Passworte 3. November 2010

Transkript

1 Aktuelle Trends bei der Authentisierung: Sind Passworte noch zeitgemäß? Rainer W. Gerling Datenschutz- und IT-Sicherheitsbeauftragter Max-Planck-Gesellschaft M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 1 AGENDA 1 Passwortspeicherung: Die Grundlagen 2 Passworte knacken: wie geht das? 3 Alternativen: Einmalpassworte 4 Alternativen: Challenge Response 5 Was kann man tun? M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 1

2 Passwort Speicherung Passworte wurden auf dem Server im KLARTEXT gespeichert Jeder Provider/Webhoster, der Ihnen Ihr Passwort im PIN-Brief zuschicken kann, speichert im Klartext APOP speichert im Klartext Challange-Response-Systeme speichern im Klartext außer sie sind Signatur-basiert Heute ist eine Speicherung mit einer Einweg-Verschlüsselung (Passwort-Hash) Stand der Technik Unter Unix ist der Platz: /etc/passwd für jeden Benutzer lesbar (ypcat) Aktuell: Shadow-Passwort-Datei (/etc/shadow) nicht mehr frei lesbar Unter NT/200x/XP/Vista/7 In der SAM in \winnt\system32\config\sam M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 3 Passwortspeicherung unter UNIX Passworte werden als Schlüssel zur Verschlüsselung mit DES-ECB (Null-String) benutzt. Insgesamt werden 25 Iterationen gemacht Verlängert Rechenzeit Es gibt ein SALT (12 Bit) zur leichten Modifikation des DES So wird verhindert, daß gleiche Passworte bei verschiedenen Nutzern erkennbar sind vergrößert den Aufwand für vorberechnete Tabellen Nur Null-Bits Original DES Maximal 8 Zeichen lange Passworte, 7 Bit pro Zeichen Passworte und SALT werden ASCII-codiert gespeichert Beispiel (2 Zeichen Salt 11 Zeichen Passwort): Geheim: abokmxxhjdb.y 12TFev5TjycNM R58phtEEFXUmI M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 2

3 Passworte unter NT LANManager Maximal 14 Zeichen, aufgeteilt in zweimal 7 Zeichen; gegebenenfalls mit Nullen auffüllen Die 7 Byte (56 Bit) werden jeweils als DES Schlüssel aufgefasst, um KGS!@#$% zu verschlüsseln Die beiden Ergebnisse sind der LM-Hash Es müssen nur zwei 7 Zeichen Passworte geknackt werden Passwort < 8 Zeichen 2. Hälfte: 0xAAD3B435B51404EE NT Beim NT-Hash wird der Unicode-String des NT Passworts (gegebenenfalls mit Nullen aufgefüllt) mit MD4 gehasht. GUI erlaubte nur Eingabe von 14 Zeichen, obwohl 128 möglich wären. seit XP SP2 längere Passworte möglich Optimal 15 Zeichen NT-Hash war fürs Knacken eher unwichtig! M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 5 NT Challenge Response LM-Challenge Response wird mitgeschickt Aus LM-Hash werden durch Anhängen von 5 Null-Bytes drei DES- Schlüssel (16+5=3*7) xxxxxxxxxxxxxx xxaad3b435b514 04EE Mit diesen drei Schlüsseln wird das Challenge verschlüsselt Damit ist wieder ein relativ einfaches Knacken möglich Zuerst kann <8 Zeichen über dritten Schlüssel verifiziert werden Mittlerer Schlüssel erfordert 256 Verschlüsselungen Erster Schlüssel mit Standard Methoden Für eine Netzwerkanmeldung wird das Passwort nicht benötigt, sondern nur der LM-Hash Steht in der SAM M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 3

