Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 9: Benutzerauthentifikation Lehr- und Forschungsgebiet Informatik 4, RWTH Aachen, http://www-i4.informatik.rwth-aachen.de/lufg/ 1
Übersicht Benutzer, Passwörter und Authentifikation Was ist Authentifikation? Was sind gute Passwörter? Wie Passwort-Authentifikation in Unix implementiert wird Windows-Passwort-Authentifikation PAM (Pluggable Authentication Modules) Danach: Benutzer, Gruppen, Superuser Zugriffsschutz auf Dateisystemebene 2
Authentifikation - Wozu? Security hat immer etwas mit authorized entities zu tun Authorisierung: Unterscheidung zwischen Befugten und Unbefugten Authentifikation: die eigene Identität nachweisen, Voraussetzung von Authorisierung Authentifikation geschieht in der realen Welt oft nebenbei Vorgaukeln falsche Identitäten ist schwer, insbesondere in geschlossenen Umgebungen (kleine Firma, Freundeskreis) Erkennen des Gegenübers an der Stimme/am Aussehen Authentifikation in der elektronischen Welt ist eine der lästigsten Dinge für Benutzer, die es gibt In kleinen, geschlossenen Systemen weniger wichtig als in grossen Firmen, in Netzwerken oder sicherheitskritischen Umgebungen Tradeoff: Qualität der Authentifikation vs. Benutzbarkeit 3
Prinzipielle Authentifikationsmethoden Spieler bei der Authentifikation: Prover: derjenige, der sich authentisieren will Verifier: derjenige, der Authentifizierung durchführt (und am Ende Ja oder Nein sagt) Rollen können wechseln (gegenseitige Authentifikation) Man kann sich authentifikation durch... etwas, was man hat (Schlüssel, Chipkarte,...)... etwas, was man ist (biometrische Merkmale: Gesicht, Haut, Fingerabdruck,...)... etwas, was man weiss (Passwort, Algorithmus,...) Keine der drei Methoden ist wasserdicht Passwortsniffer, geklaute Schlüssel, abgeschnittene Finger Prinzipielle Implementierung: Prover besitzt ein Geheimnis Verifier prüft, ob Prover das Geheimnis kennt 4
Starke vs. Schwache Authentifizierung uneinheitlich verwendete Begriffe bei schwacher Authentifikation wird das Authentifikations- Geheimnis zwischen Prover und Verifier ausgetauscht schwache Authentifikation meint oft Authentifikation über Passwörter Gefahr von Abhören und Replay bei starker Authentifikation wird dieses Geheimnis nicht direkt ausgetauscht allenfalls in unlesbarer Form verwendet Challenge-Response-Protokoll sicher gegen Abhören aber vor allem auch gegen Replay (siehe z.b. Einmalpasswörter gleich) starke Authentifikation basiert gewöhnlich auch auf einer Kombination von Authentifikationsmethoden Beispiel: Besitz einer Smartcard und Wissen einer PIN 5
Benutzernamen in Unix Jeder Benutzer eines Unix-Systems sollte sein eigenes Benutzerkonto (account) haben Ein Konto wird durch eine User ID (UID) identifiziert kann einen oder mehrere Benutzernamen (Kennung, username) haben Um unbefugte Benutzung zu vermeiden, ist traditionell jedem Konto ein geheimes Passwort zugeordnet benötigt Benutzername und Passwort Unix-Benutzernamen sind alphanumerische Strings früher maximal 8 Zeichen lang, heute auch länger (Vorsicht bei Sonderzeichen) sind pro System eindeutig Identifizieren dich auch ohne Passwort (E-Mail-Adressen verwenden oft die Benutzerkennung) es gibt keine feste Regel, wie Benutzernamen gebildet werden werden aber teilweise nach festen Regeln vergeben 6
