Geniale Passworttricks 24 eload

Transcrição

eload 24
Geniale Passworttricks
Tobias Weidemann
Klicken, Lesen, Weitermachen. So einfach geht das.
Rubrik
Thema
Umfang
eBook
Internet
Sicherheit
19 Seiten
00845
Autor
Tobias Weidemann
Der moderne Mensch jongliert mit
Dutzenden von Passwörtern – für Online-Banking und Windows-PC, für
Internet-Zugang und Mailkonto, für
eBay, Amazon und Co. Wir zeigen in
diesem eBook, wie Sie ein Höchstmaß
an Sicherheit erhalten und trotzdem den
Überblick behalten.
eload 24
Tobias Weidemann
eload24 AG
Sonnenhof 3
CH-8808 Pfäffikon SZ
[email protected]
www.eload24.com
Inhalt
Geniale Passworttricks......................................................... 3
Sichere Passwörter.............................................................. 3
Passwörter wählen............................................................... 5
Das sichere Passwort: Die Zeichenkombination macht’s............ 5
Copyright © 2009 eload24 AG
Alle Rechte vorbehalten.
Trotz sorgfältigen Lektorats können sich
Fehler einschleichen. Autoren und Verlag
sind deshalb dankbar für Anregungen und
Hinweise. Jegliche Haftung für Folgen,
die auf unvollständige oder fehlerhafte
Angaben zurückzuführen sind, ist jedoch
ausgeschlossen.
Copyright für Text, Fotos, Illustrationen:
PC-WELT – IDG Magazine Media GmbH
Coverfoto:
© Alex Hinds – Fotolia.com
Passwörter merken.............................................................. 8
Codestar-Tool: Alles auf eine Karte setzen............................... 8
Keepass: Sichere Passwort-Verwaltung für den USB-Stick....... 11
Passwörter geknackt.......................................................... 14
(Fast) unbegrenzte Möglichkeiten:
Wie sicher ist ein Passwort?................................................ 15
Achtung: Windows-Passwort leicht auszuhebeln..................... 17
eload 24 lösungen auf einen klick.
Sichere Passwörter
Der moderne Mensch jongliert mit Dutzenden
In der Controlling-Abteilung eines internatio
von Passwörtern – für Online-Banking und
nalen Konzerns gilt für sämtliche Rechner
Windows-PC, für Internet-Zugang und Mail-
dasselbe Passwort. Raten Sie mal, wie es
konto, für eBay, Amazon und Co. Wir zeigen
heißt. Genau: „Controlling“. Das sei so, er-
in diesem eBook, wie Sie ein Höchstmaß an
klärt ein Mitarbeiter unter der Hand, damit
Sicherheit erhalten und trotzdem den Über-
die Kollegen auch dann an einen bestimmten
blick behalten.
Rechner kommen, wenn sein Besitzer in Urlaub oder nicht erreichbar ist.
Es ist wirklich erstaunlich, wie leichtsinnig
man selbst in großen Firmen mit Passwörtern
umgeht: Sie stehen zum Beispiel auf Zetteln,
die der Mitarbeiter an den Monitor klebt. Zugangscodes werden auch mal im Klartext per
Mail übertragen oder liegen in einer unverschlüsselten Textdatei auf dem Rechner oder
im Mailkonto.
copyright © 2009 eload24 AG
Tobias Weidemann
Seite 3
Kein Schlüssel für alles
Ebenso riskant ist es, wenn Anwender für
alle ihre Konten identische oder sehr ähnliche
Kennwörter wählen. Wer ein Passwort weiß,
kennt schlimmstenfalls auch den Rest Ihrer
virtuellen Identität.
ein Leichtes, das Mailkonto aufzurufen, das
Passwort zu ändern und den Besitzer auszusperren.
Gefährliche Gedächtnisstütze
Es ist in der Tat nicht leicht, sich zwanzig
