Der Spagat zwischen Sicherheit und Bequemlichkeit: Kennwörter zuhause und im Netz Heinz.Werner.Kramski@hoernle-marbach.de Bürgerverein Hörnle & Eichgraben e.v. Vortrag zur Mitgliederversammlung 28.3.2014
Einleitung Sicherheit vs. Bequemlichkeit Sommer 2013: 25% der [Hashes der] Kennwörter der ca. 230 Mitarbeiter (anonymisiert) in einer Stunde gebrochen mit John the Ripper Dezember 2013: Neue, strengere Kennwortrichtlinien. Vieles davon lässt sich auf den Privatbereich übertragen. Disclaimer: Hier werden Meinungen dargestellt, keine Wahrheiten. Alles ohne Gewähr...
Übersicht Kennwortsicherheit 1. Wozu das Ganze? 2. Was braucht man dafür? 3. Was kann passieren? 4. Was soll man tun? 5. Wie kann man sich helfen? (Wir reden heute nicht über: Verschlüsselung, Anonymisierung, Schutz gegen Abhören/Ausspähung, Datensparsamkeit, Schutz vor Viren und Trojanern, Sicherheitslücken usw.)
Wozu das Ganze? Berechtigte Nutzung erlauben, unberechtigte Nutzung verwehren Es geht also um Mehrbenutzersysteme. Windows, Mac, Internet (als massives MBS). Ist ein Smartphone (Tablet, Notebook...) ein Mehrbenutzersystem? Ja, spätestens, wenn man es verliert oder es gestohlen wird. Physische Sicherheit ist auch wichtig!
Was braucht man dafür? 1. Identifizieren Behauptung, jemand zu sein (Weltweit) eindeutiges Unterscheidungsmerkmal Benutzerkennung Zuhause: z.b. Windows-Kennung Weltweit: E-Mail-Adresse bietet sich an (denn sie ist eindeutig).
Was braucht man dafür? 2. Authentifizieren: Überprüfung der Identitäts-Behauptung Methoden Etwas, was man weiß PIN Kennwort (Passwort) Sperrmuster
Was braucht man dafür? Methoden... Etwas, was man hat Schlüssel, Zugangskarte TAN-Liste Chipkarte, E-Personalausweis Datei auf USB-Stift One-Time-PIN/Passwort-Generator
Was braucht man dafür? Methoden... Ein körperliches Merkmal Fingerabdruck Iris Jede Methode hat ihre Probleme. Gängig: Benutzerkennung/Kennwort (Passwort). [Sehr sicher: Two-Factor-Authentication: z.b. Benutzerkennung/Kennwort + Bestätigungscode vom Smartphone o.ä.]
Was braucht man dafür? 3. Autorisieren Zugang zu beschränkten Bereichen, z.b. Netzfreigaben Filme ab 18 Jahren Ein Kundenkonto bei einem Online-Versand
Was kann passieren? Gefahr: Identitätsdiebstahl Der Servicetechniker kann auf den Netzwerkordner mit den Abmahnungen,... zugreifen Jemand veröffentlicht unter Ihrem Namen ehrverletzende Aussagen Verlust von Vertraulichkeit Ansehensverlust Jemand ruft mit Ihrem Handy (oder über Ihre unaktuelle Fritzbox) teure Servicenummern an wirtschaftlicher Schaden
Was kann passieren? Gefahr: Identitätsdiebstahl... Jemand ändert IHR Kennwort, so dass SIE nicht mehr arbeiten können Jemand bestellt mit Ihrer Amazon-Kennung Dinge, die Sie nicht haben wollen Verlust der Verfügbarkeit wirtschaftlicher Schaden Jemand benutzt Ihre Kreditkarte wirtschaftlicher Schaden
Was kann passieren? Gefahr: Identitätsdiebstahl... Jemand bestellt mit Ihrer Amazon-Kennung Dinge, nachdem er Kennwort und Lieferadresse geändert hat wirtschaftlicher Schaden Jemand begeht in Ihrem Namen Straftaten unberechtigter Verdacht wirtschaftlicher Schaden
Was kann passieren? Angriffe auf Benutzerkennung/Kennwort Benutzerkennung: praktisch bekannt E-Mail Heinz, kramski,... Also: Angriffe auf das Kennwort Social Engineering ( gusti1956 ) Phishing (Password Fishing) per E-Mail Abhören in offenen WLANs (ICE: Telekom-Hotspot) Keylogger durch Viren/Trojaner/BKA/LKA/Zoll/Homeland Security,...
Was kann passieren? Angriffe auf das Kennwort... Ausprobieren gängiger Kennwörter Die 25 schlechtesten Kennwörter 2011 weltweit: Password, 123456, 12345678, qwerty, abc123, monkey, 1234567, letmein, trustno1, dragon, baseball, 111111, iloveyou, master, sunshine, ashley, bailey, passw0rd, shadow, 123123, 654321, superman, qazwsx, michael, football Ausprobieren von Hacker-WörterbuchEinträgen Begriffe, Namen, inkl. Abwandlungen 1=l, 3=e, 0=o usw. Muster 1q2w3e4r, qwertz, qaywsxedc usw.