Authentifikation über Passwörter Authentifikation über gemeinsames Geheimnis: Passwort Wenn man sich anmeldet, tippt man das geheime Passwort ein, um zu beweisen, wer man ist Unix zeigt das Passwort beim Eintippen nicht an Schutz vor shoulder surfing Vorteile von Passwörtern: sind weit verbreitet und (relativ) einfach zu verwenden benötigen keine Spezialhardware (Kartenleser etc.) Nachteile: können leicht abgefangen werden (vor allem über's Netz oder durch keylogger) verlangen vom Benutzer viel Vorsicht "gute" Passwörter verwenden aufpassen, dass man nur vertrauenswürdiger Eingabegeräte vor sich hat aufpassen, dass Passwort nie unverschlüsselt über's Netz geht 7
Falscheingabe des Passwortes Man kann das System so konfigurieren, dass es nach mehrmaliger Falscheingabe des Passwortes das Benutzerkonto sperrt Vorteil: Schutz vor Angreifern, die versuchen, Passwort zu raten Benutzer kann erkennen, dass jemand einen Einbruchsversuch gemacht hat Systemverwalter kann erkennen, dass jemand einen Einbruchsversuch gemacht hat Nachteil: Denial-of-Service möglich In der Praxis: Gefahr durch Denial-of-Service größer als Nutzen der Einbruchserkennung Besser: wachsende Verzögerung nach jedem Fehlversuch 8
Ändern des Passwortes Durch das Kommando passwd erst altes Passwort eingeben! neues Passwort zur Kontrolle doppelt eingeben (Backspace funktioniert), neues Passwort nicht vergessen Bei Netzwerkauthentifizierung (z.b. NIS) andere Kommandos möglich Wenn neues Passwort durch Administrator gesetzt sofort in eigenes, neues Passwort ändern Oft werden dieselben Passwörter genommen (beliebt: "changeme", "password") Kennung konfigurieren, so dass beim ersten Login Passwort geändert werden muss Testen des neuen Passwortes: /bin/su user oder ssh user@localhost besser nicht komplett ausloggen und wieder einloggen Administrator kann /bin/su user machen ohne altes Passwort einzugeben 9
Übersicht Benutzer, Passwörter und Authentifikation Was ist Authentifikation? Was sind gute Passwörter? Wie Passwort-Authentifikation in Unix implementiert wird Windows-Passwort-Authentifikation PAM (Pluggable Authentication Modules) 10
Schlechte Passwörter Ein schlechtes Passwort ist ein Passwort, was leicht zu erraten ist Gute Passwörter sind leicht zu merken, aber... sind keine Namen... haben keinen direkten Bezug zur Person (Telefonnummer, Geburtsdatum, Alma Mater)... enthalten möglichst Mischung aus Klein- und Grossbuchstaben, Zahlen, Satzzeichen... haben eine ausreichende Länge (mindestens 8 Zeichen)... stammen nicht aus einem Wörterbuch... sind kein einfaches Muster von der Tastatur (z.b. "qwerty")... keines der obigen rückwärts buchstabiert... keines der obigen mit einer einzelnen Ziffer davor oder dahinter 11
Gefahren durch schlechte Passwörter Ein schlechtes Passwort erlaubt einem Angreifer lokalen Zugang auf einem System lokaler Zugang ist relativ einfach erweiterbar auf Administrator- Rechte Bei vielen Kennungen ist die Wahrscheinlickeit hoch, dass wenigstens ein schlechtes Passwort dabei ist Administratoren sollten lokale Passwörter regelmäßig testen Passwort-Cracker verwenden (siehe später) oder bei der Veränderung des Passwortes einige Heuristiken prüfen (mindestens 6 Stellen, Gross/Kleinschreibung etc.) 12
Anzahl von guten Passwörtern PIN (vierstellig): 10 000 verschiedene Kombinationen 26 Kleinbuchstaben, 8 Zeichen: 26 8 2 10 11 unterschiedliche Passwörter 2 x 26 Buchstaben, 10 Ziffern, 30 Satzzeichen: mehr als 90 verschiedene Zeichen mehr als 90 8 4.3 10 15 Passwörter mit 8 Zeichen Wörterbücher enthalten insgesamt nicht viel mehr als 5 Millionen Wörter Also: schlechte Passwörter reduzieren den Suchraum auf ca. 0.0000000001 % der Originalgröße Es gibt genug Auswahl und in dieser Beziehung keine Ausrede für ein schlechtes Passwort 13