oder mehr unterschiedliche Passwörter aus-
Wohin das führen kann, zeigte ein Fall vor
zudenken – und vor allen Dingen zu merken.
zwei Jahren. Damals kursierte die Kunden-
Viele Anwender sichern daher Passwörter im
liste eines stillgelegten illegalen Download-
Browser und in anderen Programmen. Was
Dienstes im Internet: Die Liste enthielt
aber, wenn sich jemand Zugang zu Ihrem PC
Login-Namen und Passwörter der Kunden,
verschafft? In Firefox beispielsweise lassen
außerdem die Mailadressen. In vielen Fällen
sich gespeicherte Passwörter einfach über
passte das Passwort zum Login des Down-
Extras | Einstellungen | Datenschutz | Pass-
load-Dienstes genauso wie zur angegebenen
wörter | Gespeicherte Passwörter anzeigen
Mailadresse.
sichtbar machen. Firefox bietet Ihnen zwar
an, abgelegte Kennwörter mit einem Master-
Nicht nur der Betreiber des Dienstes hätte
Passwort zu schützen. Aber auch diese Maß-
sich so Zugang zu den Mails des Kunden ver-
nahme lässt sich umgehen, indem man die
schaffen können. Auch für jeden böswilligen
Festplatte in einen anderen Rechner einbaut
User war es nach dem Erscheinen der Liste
und von dort ausliest.
Tobias Weidemann
Seite 4
Mehr Sicherheit
Wer einige wichtige Regeln beachtet, kann
trotz allem ein Höchstmaß an Sicherheit erreichen. Wir stellen Strategien vor, wie Sie
perfekte Passwörter wählen. Spezial-Tools
helfen dabei, die Kennwörter zu verwalten
und sich zu merken – und zwar ohne Risiko.
Auf der Seite www.codestar.de finden Sie
„Codestar – Passwörter für die Hosentasche“.
Außerdem haben wir die Probe aufs Exempel
gemacht und Knack-Tools auf unsere Passwörter angesetzt.
Passwörter wählen
Selbst wer nicht immer das gleiche Passwort
wählt, riskiert, ausspioniert zu werden. Wer
sich etwa immer Nachnamen von berühmten
Fußballern der 70er-Jahre aussucht, hat zwar
Abwechslung bei seinen Kennwörtern. Das
Problem dabei: Ein Angreifer könnte sie erraten – insbesondere, wenn es sich um einen
Neugierigen aus dem persönlichen Umfeld
handelt.
Das sichere Passwort:
Die Zeichenkombination macht’s
Ungünstig ist es auch, sinnvolle Namen und
Begriffe zu verwenden. Denn viele PasswortKnack-Tools arbeiten mit Hilfe von Wörterlisten, die beispielsweise aus dem Internet
generiert werden. Diese werden nach Häufigkeit geordnet und so nach den Gesetzen der
Tobias Weidemann
Seite 5
Wahrscheinlichkeitsrechnung abgearbeitet.
Wer also Aguilera als Passwort hat, sollte sich
das noch einmal überlegen. Aguilera4711
wäre zwar besser, aber noch nicht optimal.
Wir geben Ihnen Tipps, wie Sie sichere Passwörter finden.
Sonderzeichen
Mehrteilige Codes
Benutzen Sie einen Code, der sich aus mindestens je einer Buchstaben- und Zahlenkombination zusammensetzt. Den Zahlenblock platzieren Sie am besten vorn. Eine
Untersuchung des amerikanischen Verschlüsselungs- und Passwortexperten Bruce Schneier (www.schneier.com) ergab nämlich, dass
Wählen Sie Ihr Passwort so, dass es Groß-
nur 10 Prozent aller untersuchten mehrtei-
und Kleinbuchstaben, Sonderzeichen und
ligen Passwörter diesen Teil vorn haben, hin-
Zahlen enthält. Das funktioniert allerdings
ten dagegen 90 Prozent. Knack-Tools setzen
nicht bei allen Zugängen, denn nicht immer
deshalb hinten mit ihrer Arbeit an.
werden alle verfügbaren 128 Zeichen oder