4 Wie werden Passworte geknackt? Entschlüsseln ist nicht möglich!! Wenn verschlüsselte/gehashte Passworte bekannt sind, kann geraten werden. Das geratene Passwort wird verschlüsselt/gehasht und mit dem gespeicherten Passwort verglichen. Passwort-Knack Programme raten auf Basis von Wörterbüchern. Bei geringen maximalen Passwortlängen ist auch Brute Force heute möglich. Bei Direktzugriff auf die Passwortdatei ist auch ein Anmeldelimit irrelevant. M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 7 Rechtliches Passwort-Knacken ist eine Straftat: 202a Ausspähen von Daten! Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird [...] bestraft. Besondere Sicherung gegen unberechtigten Zugriff erforderlich ausreichend: Sperren, die für den sachkundigen Laien erhebliche Hindernisse darstellen bei Ausspähen während der Übermittlung: Schutz der Daten durch Verschlüsselung Tathandlung: sich oder einem anderen verschaffen: Kenntnisnahme reicht aus M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 4

5 root asdfgh root Triviale Passworte root 0727 root 007 root r00t root 0007 root com root root id root root 4runner root asdfghjkl root 2welcome root 0246 root nevada root router root 0249 root * root 1 root muiemare root 1022 root tmp123 root 10sne1 root qwerty root root administrator root root rootroot root xxx root root1 root 1225 root root 123 root administrator1 root root backup root 1234 root admin1 root root secure root 1234qwer root secret root 123abc root passwd root 123go root password123 root 1313 root welcome root root aaaaaa root root abcdef root root abcdefg root 1701d root action root 1928 root adidas root 1951 root airhead root 1a2b3c root alaska root 1p2o3i root amanda root 1q2w3e root america root 1qw23e root america1 M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 9 root 1sanjose L0phtcrack/John the Ripper Erlauben es NT Passworte zu knacken Input Datei erforderlich am laufenden System erzeugen aus Backup oder Recovery Disketten erzeugen Rechner mit DOS/Linux booten (ntfsdos) im Netz abhören LAN Manager Passworte abschalten Eintrag in der Registry erforderlich löscht keine LAN-Manager-Passworte Unter Windows 7 per Default ausgeschaltet Anmelden mit Windows 3.x und Windows 9x ohne Zusatzsoftware nicht mehr möglich M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 5

6 Rainbow Tables (Philippe Oechslin, 2003) Funktionieren mit Hash-Funktionen und Verschlüsselungen wo P fest ist (NT-Passworte) Passwort-Speicherung mit Salt ist derzeit immun P ist Klartext, C verschlüsselter Text, k ein Schlüssel C=S ki (P) K i wird mit S ki (P) zu C i wird mit eine Reduktionsfunktion zu K i+1 Damit Folgen: k i k i+1 k i+2 k i+3 der Länge T k i und k i+t werden in Tabellen gespeichert Ausgehend von C bilden wir Folgen der Länge T und schauen, ob wir ein K i+t finden Wenn ja, können wir die Kette rekonstruieren und sind fertig Alphanumerische NT-Passworte in 2 sec. mit 1,1 Gbyte Tabelle Memory Time Trade-off M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 11 Rainbow Tables (Philippe Oechslin, 2003) Kettenlänge 3 7 Quelle:Wikipedia, Autor: dake M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 6

7 Zeichensätze (z.b. ophcrack) LANmanager (XP) A..Z a..z 0..9 frei verfügbar A..Z a..z }~ A..Z a..z }~ääööüüß 99 US-$ 99 US-$ NThash (7, Vista, XP speziell) je 99 US-$ 6 Zeichen (8GB) A..Z a..z 0..9!"#$%&'()*+,-./:;<=>?@[\]^_`{ }~ 7 Zeichen (8 GB) [8 Zeichen 135 GB, 499 US-$] A..Z a..z Zeichen (8 GB) [9 Zeichen 52 GB, 499 US-$] a..z 0..9 Gute Passworte: 10 (besser 12) Zeichen aus vier Gruppen (ideal: 15 Zeichen unter Windows) M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 13 Demo frei im Netz M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 7

