trends und vieles mehr:

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Cloud-Computing

    Cloud-Computing

    Erfahren Sie welchen Nutzen Cloud-Computing Ihnen und Ihrem Unternehmen bringen kann.

    Mehr Infos

  • Führung kompakt

    Führung kompakt

    Der Impuls-Letter für die wirkungsvolle Führungskraft

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten rund um das Personaldossier und die Nutzung von Social Media

    Nächster Termin: 12. September 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 11. Mai 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internationale Vertragsgestaltung für Profis mit Prof. Dr. Patrick Krauskopf

    Rechtssichere Verhandlungen und Verträge auf internationalem Parkett

    Nächster Termin: 04. Mai 2017

    mehr Infos