die 96 gebräuchlichen Zeichen des Ascii-Zeichensatzes unterstützt. Ratsam ist es auch,
statt Zahlen die mit [Shift] erreichbaren Sonderzeichen zu verwenden oder beide Modi zu
kombinieren. Aus 1964 wird so !)&$, 1)6$
tipp
Wenn Sie noch einen Schritt weiter gehen wollen, dann positionieren Sie einen Zahlenblock an
mehreren Stellen, etwa vor und
innerhalb des merkbaren Begriffs.
oder !9&4. Aus einem Passwort lassen sich
auf diese Weise mindestens zwei oder drei
verschiedene ähnliche Passwörter erzeugen.
Tobias Weidemann
Seite 6
Abgekürzter Satz
Adressbuch-Methode
Weit verbreitet und sinnvoll ist auch die Satz-
Denken Sie sich eine Regel aus, die Sie auf
Methode. Dabei setzen Sie die Anfangsbuch-
Anschriften aus Ihrem eigenen Adressbuch
staben der Wörter eines Satzes zu Ihrem
anwenden. Beispielsweise verwenden Sie bei
Passwort zusammen. Beispielsweise wird aus
Wörtern nur jeweils den ersten Buchstaben
„Alles hat ein Ende, nur die Wurst hat zwei“
und übernehmen alle Zahlen. Aus „Gerda
auf diese Weise AHEENDWHZ. Eine solche
Mustermann, Bahnhofstr. 3, 12345 Wolken-
Aneinanderreihung von Zeichen taucht in kei-
kuckucksheim“ wird dann GMB312345W. Hier
ner Wörterliste auf, und Sie können sie sich
müssen Sie sich nur merken, wem Sie einen
dennoch gut merken.
bestimmten Code zugeordnet haben. Dann
können Sie die Passwörter aus Ihrem Adress-
Abwandeln lässt sich die Kombination, indem
buch reproduzieren, das Sie immer bei sich
Sie Groß- und Kleinbuchstaben benutzen
haben.
(AheEndWhz) und Zahlwörter durch Zahlen ersetzen (Ah1EndWh2). Weitere Varianten: Sie tauschen das O durch eine Null aus
oder ein doppeltes O durch eine 8. Statt you
schreiben Sie U, statt E eine 3, statt i ein !
und so weiter.
Jahreszahlen
Nicht nur für Historiker eignet sich die Strategie, bei der Sie sich an Jahreszahlen und Daten orientieren. Die Methode ist ideal, wenn’s
um reine Zahlencodes geht, zum Beispiel die
PIN fürs Online-Banking. Der Code 54749006
Tobias Weidemann
Seite 7
ist seit der letzten Fußball-WM wohl jedem
Passwörter merken
bekannt, er erklärt aber gut das dahinter stehende Konzept. Nehmen Sie mehrere Daten,
Was nützen optimal gewählte Passwörter,
etwa das Jahr Ihrer Geburt, Ihrer Einschu-
wenn man sie sich nicht merken kann … Ge-
lung und Ihrer Hochzeit, und reihen Sie die
rade wer sich an die oben beschriebenen
zweistelligen Zahlen aneinander. Auch die
Sicherheitsregeln hält, muss eine Vielzahl
Kombination mit Datum und Monatszahl ist
von komplexen Codes parat haben. Es gibt
möglich. Auf Ihr Geburtsdatum sollten Sie
Anwender, die über 50 verschiedene Login-
verzichten – es wäre zu leicht zu erraten,
Passwort-Kombinationen mehr oder weniger
wenn Sie jemand kennt.
häufig benötigen. Da hilft letztlich nur eine
Gedächtnisstütze – und die sollte nicht aus
Zufallsprinzip
Am sichersten sind Kennwörter, die vollstän-
einem Blatt im Geldbeutel bestehen, das alle
Infos im Klartext enthält.
dig nach Zufallsprinzipien erstellt werden.
Das geht mit Passwort-Tools wie Keepass,
Codestar-Tool: Alles auf
sofern Sie die Passwörter auch in einem Tool
eine Karte setzen
speichern. Denn ohne Hilfe können Sie sich
diese Kombinationen definitiv nicht merken.
Informationen, die nur Sie entschlüsseln und