Was kann passieren? Angriffe auf das Kennwort... Ausprobieren ( Brute Force ) Kennwörter werden (hoffentlich) nicht im Klartext, sondern als Hashes gespeichert Hash: Verschlüsselter Fingerabdruck (Prüfziffer) iloveyou: ccbf3da2e2ee083a8593e3bb7b47619b419f07d7 Aus dem Kennwort lässt sich der Hash/die Prüfziffer errechnen, aber nicht umgekehrt Also muss man für alle denkbaren (Kenn-)Wörter die Prüfziffer bilden und mit der gespeicherten vergleichen
Was kann passieren? Ausprobieren ( Brute Force )... Anzahl der Kombinationen = ZeichenvorratLänge z.b. vier Zahlen (PIN): 104 = 10.000 z.b. Kleinbuchstaben (26 Zeichen), 8 Stellen: 268 = 208.827.064.576 (ca. 209 Mrd.)????????: ccbf3da2e2ee083a8593e3bb7b47619b419f07d7 aaaaaaaa: aaaaaaab:... iloveyos: iloveyot: iloveyou: b480c074d6b75947c02681f31c90c668c46bf6b8 3a638e9a6c089b43d8e0f254c9991f4c1d287226 e4ef0ea6cf1959a6487a1972dc18bc35c7ac7991 70915fa3e869854443e7d9249232969564499033 ccbf3da2e2ee083a8593e3bb7b47619b419f07d7
Was kann passieren? Moderner PC mit einer leistungsfähigen Grafikkarte: kann ca. 1 Mrd. Hashes pro Sekunde erzeugen und vergleichen (nur bei Offline-Attacken) 209 Mrd. Kombinationen: nach max. vier Minuten (im Durchschnitt zwei Minuten) ist das 8-stellige Kleinbuchstaben-Passwort gefunden Bildquelle: Advanced Micro Devices, Inc. (AMD)
Was kann passieren? Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde Passwortlänge Zeichenraum 8 Zeichen 9 Zeichen 10 Zeichen 11 Zeichen 12 Zeichen 10 [0-9] 100 ms 1 Sekunde 10 Sekunden 2 Minuten 17 Minuten 26 [a-z] 4 Minuten 2 Stunden 2 Tage 42 Tage 3 Jahre 52 [A-Z;a-z] 15 Stunden 33 Tage 5 Jahre 238 Jahre 12.400 Jahre 62 [A-Z;a-z;0-9] 3 Tage 159 Tage 27 Jahre 1.649 Jahre 102.000 Jahre 96 (+Sonderzeichen) 84 Tage 22 Jahre 2.108 Jahre 202.000 Jahre 19 Mio. Jahre Quelle: http://de.wikipedia.org/wiki/passwort
Was soll man tun? Ein gutes Kennwort sollte 12, mind. aber 10 Zeichen lang sein sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (0...9?!%+ ) bestehen darf keine Namen von Familienmitgliedern, Haustieren, Autos usw. enthalten darf nicht in Wörterbüchern oder Beispielen vorkommen, auch nicht in simplen Varianten darf nicht aus (Tastatur-)Mustern bestehen.
Was soll man tun? Kennwörter regelmäßig ändern (z.b. alle sechs Monate)! Für jeden Dienst/Shop, für jedes Konto ein eigenes Kennwort verwenden! Kennwörter nicht an andere weitergeben! Kennwörter nicht per E-Mail versenden (E-Mail = Postkarte, unverschlüsselt, kann jeder unterwegs lesen) Kennwörter aufschreiben? In der Geldbörse ok (aber nicht als Klebezettel am Monitor oder unter der Tastatur...)
Was soll man tun? Über offene Funknetze und in Internet-Cafes keine Anwendungen benutzen, die Kennwörter unverschlüsselt übertragen. Bei den Sicherheitsfragen lügen (Mädchenname der Mutter: Currywurst ). E-Mail-Konten für verschlüsselte Kommunikation konfigurieren (SSL/TLS usw.). Auf Webseiten nur anmelden, wenn https:// verwendet wird.
Wie kann man sich helfen? Sätze und Anfangsbuchstaben merken: Wer kann sich ein Kennwort merken, dass mehr als 10 Zeichen hat? WkseKm,dma10Zh? Für jeden Dienst/Shop, für jedes Konto ein abgewandeltes Kennwort verwenden, nach einer nicht offensichtlichen Regel, z.b.: Grundkennwort + 1. und letzter Buchstabe, z.b. Ebay: EWkseKm,dma10Zh?y Amanzon: AWkseKm,dma10Zh?n
Wie kann man sich helfen? Passwort-Safe benutzen, z.b. Keepass Vorteile Passwort-Generator erzeugt wirklich zufällige, sichere neue Kennwörter Web-Adressen können per Klick aufgerufen werden Benutzerkennung/Kennwort können per Klick eingetragen werden Nachteile Es wird ein sehr gutes Master-Kennwort benötigt Möglichst in Kombination mit einem USB-Stick Wenn das Master-Kennwort bricht, ist alles offen Ohne Computer geht es nicht mehr
Keepass
Hier noch mal das Wichtigste: 1.Verwenden Sie nicht überall das gleiche Kennwort. 2.Bilden Sie quasi-zufällige Kennwörter aus gemischten Zeichen (Groß- und Kleinbuchstaben, Zahlen, Satzzeichen) nach der Merksatz-Methode, mindestens 10 Zeichen lang. 3.Lassen Sie Ihren gesunden Menschenverstand walten, bevor Sie irgendwo Ihr Kennwort eingeben. Bonustipps: Sperren Sie Ihr Smartphone mit einer PIN oder einem Sperrmuster. Aktualisieren Sie die Firmware Ihrer Fritzbox (falls Sie eine haben.)
Links, Quellen http://www.openwall.com/john/ http://de.wikipedia.org/wiki/passwort http://www.cnet.com.au/the-25-worst-passwords-of-2011-339326551.htm https://www.bsi-fuer-buerger.de/bsifb/de/meinpc/passwoerter/passwoerter_node.html http://keepass.info/ http://www.pwsecurity.de/
Fragen, Anmerkungen,...?