Gute Passwörter Gute Passwörter sind schwer zu erraten Einige Charakteristiken: Gute Passwörter... enthalten sowohl Großbuchstaben als auch Kleinbuchstaben... enthalten Buchstaben, Ziffern und Satzzeichen... sind leicht zu merken, brauchen also nicht aufgeschrieben zu werden... sind 7 oder 8 Zeichen lang... können schnell eingetippt werden Vorschläge zur Wahl eines guten Passwortes: zwei kurze Wörter verbunden mit Zahl oder Sonderzeichen ein selbstgewähltes Akronym (z.b. "Ttl*Hiww") Nonsensewörter, die leicht zu merken sind (z.b. alternierende Konsonanten und Vokale, z.b. "huromork") nicht: Ttl*Hiww oder huromork 14
Passwort-Synchronisation Wenn man mehrere Passwörter auf unterschiedlichen Maschinen hat, möchte man gerne auf allen dasselbe Passwort verwenden Vorteil: starkes Passwort wiederverwenden spart Grips Nachteil: ein Einbruch gefährdet alle Konten Insbesondere Problem im WWW: viele online-konten für Mail, e-shopping, etc. Einfacher Angriff: eigene Website, auf der man sich mit Name und Passwort anmelden muss Passwörter haben hohen Wiedererkennungswert! Ansatz: sicheres Passwort variieren z.b. Anfangsbuchstabe des Dienstes/Rechners anhängen unterschiedliche Passwörter für verschiedene Sicherheitsklassen (kritisch, unkritisch, vollkommen unkritisch) 15
Aufschreiben von Passwörtern Manchmal muss man Passwörter aufschreiben nicht auf ein gelbes Post-It am Bildschirm! nicht auf einen Zettel unter der Tastatur! eher: Zettel in der eigenen Brieftasche Vorsichtsmaßnahmen: wenn man ein Passwort aufschreibt, dann sollte es nicht als Passwort erkennbar sein nicht zusammen mit der Benutzerkennung aufschreiben möglichst nicht das eigentliche Passwort aufschreiben sondern eine Verballhornung, die man nur selbst versteht (z.b. das Akronym wieder als Folge von Worten) nie das Passwort per email schicken (jedenfalls nicht in der gleichen Zeile mit dem Wort "password") Datei mit eigenen Passworten (auf PDA, bzw. Passwortmanager): nur verschlüsselt und mit Passwort geschützt Vorsicht bei Denial-of-Service 16
Übersicht Benutzer, Passwörter und Authentifikation Was ist Authentifikation? Was sind gute Passwörter? Wie Passwort-Authentifikation in Unix implementiert wird Windows-Passwort-Authentifikation PAM (Pluggable Authentication Modules) 17
Arbeitsphasen mit dem Computer 18
Die Unix Passwort-Datei Datei /etc/passwd speichert Authentifikationsinformationen (ausprobieren) Felder (Doppelpunkt ist Trennzeichen): Kennung, verfremdetes Passwort, UID, GID, Benutzername, login-verzeichnis, login Shell 19
Unix-Passwörter Passwort ist mit dem Programm crypt() verfremdet crypt ist eine Einwegfunktion basierend auf einem leicht modifizierten DES-Algorithmus, siehe man 3 crypt Passwort wird als Schlüssel bei der 25-maligen Verschlüsselung einer Folge von 64 Null-Bits Resultat ist eine ASCII-Zeichenkette (Base-64-Encoding, 6 Bit pro Zeichen), "Passwort Hash" Authentifizierung: login-programm liest Kennung und Passwort benutzt Passwort als Schlüssel für crypt vergleicht Ergebnis mit dem Eintrag in /etc/passwd Crypt ist bis heute erstaunlich resistent gegen Angriffe 20
Angriffe Brute Force Angriffe: einfach alle möglichen Passwörter ausprobieren Wörterbuchangriffe: Wahrscheinlichere Wörter zuerst wählen (Gefahr bei schlechten Passwörtern) Entweder online (schlecht) Oder offline: /etc/passwd herunterladen und offline (in Ruhe) Passworte raten Hybride Angriffe: Kombinationen von Wörtern aus dem Wörterbuch plus Regeln zur Abwandlung Rückwärts, Zeichen anhängen, etc. 21
Crack Gebräuchliches Tool von Administratoren zum Testen auf schlechte Passwörter Autor: Alec Muffet Quelle: ftp://ftp.cert.dfn.de/pub/tools/password/crack/ FAQ: http://www.crypticide.com/users/alecm/security/c50- faq.html Läuft nur unter Unix kann mit eigenen Wörterbüchern gefüttert werden läuft im Hintergrund Dauer eines crack-laufes: Minuten, Stunden, Wochen 22