nutzen können, erzeugen Sie mit der Software „Codestar – Passwörter für die Hosentasche“ von SAD (www.s-a-d.de, 6,59 MB,
Tobias Weidemann
Seite 8
für Windows 98/ME, NT 4, 2000 und XP). Das
praktische kleine Tool generiert eine Codematrix, mit deren Hilfe Sie sich bis zu acht
Passwörter notieren können – oder bis zu
16, wenn Sie Vorder- und Rückseite eines
Blattes nutzen. Sie brauchen nur einen Drucker – möglichst einen Farbdrucker – und ein
einfaches Master-Passwort. Dabei darf es sich
sogar um einen Begriff aus dem täglichen
Leben handeln.
Der Clou dabei: Selbst wenn jemand die Karte mit den Codes findet, kann er nichts da-
Nur das Master-Passwort merken: Codestar
druckt Passwörter verschlüsselt auf Karten.
mit anfangen. Er sieht lediglich, für welchen
Zweck das jeweilige Passwort ist. An das
So geht’s: Nach der Installation starten Sie
Kennwort selbst kommt nur, wer das Master-
das Programm und akzeptieren die Lizenz-
Passwort weiß. Das Tool bietet eine Hilfe-
bedingungen. Nun tragen Sie Ihre Passwör-
datei, seine Bedienung ist aber simpel und
ter und den jeweiligen Verwendungszweck
absolut selbsterklärend.
ein. Sie können die Angaben auch um Ihren
Login-Namen ergänzen. Das geht im Feld Für
(Karte, Gerät, etc.). Passwörter können aus
Tobias Weidemann
Seite 9
Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Codestar fordert Sie
jeweils auf, das Passwort zur Sicherheit noch
einmal einzutippen. So tragen Sie bis zu acht
stop
Die Einstellungen müssen bereits
beim Start des Programms richtig
gewählt sein – eine nachträgliche
Korrektur ist nicht möglich.
Passwörter ein.
Je länger das Master-Passwort sein muss,
Im nächsten Schritt legen Sie das Master-
desto schwieriger wird es, einen Begriff zu
Passwort fest. Es muss so viele Buchsta-
wählen, in dem kein Buchstabe mehrfach
ben umfassen wie Ihre längste PIN oder Ihr
vorkommt. Hier bietet sich die Methode des
längstes Passwort. Und: Jeder Buchstabe darf
abgekürzten Satzes an, die wir vorgestellt
lediglich einmal vorkommen.
haben. Ein Beispiel: „Ein Vogel wollte Hochzeit machen in dem grünen Walde“ wird zu
Im letzten Schritt drucken Sie Ihre Codekarte
EVWHMIDGW. Das ergibt ein neunstelliges
aus. Das Tool nutzt automatisch Ihren Stan-
Passwort, das man sich gut merken kann.
darddrucker mit den vorgegebenen Einstellungen. Wenn also beispielsweise Ihr Druck
nur in Schwarz-Weiß erfolgt, obwohl Sie in
Karte lesen
Codestar Farbe gewählt haben, müssen Sie
Jedem Passwort ist am Rand der Karte ein
die Druckereinstellungen entsprechend an-
farbiges Feld zugeordnet. Daran erkennen
passen (Start | Systemsteuerung | Drucker
Sie, auf welche Farbe Sie sich beim Auslesen
und Faxgeräte).
eines bestimmten Codes konzentrieren müs-
Tobias Weidemann
Seite 10
sen. Nun arbeiten Sie Ihr Master-Passwort
Zeichen für Zeichen ab: Bei jedem Zeichen
brauchen Sie das jeweils passende farbige Feld daneben. Falls Sie die Karte nur
schwarzweiß ausgedruckt haben, hilft Ihnen
die Position des Feldes weiter, also zum Beispiel oben links. So setzen Sie nach und nach
den Code zusammen. Weitere Infos bietet die
Anleitung (PDF-Datei).
Keepass: Sichere PasswortVerwaltung für den USB-Stick
Die Codestar-Karte eignet sich für Situatio
Ach, wie gut, dass niemand weiß … Mit Keepass
