Vortragsnotizen (deutsch) Chaostreff Siegen inj4n@chaos-darmstadt.de October 29, 2013
ii
Contents 1 Einführung 3 2 Passworte 5 2.1 Auswahl eines sicheren Passwortes.............. 5 2.1.1 Passwortgenerationsalgorithmus............ 6 2.2 Mehrfachbenutzung von Passworten.............. 6 2.3 Passworte speichern....................... 7 iii
iv Contents
Contents 1 Cryptoparty: jeden letzten Mi/Monat Effertsufer 104 https://hasi.it nächster Termin 2013-10-30, ca. 19:00
2 Contents
CHAPTER 1 Einführung Kurze Einführung Fragen, Fragen, Fragen und Themen Thementeile Klicken, Helfen, Installieren eine Lösung pro Problem (der Einfachheit halber) Email Chat Anonymes Internet Datenspeicher Schlüsselverwaltung VPN Thunderbird, Enigmail, GnuPG Pidgin, OTR-Plugin TorBrowserBundle Truecrypt Seamonkey ( erst mal nicht) Table 1.1: Werkzeugkasten 3
4 Chapter 1. Einführung
CHAPTER 2 Passworte Passworte werden meist zur Authentifikation im Zugangsschutz verwendet. Sie sind vermutlich das am weitesten verbreitete Verfahren in diesem Bereich, und mittlerweile wird über Passwortsicherheit auch abseits von Expertenkreisen geredet. Neben Passworten gibt es noch eine kleine Auswahl anderer Verfahren, z.b. Anmeldung mit Chipkarte oder Fingerabdruck, auf die wir hier erst einmal nicht eingehen wollen. Jedes Verfahren hat so seine Probleme. 2.1 Auswahl eines sicheren Passwortes Es gibt grundsätzlich zwei Anforderungen an ein gutes Passwort: der Nutzer muß sich das Passwort gut merken können, und, es sollte sicher sein. Ein sicheres Passwort zeichnet vor allem aus, dass ein etwaiger Angreifer möglichst viele Versuche benötigt um dieses Passwort zu raten. Die Sache mit den Sonderzeichen : An vielen Stellen wird verlangt, dass Passworte aus unterschiedlichen Zeichenklassen, also Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen bestehen. Auch diese Form der Komplexität erhöht die Anzahl der Rateversuche eines Angreifers, denn je mehr unterschiedliche Buchstaben pro Stelle im Passwort zu raten sind, desto mehr Versuche muß ein Angreifer durchschnittlich pro Stelle durchführen, bevor er den richtigen Buchstaben rät. Konkret stellt sich aber heraus, dass die Länge des Passwortes der wichtigere 5
6 Chapter 2. Passworte Faktor ist. Je länger ein Passwort ist, desto mehr Stellen im Passwort muß ein Angreifer korrekt raten 1. Wichtig ist auch, dass man sich das Passwort gut merken können muß, wenn man es nicht sicher speichern kann, wie unten beschrieben. Wer mit Computern arbeitet hat aber einen gewissen Grundstock an passwortgeschützten Zugängen für die es unpraktisch ist, wenn vorher ständig ein Zettel aus der Hosentasche gekramt werden muß. 2.1.1 Passwortgenerationsalgorithmus Randall Munroe beschreibt in einem Comic eine Passwortmethode die sowohl sehr komplex zu ratende, lange Passworte erzeugt, als auch Passworte, die einfach zu merken sind. Die Idee ist, dass man sich eine Sequenz von vier oder mehr Worten ausdenkt, die man einfach mit leicht zu merkenden Bildern verknüpfen kann. Auch, wenn eine der obersten Passwortregeln besagt, dass man sich keine Wort als Passwort nehmen soll, welches in einem Wörterbuch auftaucht, ist Randalls Methode sicher. Mithilfe einer informationstheoretischen Analyse läßt sich zeigen, dass eine zufällige Sequenz von vier englischen Begriffen sicherer ist als ein Passwort aus 8 Sonderzeichen, Zahlen und Buchstaben. Zudem besteht dieses Wörterbuch-Geschichten-Passwort aus deutlich mehr Buchstaben, was einen Angreifer deutlich länger aufhält. 2.2 Mehrfachbenutzung von Passworten Der einfache und dringende Hinweis ist, daß man jedes Passwort nur exakt nur einmal verwenden darf, wenn man es den Angreifern nicht beliebig einfach machen will. Das Problem ist, dass es sehr einfach ist ein Programm zu schreiben, dass Passworte bei beliebigen, bekannten Diensten ausprobiert. Ein Angreifer der ein Passwort bei einem Dienst ausspioniert hat, wird dieses Passwort bei allen anderen Diensten probieren, die ihn oder sie interessieren. Da dies einfach zu automatisieren und wenig komplex ist erntet ein Angreifer rasend schnell alle weiteren Accounts seiner Opfer ab. 1 Für Fortgeschrittene: Die Größe des Alphabets steigert die Anzahl der nötigen Angriffsversuche dabei polynomiel, während die Passwortlänge einen exponentiellen Einfluß hat.
2.3. Passworte speichern 7 2.3 Passworte speichern Da die meisten Menschen allerdings mehr Zugangspasswörter ansammeln als sie sich merken können, bleibt nur der Ausweg, dass man sich diese Passwörter notiert. Aufschreiben von Passworten galt noch in den 90ern als so ungefähr das unsicherste, was man machen konnte. Das waren aber noch die Zeiten, in denen sich der Aufwand zum Zurücksetzen vergessener Passworte aufgrund der überschaubaren Anzahl von Nutzern noch in Grenzen hielt. Es bleibt nur die Lösung diese Menge an Passworten sicher und intelligent aufzuschreiben. Man kann sich darüber streiten, ob eine Menge an Zetteln, an strategischen Orten versteckt, für die meisten Menschen ausreichend sicher ist. Intelligent erscheint eine solche Lösung nicht. Besser geeignet sind verschlüsselnde Verwaltungsprogramme, die sich am besten noch mit den verschiedenen Programmen verbinden, die Passworte benötigen. Beispielhaft soll hier der Password Safe 2 erwähnt werden, der sich zuerst dadurch auszeichnet, dass die Programmquellen offen verfügbar sind. Mit einem einzigen, ausschließlich lokal auf dem eigenen Rechner verwendeten, Passwort schaltet die Nutzerin alle (verschlüsselt) gespeicherten Passworte frei. Ausserdem kann man sich fortan wirklich sichere, zufällige Passworte verwenden und sich praktischerweise gleich im Passwortspeicher erzeugen lassen. Literature 2 http://sourceforge.net/projects/passwordsafe
8 Chapter 2. Passworte
2.3. Passworte speichern 9