8 Passworte und Tesla-GPGPUs 6 Zeichen, je ein Zeichen aus: ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz !"#$%&'()*+,-./:;<=>?@ [\]^_` { }~ 96 Zeichen: 96 6 = 7.4*10 11 Unter Windows XP/Vista/7: MD4-Hash auf einer C1060 Tesla Karte: Sekunden für den kompletten Passwortraum Der Cluster hat 132 GPGPU Quelle: Dr. Carsten Aulbert - Max Planck Institute for Gravitational Physics M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 15 Einmal-Passworte S/Key, OPIE: Software für Einmal-Passworte Software Ideal für Organiser (Palm und Co.) Server-Anwendungen müssen angepaßt werden ftpd, login und su werden mitgeliefert Hardware Token für Einmal-Passworte SecureID von RSA Security SecOVID von Kobil Digipass von Vasco Yubikey von Yubico Transaktionsnummern (TAN)-Verfahren TAN-Liste, indizierte TAN-Liste, eventuell auch mit Bestätigungsnummer Mobile TAN (mtan) per SMS aufs Handy incl. Zielkontonummer sm@rt-tan wird aus EC-Karte mit Lesegerät erzeugt Derzeit nur Volksbanken M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 8

9 S/Key & OPIE Software für Einmal-Passworte Ideal für Organiser (Palm und Co.) Hashfunktion: S/Key: MD4 OPIE: MD5 (und SHA) Server-Anwendungen müssen angepasst werden ftpd, login und su werden mitgeliefert M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 17 Wie funktioniert S/Key? Eine Einweg-Funktion h wird n-mal auf einen Startwert x angewandt: y n =h(h(...h(x)...)). Der Startwert besteht aus dem geheimen Benutzerpasswort und der öffentlichen Kennung. Im Host gespeichert ist (n, y n+1 ). Dies kann aus y n leicht berechnet werden. Nach der erfolgreichen Anmeldung wird (n-1, y n ) gespeichert. Passwort N+1 Passwort N+1 Passwort N Passwort 2 Passwort 1 M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 9

10 S/Key & OPIE winkey21.exe über google suchen 53 est cab mug risk crag sail 52 rift slam were room mars kirk 51 bond don vice silk loud to 50 four hymn jug racy weir tune... M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 19 SecureID, SecOVID und Digipass RSA SecureID 4-stellige PIN + 6-stellige Zahl vom Token sind das Passwort. Die 6-stellige Zahl wechselt jede Minute. Nachteil: Kosten (kein Batteriewechsel) Kobil SecOVID achtstellige numerische Code & PIN Der numerische Code wechselt auf Knopfdruck Vasco Digipass Verschiedene Modelle mit Knopfdruck Yubico Yubikey Ohne Batterie M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 10

11 SecureID SecurID classic Proprietärer Hash-Algorithmus 64-bit Zufallszahl ( Identität des Tokens) Aktuelle Zeit Angezeigt wird der weiterverarbeite Hashwert (6 8 Ziffern) SecurID seit Anfang 2003 AES im Standard ECB Modus 128 Bit Token-spezifische echte Zufallszahl 64 Bit aktuelle Zeit 32 Bit Seriennummer des Tokens 32 Bit Padding (zukünftige Verwendung) Angezeigt wird der weiterverarbeite Hashwert (6 8 Ziffern) Jeder Token wird mit einer Datei geliefert, damit der Server die nötigen Infos bekommt. M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 21 Yubikey cccccccbunfuvbdnnigurinkuubfbivblcdgnlfdvkuv cccccccbunfugcbjghhkdilfucktlvvhlgitrcvnfded cccccccbunfuhunkgkenlbhireenliielcjiklfbircd 6 Byte Identität des Geräts (6 Byte default; variabel 0 16 Byte) 16 Byte Geheimnis, AES 128 verschlüsselt; Server muss Schlüssel kennen 6 Byte Private (geheime) ID 2 Byte Zähler; Erhöhung um 1 bei jedem Einstecken 3 Byte Zeit; Erhöhung um 1 mit 8 Hz, wenn eingesteckt 1 Byte Zähler; wird bei jedem Tastendruck um 1 erhöht 2 Byte Zufallszahl 2 Byte CRC16 Prüfsumme Modhex-Kodierung der Bytes stellt sicher, dass das Tastaturlayout irrelevant ist M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 11