generieren Sie Passwörter und speichern sie sicher, wo Sie wollen, etwa auf dem USB-Stick.
nen, in denen Sie keinen PC zur Verfügung
haben, wenn Sie etwa Ihre Kreditkartendaten
Experten beurteilen die Open-Source-Pass-
und Bank-PINs brauchen. Wenn ein PC mit
wort-Verwaltung in ungewohnter Überein-
USB-Anschluss bereit steht, bietet sich Kee-
stimmung als extrem sicher (www.keepass.
pass an.
info, 854 KB, für Windows 98/ME, NT 4,
2000, XP und Vista). Nicht nur die Passwörter werden bei Keepass verschlüsselt, son-
Tobias Weidemann
Seite 11
dern auch die gesamte Datenbank, in der
So geht’s: Ähnlich wie bei Codestar benöti-
die Kennwörter abgelegt sind. Zum Einsatz
gen Sie zum Entschlüsseln ein Master-Pass-
kommen die Algorithmen AES/Rijndael und
wort. Sie können es entweder selbst bestim-
Twofish, die auch viele professionelle Ban-
men oder vom Tool erzeugen lassen (Extras |
king-Systeme verwenden. Die Passwörter zu
Passwort-Generator oder [Strg – Z]). Bei
entschlüsseln würde durchschnittlich mehrere
einem automatisch generierten Passwort le-
Millionen Jahre dauern. Kombiniert wird das
gen Sie zunächst fest, welche Zeichen enthal-
Ganze mit einem SHA-256-Hash-Algorith-
ten sein dürfen, und bewegen dann die Maus
mus, einer Prüfsumme mit 256 Bit, die zu
auf dem Bildschirm. Anhand der Bewegungen
jeder Abfrage erstellt wird. Wer sich genauer
wird das Kennwort quasi zufällig generiert.
für das zugrunde liegende Sicherheitskonzept
interessiert, findet unter keepass.info/help/
Nun richten Sie für Ihre Passwörter eine neue
base/security.html ausführliche Infos dazu.
Datenbank ein. Sie können auch mehrere
verwalten, etwa für jedes Familienmitglied
tipp
Keepass ist in englischer Sprache – eine deutsche Sprachdatei
tegorien fest und geben die einzelnen Kenn-
lässt sich nachrüsten. Kopieren
wörter ein. Um eins abzurufen, markieren Sie
Sie die Datei in dasselbe Verzeichnis wie das Tool, und wählen Sie sie
eine eigene. Danach legen Sie die Unterka-
den jeweiligen Eintrag und klicken auf Passwort in Zwischenablage kopieren. Wahlweise
unter View | Change Language. Danach star-
lässt sich auch der Login-Name in die Zwi-
ten Sie Keepass neu.
schenablage kopieren.
Tobias Weidemann
Seite 12
Passwort und Schlüsseldatei
Die Dateien lassen sich in ein beliebiges Verzeichnis verschieben, also auch auf einen
USB-Stick oder eine Diskette. Ein virtuelles
Laufwerk im Internet eignet sich ebenfalls,
sofern sich über diesen Pfad Dateien nachladen lassen.
Wenn Sie das Tool auf die im PC eingebaute
Festplatte kopiert haben, können Sie auch
eine Key-Disk generieren. Das ist sinnvoll,
wenn Sie sich nicht oder nicht nur auf Ihr
Master-Passwort verlassen wollen. In diesem
Fall prüft das Programm am angegebenen
Passwörter to go: Der Passwort-Safe Keepass lässt sich auch vom USB-Stick starten.
tipp
Auf eine ähnliche Weise funktionieren übrigens auch fertige USBStick-Lösungen mit integrierter
Passwort-Software wie der Codemeter-Stick von Wibu-Systems
(www.codemeter.de, ab 49,98 Euro).
Ort nach, ob der Schlüssel steckt, also etwa
ob ein bestimmter USB-Stick angeschlossen
ist. Am sichersten ist natürlich die Methode,
Passwort und Schlüsseldatei zu kombinieren.
Tobias Weidemann
Seite 13
Passwörter geknackt
zehn. Danach wird das Konto gesperrt und