Schutz gegen Wörterbuchangriffe modifiziertes DES (Schutz gegen Hardware- Implementierungen von DES) Versalzen der Passwörter: Salz = 12-Bit-Zahl = 4096 Zahlen jeder Wert des Salzes verursacht ein anderes Resultat, jedes Passwort hat 4096 verschiedene Verschlüsselungen Salz ist als Teil der Passwortdatei abgespeichert (erste beiden Zeichen des Passworteintrages) Vorteil: Konstruktion einer Verschlüsselungstabelle wird aufwändiger gleiche Passwörter haben unterschiedliche Darstellungen Wahl des Salzes: nichtdeterministisch, etwa von Tageszeit abhängig Vorsicht beim Kopieren eines Passwortes von einem auf den anderen Rechner Salz bleibt identisch! 23
Längere Passwörter? Bisher werden nur die ersten acht Zeichen des Passwortes Ansatz: längere Passwörter crypt16() oder bigcrypt() Einsatz kryptographischer Hashfunktionen SHA-1 anstelle von crypt() siehe PAM Wieviel sicherer ist das in der Praxis? 24
Shadow Passwords Schlechte Passwöter bleiben die Archilles-Ferse in Unix /etc/passwd ist für alle lesbar Statt andere Authentifizierungsformen einzusetzen: verfremdete Passwörter(Passwort-Hashes) in Datei /etc/shadow auslagern kann nur vom Administrator gelesen werden enthält vefremdete Passwörter und Haltbarkeitsdatum Aufwand, an Datei zu kommen, steigt (offline-angriff wird schwerer) 25
Einmal-Passwörter Passwörter, die genau einmal benutzt werden Implementierungsmöglichkeiten: Hardware-Tokens (z.b. RSA SecureID, www.rsasecurity.com) Zeigen jede Minute einen anderen Code an, den man eintippt enge Zeitsynchronisierung notwendig Alternativ: Challenge-Response mit "Taschenrechner" Software: S/Key Benutzer erzeugen lokale Liste mit Einmalpasswörtern bei jedem Login wird eines der Passwörter genommen und verbraucht Notwendig, wenn telnet weiter verwendet werden soll Implementierung mit Openssh verfügbar 26
Public-Key-Authentifikation Verwende Challenge-Response-Protokoll mitasymmetrischer Kryptographie Problem: Schlüsselmanagement, Authentizität der Schlüssel Schutz der geheimen Schlüssel Mit ssh: Datei ~/.ssh/authorized_keys enthält akzeptierte öffentliche Schlüssel besser als reine Passwortabfrage noch besser: PKI verwenden (wenn es sie denn gibt) 27
Authorisierung per NIS etc. Bei grossen Systemen mit vielen Einzelrechnern ist es schwer, viele /etc/passwd-dateien zu managen Lösung: Netzwerk-Authorisierungssysteme Beispiele: SUN: NIS (Network Information System), und NIS+ MIT Kerberos (auch Teil von Windows XP) NetInfo (original von NeXT, jetzt in Mac OS X) LDAP (Lightweight Directory Access Protocol) Vorteile: vereinfachtes Management Nachteile: aufwändigeres Management Denial-of-Service (Rückfallmöglichkeit auf lokale /etc/passwd vorsehen) 28
Übersicht Benutzer, Passwörter und Authentifikation Was ist Authentifikation? Was sind gute Passwörter? Wie Passwort-Authentifikation in Unix implementiert wird Windows-Passwort-Authentifikation PAM (Pluggable Authentication Modules) 29
Security Account Manager (SAM) In Windows sind alle Benutzerdaten im sogenannten Security Account Manager gespeichert %WINDIR%System32/config/SAM auch in der Registry: HKEY_LOCAL_MACHINE/SAM/ Passwörter werden auch als Hashes gespeichert (ähnlich wie bei Unix) SAM-Datenbank ist allerdings eine Binärdatei (nicht so einfach auszulesen) Datei wird ausserdem die ganze Zeit vom System benutzt und kann deshalb nicht "einfach so" geöffnet werden (auch nicht als Administrator) Zugriff auf Registry-Schlüssel geht auch nicht als Administrator man brauchst "SYSTEM"-Rechte (keine Teilmenge der Administratorrechte) 30