12 Passworte Mitarbeiter geben ihre Passworte weiter! Wir sensibilisieren, aber. Technische Lösung: Passwort = Wissen Besitz und Wissen M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 23 Passworte Mitarbeiter geben ihre Passworte weiter! Wir sensibilisieren, aber. Technische Lösung: Passwort = Wissen Besitz und Wissen Besitz suggeriert, dass ich etwas bei mir habe! M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 12

13 Passworte Mitarbeiter geben ihre Passworte weiter! Wir sensibilisieren, aber. Technische Lösung: Passwort = Wissen Besitz und Wissen Besitz suggeriert, dass ich etwas bei mir habe! Es reicht aber, den Token zu sehen!! oder mit jemanden zu telefonieren, der ihn sieht M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 25 Der Aufbau Eine Web-Cam Ein passwortgeschützer Web-Server (https) je nach Token etwas / Robotik M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 13

14 Was ist zu tun? Überlappende Nutzung unmöglich machen Ein User darf nur einmal angemeldet sein Wir müssen prüfen, ob der Nutzer den Token bei sich hat (Besitz) axsionics hat eine Ansatz Fingerabdruck zur Freigabe Beim Denken die vorgegebenen Bahnen verlassen M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 27 M2.11 Regelungen des Passwortgebrauchs (IT Grundschutz Kataloge) Das Passwort darf nicht leicht zu erraten sein. Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden, das kein Buchstabe ist (Sonderzeichen oder Zahl). Wenn für das Passwort alphanumerische Zeichen gewählt werden können, sollte es mindestens 8 Zeichen lang sein. Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage. Nach drei aufeinander folgenden fehlerhaften Passworteingaben für dieselbe Kennung sollte das Authentisierungssystem den Zugang hierfür sperren (für eine bestimmte Zeitspanne oder dauerhaft). M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 14

15 Vorschlag für Passwortregeln Grundsatz Der berechtigte Benutzer muss sich sein Passwort leicht merken können. Für alle anderen muss es dagegen möglichst schwer sein, das Passwort herauszufinden. Es sind individuelle Benutzerkennungen und Passwörter zu verwenden. Ein Passwort muss geheim gehalten werden. Es darf keiner anderen Person, weder im privaten noch im dienstlichen Umfeld, auch nicht dem Systemverwalter, dem dienstlichen Stellvertreter oder Vorgesetzten, mitgeteilt werden. Triviale Passwörter sind zu vermeiden. M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 29 Vorschlag für Passwortregeln zehn Ein Passwort muss aus mindestens acht Zeichen bestehen. Es muss sowohl Groß- als auch Kleinbuchstaben sowie Ziffern und Sonderzeichen enthalten. Für jedes System sollte ein anderes Passwort verwendet werden. Hat ein Systemverwalter einem Benutzer ein neues Passwort eingerichtet, so muss der Benutzer dieses Start-Passwort bei seiner ersten Anmeldung ändern. Ein Passwort muss umgehend geändert werden, wenn der Verdacht besteht, dass es einer anderen Person bekannt wurde. Alle Passwörter von System- oder Anwendungssoftware, die vom Hersteller voreingestellt wurden, sind nach der Installation des Systems umgehend zu ändern. M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 15

16 Gegenmaßnahmen Den Hash-Vorgang mehrfach anwenden 10 mal hashen verlängert das Knacken um den Faktor mal hashen verlängert das Knacken um den Faktor Zeichen länger beim Passwort ist ein Faktor 96. Erhöht die Last auf dem Authentisierungsserver Dem Angreifer den Passwort-Hash nicht zugänglich machen Geldautomaten kommen mit vier Ziffern aus! Problem: Offline Anmeldung OS cached das gehashte Passwort Windows, SSH: Anmeldung mit Zertifikat Für die Anmeldung benötigt man ein spezielles Schlüsselpaar. Nie mit einem Unterschriftsschlüssel anmelden! Keine Anmeldung mit epa- Signatur! Windows: Passwortfeld im AD darf nicht leer bleiben! Festplatte verschlüsseln M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE 31 Vielen Dank für Ihre Aufmerksamkeit! M A X - P L A N C K - G E S E L L S C H A F T Rainer W. Gerling, Passworte, SEITE Rainer W. Gerling 16