erst nach einigen Minuten selbständig oder
Wie sicher ein Passwort ist, hängt vor allem
auf Nachfrage wieder entsperrt. Eine solche
davon ab. mit welcher Strategie es zu kna-
Sperre können Sie in einigen Fällen selbst in
cken ist. Daher ist es sinnvoll, keinen Begriff
den Einstellungen setzen. Wenn das möglich
aus dem normalen Sprachgebrauch zu wäh-
ist, sollten Sie das zur Sicherheit tun.
len – es wäre über eine Wörterlistenstrategie
herauszufinden. Bei allen anderen Zeichenkombinationen hilft nur ein „Brute-ForceAngriff“ (englisch für „brutale Gewalt“). Dabei
wird nach und nach jede mögliche Kombina
tion durchprobiert – so lange, bis das Passwort ermittelt ist.
Brute Force stoppen
Um sich gegen eine solche Attacke zu schüt-
Die Sicherheits-Formel
Wie viele mögliche Kombinationen gibt es
eigentlich für ein Passwort? Anders gefragt:
Wie sicher ist ein Passwort wirklich? Die
Passwortqualität, also die Zahl der möglichen
Kombinationen N, hängt zum einen von der
Zahl der unterschiedlichen verfügbaren Zeichen Z ab, zum andern von der Länge der
Zeichenfolge L. Die Formel lautet: N = ZL.
zen, gibt es einen ganz einfachen Trick. Vor
allem Websites, die eine Passworteingabe
Damit können Sie sehr schnell ausrechnen,
voraussetzen, können ihn anwenden: Der
wie sicher ein Passwort ist. Der vollständige
Administrator lässt nur eine bestimmte Zahl
Ascii-Zeichensatz besteht aus insgesamt 128
von Fehlanmeldungen zu, beispielsweise
Zeichen – das ist das Maximum an verfüg-
Tobias Weidemann
Seite 14
baren Zeichen. Wenn ein Passwort allerdings
ter in eigenen Dateien angesetzt. Bei einem
keine Sonderzeichen oder Zahlen enthalten
aktuellen Rechner schafften die Programme
darf oder nicht zwischen Groß- und Klein-
durchschnittlich 25 Millionen Versuche pro
schreibung unterschieden wird, verringert
Sekunde – auf den ersten Blick eine beein-
sich die Zahl Z entsprechend.
druckende Zahl. Der Wert relativiert sich
aber, wenn man die Zahl der möglichen Kom-
(Fast) unbegrenzte Möglichkeiten:
binationen durch diese Zahl teilt.
Wie sicher ist ein Passwort?
So dauert es nur knapp elf Sekunden, bis
Wie viele Versuche maximal nötig sind, um
ein Knack-Tool ein vierstelliges Passwort er-
ein Passwort mit einer bestimmten Länge
mittelt hat, das aus sämtlichen Zeichen des
und Zeichentiefe zu knacken, sehen Sie in
Ascii-Zeichensatzes bestehen kann. Für ein
der Tabelle auf Seite 16. Wie lange Ihr Rech-
zehnstelliges Passwort, das nur Großbuchsta-
ner dafür braucht, lässt sich nur schwer vor-
ben kombiniert, bräuchte das Tool immerhin
hersagen. Der Wert hängt zum einen von
rund 66 Tage. Ein zehnstelliger Code, der aus
der CPU-Leistung ab, zum andern vom Pro-
sämtlichen Ascii-Zeichen bestehen kann, ist
gramm, das die Passwörter ausprobiert.
faktisch per Brute Force nicht zu knacken.
Knacker im Einsatz
Sicherheit ist relativ
Zu Testzwecken haben wir Knack-Tools von
Nicht zu knacken – so eine Aussage gilt wohl
Elcomsoft (www.elcomsoft.com) auf Passwör-
gemerkt nur aus heutiger Sicht. Das Moore-
Tobias Weidemann
Seite 15
sche Gesetz besagt, dass sich regelmäßig
innerhalb von 18 Monaten die Leistung von
Rechnern verdoppelt – und es hat bislang
stets Recht behalten. Ein Passwort, das heute
als sicher gilt, dürfte mit hoher Wahrscheinlichkeit in einigen Jahren von handelsüblichen