Lokale Authentifikation Es gibt zwei Hashes: "alter" LM-Hash stammt aus den Urzeiten von Windows (seit Windows 3.11) "neuer" NT-Hash (deutlich sicherer, wurde mit Windows NT eingeführt) Aus Gründen der Abwärtskompatibilität werden beide Hashes (!) im SAM gespeichert macht Sicherheit der NT-Hashes zunichte Verwendung der LM-Hashes kann aber (aufwändig) wegkonfiguriert werden Maximal nützliche Länge (für den LM-Hash) eines Passwortes ist 14 Zeichen für NT-Hash heute auch beliebig lange Passwörter erlaubt (bis 127 Zeichen) 31
Erzeugung der LM-Hashes 32
Erzeugung des NT-Hashes 33
Analyse LM-Hashes bieten deutlich weniger Sicherheit als NT- Hashes man braucht nur die LM-Hashes zu knacken, um an die Passwörter zu kommen Ungeschickt: Umwandlung von Kleinbuchstaben in Grossbuchstaben (reduziert Anzahl der möglichen Passwörter deutlich) In beiden Hashes ist kein Zufallselement enthalten ermöglicht einfacheres Vorberechnen aller möglichen Hashes 34
Auslesen der Windows-Hashes Man kann natürlich ein anderes Betriebssystem starten und auf der Platte den SAM auslesen kann sogar Hashes und damit Passwörter ändern Petter Nordahls "Windows NT/2000 offline password editor": http://home.eunet.no/~pnordahl/ntpasswd/ von einer Floppy booten und Passwörter editieren Ausserdem: Dmitry Andrianovs samdump und Jeremy Allisons pwdump erzeugen Klartext-Hashes ä hnlich dem /etc/passwd-format Ausserdem liegt eine Kopie von SAM oft im Verzeichnis Windows/repair (Backupdateien, also möglicherweise veraltet) 35
Tools L0phtcrack: http://www.atstake.com/products/lc/ kommerzieller Klassiker: "password audit and recovery tool" kann sowohl Windows als auch Unix-Hashes bearbeiten relativ teuer (ca. $500 aufwärts), dafür gute Reporting- Funktionen John the Ripper: http://www.openwall.com/john/ eigentlich ein Unix-Passwordcracker, kann aber jetzt auch Windows Benutzer kann für hybride Angriffe eigene Regeln definieren im Quellcode verfügbar Cain & Abel: http://www.oxid.it/cain.html Alleskönner: kann auch SHA-1 und Passwörter von Netz schlüffeln (neuerdings auch im WLAN) 36
Schutzmaßnahmen LM-Hash abschalten und Zugang zu den Hashes absichern Sichere Passwörter wählen! 37
Übersicht Benutzer, Passwörter und Authentifikation Was ist Authentifikation? Was sind gute Passwörter? Wie Passwort-Authentifikation in Unix implementiert wird Windows-Passwort-Authentifikation PAM (Pluggable Authentication Modules) 38
Pluggable Authentication Modules (PAM) Idee: Trennung von Anmelde- und Authentifikationsvorgang Original von SUN, jetzt vor allem in Linux weiterentwickelt Verschiedene Authentifikationsmethoden implementiert als auswechselbare Module (PAM) basierend auf /etc/passwd oder /etc/shadow NIS oder NIS+ LDAP, Kerberos,... Konfiguriert in /etc/pam.conf bzw. /etc/pam.d Beispiel: Konfiguration von /bin/su in /etc/pam.d/su Format: type control module-path module-args Geht Authentifizierungsmethoden eine nach dem anderen durch Stärke: flexible Wahl der Authentifizierungsmethoden durch den Administrator (ggf. Kombination verschiedener Methoden) 39
Zusammenfassung und Ausblick Wahl guter Passwörter gehört heute zu den wichtigsten Aspekten sicherer IT-Systeme Heute sind Passwörter die Grundlage vieler Authentifikationsverfahren erlauben oft nur schwache Authentifikation (mit Gefahren) Zunehmender Trend zu starker Authentifizierung Je nach Kritikalität der Anwendung: Starke Authentifikation über zwei verschiedene Verfahren Einmal-Passwörter verwenden wo immer möglich Lokal wenigstens public-key-authentifikation mit ssh verwenden Gute Passwörter verwenden und wachsam sein! Ausblick: lokaler Zugriffsschutz auf Dateiebene 40