Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

Transkript

1 Reaktive Sicherheit II. Passwörter Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 20. Oktober 2009

2 Grundlegendes Grundlegendes Einwegfunktion (One-Way Function) OWF: X Y muss folgende Eigenschaften haben y = OWF(x) ist einfach zu berechnen zu gegebenen y = OWF(x) ist es schwer (praktisch unmöglich) x zu berechnen Kryptographische Hash-Funktionen haben diese Einweg-Eigenschaft (neben weiteren Eigenschaften) Beispiele für kryptographische Hash-Funktionen: MD4, MD5 (MD Message Digest) SHA-1 (SHA Secure Hash Algorithm) Message Authentication Codes (MACs) werden auch als Hash- Funktionen mit Schlüssel (Keyed Hash Functions) bezeichnet 2/16

3 Grundlegendes Grundidee zur Passwortverwaltung und -überprüfung Sei OWF eine Einwegfunktion und MAC(k,M) ein MAC mit Schlüssel k über Nachricht M im System gespeichert wird OWF(Passwort) oder MAC(Passwort, Konstante) Überprüfung vom Eingabepasswort OWF(Eingabepasswort) == OWF(Passwort)? MAC(Eingabepasswort, Konstante) == MAC(Passwort, Konstante)? 3/16

4 Grundlegendes Wörterbuchangriff Voraussetzung: OWF(Passwort) liegt vor Für alle Worte w aus Wörterbuch berechne OWF(w) und merke Zuordnung z: OWF(w) -> w durchsuche alle OWF(w) nach OWF(Passwort) falls Übereinstimmung gefunden ermittle z(owf(passwort)) Passwort einmal berechnet können alle OWF(w) und z immer wieder verwendet werden analog für MAC(Passwort, Konstante) statt OWF(Passwort) 4/16

5 Grundlegendes Gegenmaßnahme zum Wörterbuchangriff: Salt Salt erschwert Wörterbuchangriff, um ein beliebiges Passwort aus mehreren Passworteinträgen zu brechen kein Effekt bei Wörterbuchangriff gegen einen spezifischen Passworteintrag Für jeden Passworteintrag wird ein Salt gewählt, z.b. zufällig oder abhängig von der Tageszeit Statt OWF(Passwort) wird Salt, OWF(Passwort Salt) gespeichert x y kombiniert die Werte x und y, z.b. XOR Überprüfung OWF(Passwort Salt) == OWF(Eingabepasswort Salt) OWF(wort salt) muss für jeden Salt (jeden Passworteintrag) vorausberechnet werden 5/16

6 Grundlegendes Wörterbuchangriff ohne Salt Passworteinträge ==? (voraus) berechnet Zuordnung z Wörterbuch OWF(Passwort1) OWF(Passwort2) OWF(Passwort3) OWF(w1) OWF(w2) OWF(w3) w1 w2 w3 6/16

7 Grundlegendes Wörterbuchangriff mit Salt Passworteinträge ==? (voraus???) berechnet Zuordnung z Wörterbuch salt1, OWF(Passwort1, salt1) salt2, OWF(Passwort2, salt2) salt3, OWF(Passwort3, salt3) OWF(w1, salt1) OWF(w2, salt1) OWF(w3, salt1) OWF(w1, salt2) OWF(w2, salt2) OWF(w3, salt2) OWF(w1, salt3) OWF(w2, salt3) OWF(w3, salt3) w1 w2 w3 w1 w2 w3 w1 w2 w3 7/16

8 Passwörter unter Unix Erstellung der Passworteinträge alt: crypt() Unix verwendet Verschlüsselungsalgorithmus DES (als eine Art MAC) Konstante (64 Nullbits) wird 25 mal verschlüsselt mit Passwort als Schlüssel (DES-Schlüssellänge 56 Bit) 64 Bit Chiffretext repräsentiert MAC(Passwort, ) Base64-Kodierung 11 ASCII-Zeichen neu: Hash-Funktion MD5 zu maximal 127 Zeichen langem Passwort wird 16 Byte Hash-Wert berechnet Base64-Kodierung liefert 22 ASCII-Zeichen Verwendung von MD5 durch voranstellen von $1$ erkennbar 8/16