Rechnern zu knacken sein. Und RechnerCluster – also vernetzte Rechner mit gebündelter Leistung – rücken einem Passwort
noch wesentlich schneller zu Leibe als ein
einzelner PC.
Knacken: So lange dauert es
Wie sicher ein Kennwort ist, hängt vom Zei-
Passwortlänge
4 Zeichen
8 Zeichen
10 Zeichen
Buchstaben
von A bis Z
(26 Zeichen)
456.976
208,8
Millionen
141,2
Billio
nen
Maximale
Entschlüsselungsdauer
0,2
Sekunden
2,3
66 Tage
Stunden
Kompletter
Ascii-Zeichensatz
(128
Zeichen)
268,4
Millionen
72,1
Billiarden
1,2
Trilliarden
Maximale
Entschlüsselungsdauer
11
Sekunden
91
Jahre
ca. 1,5
Mio.
Jahre
chensatz, also der Zahl der unterschiedlichen
Buchstaben, Zahlen sowie Sonderzeichen und
von seiner Länge ab. Pro Sekunde können –
je nach System – durchschnittlich 25 Millionen Passwörter getestet werden.
Tobias Weidemann
Seite 16
Achtung: Windows-Passwort
leicht auszuhebeln
Das Windows-Passwort soll Ihren PC vor den
Zugriffen Unbefugter schützen. Doch es ist
weniger sicher, als es sein könnte. Windows
erstellt beim Einloggen mit dem LAN-Manager für Windows NT 4, 2000, XP und Vista
(NTLM) einen Hash-Wert.
Ein Hash-Wert ist eine eindeutige Umwandlung mit Hilfe einer komplexen Berechnung,
deren Wert eine bestimmte festgelegte Länge aufweist und eine einfache Identifikation
Sicherheitsrisiko
Die Umwandlung in einen LM-Hash hat gleich
mehrere Schwächen. Da Windows aus Kompatibilitätsgründen Buchstaben in Großbuchstaben umwandelt, verringert sich die Zahl
der verfügbaren Kombinationen. Zudem wird
ein Passwort auf 14 Stellen gekürzt oder
aufgefüllt und der Code in zwei siebenstellige Codes aufgeteilt. Nun sind aber zwei siebenstellige Codes leichter zu knacken als ein
vierzehnstelliger.
Testlauf
ermöglicht. Sie dient der schnellen Identifi-
Wer sich für die Methode interessiert, kann
kation, ob ein Passwort richtig oder falsch ist.
zu Testzwecken versuchen, sein eigenes
Aus Kompatibilitätsgründen passiert das Glei-
Windows-Passwort auszuhebeln. Mit einer
che aber auch mit dem LAN-Manager (LM)
cleveren mathematischen Strategie und ei-
für die älteren Windows-Versionen. Und der
ner kostenlosen Software kommt man unter
ist veraltet und unsicherer als NTLM-Hash.
Windows selbst in der aktuellen Version vergleichsweise leicht und in kürzester Zeit an
Tobias Weidemann
Seite 17
den Code. Die englischsprachige Freeware
bereits ein einfaches Linux-Betriebssystem).
Ophcrack arbeitet mit Hilfe von Rainbow-Ta-
Gegebenenfalls müssen Sie zuvor die Boot-
bles (für Windows NT 4, 2000, XP und Vista,
reihenfolge im Bios anpassen.
ophcrack.sourceforge.net, 3,62 MB). Diese
Technik hat der Kryptographie-Experte Philippe Oechslin entwickelt.
Rainbow-Table-Ansatz
Statt in einer langwierigen Prozedur den je-
Die Rainbow-Tables stehen zum Download
weiligen Hash-Wert zu errechnen und auszu-
unter ophcrack.sourceforge.net/tables.php.
probieren, werden die Hash-Werte zu jeder
Je nach Rechner ist eine andere Variante
Passwortvariante nur einmal errechnet und
nötig. Die Tabelle SSTIC04-10k eignet sich
in einer Liste gespeichert. Eine solche Liste
für einen älteren PC mit weniger als 512 MB
wäre aber viele Terabyte groß.
RAM, SSTIC04-5k für einen schnelleren Rechner mit mindestens 512 MB RAM.