9 Passwörter unter Unix Base64-Kodierung: Unix (2) 6-Bit-Werte 0, 1,..., 25, 26, 27,..., 51, 52, 53,..., 61, 62, 63 werden abgebildet auf ASCII-Zeichen A, B,..., Z, a, b,..., z, 0, 1,..., 9,., / Salt abhängig von der Tageszeit gewählt alt crypt(): 12 Bit; beeinflusst DES-spezifische Parameter) neu MD5: 48 Bit Base64 kodiert dem OWF- bzw. MAC-Wert vorangestellt mm:uhui19cb5avu.: Bit Salt Base64 kodiert 64 Bit DES salt (Passwort, ) Base64 kodiert MD5 verwendet mm:$1$9d6j2um6$bmfozozqohctpxrjyl7k1/:... Trennsymbol 48 Bit Salt Base64 kodiert 128 Bit MD5(Passwort Salt) Base64 kodiert 9/16

10 Passwörter unter Unix Unix (3) Passworteinträge ursprünglich in /etc/passwd gespeichert mm:uhui19cb5avu.:6377:6100:micha Meier:/home/mm:/bin/bash Benutzerkennung Salt & OWF(Passwort) User-ID Group-ID Home-Verzeichnis Benutzername Shell passwd muss für alle Benutzer lesbar sein Passworteinträge ausgelagert in nicht öffentliche Datei /etc/shadow mm:x:6377:6100:micha Meier:/home/mm:/bin/bash Eintrag in /etc/shadow mm:uhui19cb5avu.:... 10/16

11 Passwörter unter Windows Windows Erstellung des Passworteintrags (NTLM-Hash) mit kryptographischer Hash-Funktion MD4 zuvor Passwort auf 14 Byte erweitern (mit Nullen) oder zurechtschneiden Umwandlung von ASCII nach Unicode 128 Bit Hash-Wert aus Kompatibilitätsgründen zweiter Passworteintrage (LM-Hash) verwaltet (deaktivierbar) Zuvor: Kleinbuchstaben durch Großbuchstaben ersetzen und Passwort auf 14 Byte erweitern (mit Nullen) oder zurechtschneiden die ersten bzw. letzten 7 Byte des Passwortes bilden k1 bzw. k2 LM-Hash = DES(k1, "KGS!@#$%") + DES(k2, "KGS!@#$%") Konkatenation 11/16

12 Passwörter unter Windows Windows (2) NTLM-Hash und LM-Hash gespeichert in Security Account Manager Database %WINDIR%\system32\config\SAM Als Registry-Eintrag (HKEY_LOCAL_MACHINE\SAM\SAM) Zugriff im laufenden System nicht möglich auch nicht für Administrator (SYSTEM-Rechte nötig) Datei dauerhaft vom System verwendet und kann nicht ohne weiteres geöffnet werden über DEBUG-Privileg (Administrator) kann man den Prozess dazu bringen, die Passworteinträge auszulesen (pwdump) 12/16

13 Angriffe auf Passwörter Angriffe zur Ermittlung von Passwörtern Überredung (social engineering) Sichtkontakt (shoulder surfing) Hardware- oder Software-Tastatureingabeprotokollierung 13/16

14 Angriffe auf Passwörter Angriffe zur Ermittlung von Passwörter (2) Abhören im Netz (sniffer) Trojanische Pferde Login-Programm Gegenmaßnahme: Trusted Path Rootkits Systematisches Probieren online crtl-alt-entf vorm Windows-Login unterbricht alle Programme die ein Login vortäuschen könnten Verwendung der Anmelde-Funktion des Systems nicht verhinderbar, aber Angreifer kann verlangsamt werden (z.b. 5 Minuten warten nach 3 Fehlversuchen) 14/16

15 Angriffe auf Passwörter Angriffe zur Ermittlung von Passwörter (3) Systematisches Probieren offline Nachempfinden der Authentifikationsmethode Authentifikationsdaten (Passworteinträge) erforderlich Wörterbuchangriff Brute-Force-Angriff (Durchprobieren aller Zeichenkombinationen) Gegenmaßnahmen Zugang zu Authentifikationsdaten schützen Suchraum (möglicher Passwörter) vergrößern 15/16

16 Angriffe auf Passwörter Werkzeuge z.b. Cain & Abel und John the Ripper 16/16