Jetzt kommt die Rainbow-Table ins Spiel: Hier
werden die ermittelten Werte zu kürzeren
Alternativ gibt es die Ophcrack Live-CD
Hash-Werten reduziert. Der zum Passwort er-
(ophcrack.sourceforge.net, 462 MB), die
rechnete Hash-Wert gibt nun vor, in welchem
bereits die nötigen Rainbow-Tables enthält.
Teil der Tabelle man nachsehen muss. So sind
Brennen Sie aus der ISO-Datei mit einem
viel weniger Variationen durchzuprobieren.
beliebigen Programm (etwa Nero) eine CD,
Zwar sind es immer noch etliche tausend, sie
und booten Sie Ihr System davon (sie enthält
lassen sich aber viel schneller austesten.
Tobias Weidemann
Seite 18
So dauert es nur wenige Sekunden, ein Passwort zu knacken.
stop
Nutzen Sie das Programm ausschließlich für Ihre eigenen Passwörter. Das Aushebeln fremder
Passwörter ist illegal.
Vertrackte Mathematik: Mit Hilfe der Rainbow-Tables lässt
sich ein Windows-Passwort binnen Sekunden entschlüsseln.
Tobias Weidemann
Seite 19
Wir machen Sie
fit für die
digitale Welt!
Technik
Wissen
Faszination
Jetzt eine Ausgabe kostenlos testen:
www.pcwelt.de/shopcode
246
Shopcode merken für
die Online-Bestellung
ratschlag24.com
Das neue Ratgeber-Portal ratschlag24.com liefert Ihnen täglich die besten Ratschläge
direkt auf Ihren PC.
Viele bekannte Autoren, Fachredakteure und Experten schreiben täglich zu
Themen, die Sie wirklich interessieren und für Sie einen echten Nutzen bieten.
Zu den Themen zählen Computer, Software, Internet, Gesundheit und
Medizin, Finanzen, Ernährung, Lebenshilfe, Lernen und Weiterbildung,
Reisen, Verbrauchertipps und viele mehr. Alle diese Ratschläge sind für
Sie garantiert kostenlos. Testen Sie jetzt ratschlag24.com – Auf diese
Ratschläge möchten Sie nie wieder verzichten.
ratschlag24.com ist ein kostenloser Ratgeber-Dienst der eload24 AG
www.eload24.com
eload 24
Viel guter Rat ab 3 Euro monatlich
Die neuen Flatrate Modelle von eload24
Das ist ein Wort: Sie bekommen freien Zugang zu allen eBooklets und eBooks
bei eload24. Sie können alles laden, lesen, ausdrucken, ganz wie es Ihnen
beliebt. Eine echte Flatrate eben, ohne Wenn und Aber. Sie werden staunen:
Unser Programm mit nützlichen eBooklet-Ratgebern ist groß und wird laufend
erweitert.
Der Preisvorteil ist enorm:
24 Monate Flatrate für nur 72,– E (3,– E monatlich)
Selbst wenn Sie nur zwei eBooklets der preiswertesten Kategorie im
Monat laden, sparen Sie im Vergleich zum Einzelkauf.
Tausende Kunden haben dieses Angebot schon wahrgenommen,
profitieren auch Sie dauerhaft. Wenn Sie nach Ablauf der Flatrate
weitermachen wollen, dann brauchen Sie nichts zu tun: das
Flatrate-Abonnement verlängert sich automatisch. Bis Sie es
beenden.
Kaufen Sie jetzt die Flatrate Ihrer Wahl. Und schon einige
Augenblicke später stehen Ihnen hunderte toller Ratgeber
uneingeschränkt zur Verfügung: Packen Sie mal richtig zu!
www.eload24.com/flatrate

Geniale Passworttricks 24 eload

Transcrição

Documentos relacionados

Sicherheit_Flyer (DEU) - ITS

Targa WR500

10 Vermutlich sind Ihre Passwörter längst bekannt

Umdenken beim Thema Passwortsicherheit

Anleitung zur Anmeldung im SIS

Klassenumfrage: Welcher Web

2 Wie sicher ist mein Passwort?

Dein Passwort

Das 6-Punkte-Programm für bessere Sicherheit in der

Sehr geehrte Kunden, wir haben für Sie alle