TagCloud

Das Henne-Ei-Problem

Juni 23rd, 2008 von buergermeister

oder warum ich Passwortgeneratoren lustig finde. Die Story um die Freigabe von jpwgen animiert mich dazu ein wenig über die Sinnhaftigkeit von Passwortgeneratoren nachzudenken. Jetzt kommt also pwgen auch noch in Java daher. Die Sicherheit und Stärke von Passwörtern, scheint bei einigen das A und O der Computersicherheit zu sein. Da beschäftigen sich doch ernsthaft Leute damit und halten Vorträge darüber. Allen Ernstes wird doch immer wieder empfohlen Pw-Cracker zum Testen der Sicherheit des eigenen Passwortes zu benutzen, finde ich wirklich intelligent. Fand ich schon vor einigen Jahren, relativ overheaded. Da durfte ich die Einsatzmöglichkeit von john the ripper in einer Securitysuite prüfen. Nun normalerweise kommt bereits auf einem normalen Linuxsystem so etwas wie cracklib zum Einsatz. Beim anlegen eines Nutzers, bzw. beim ändern das Passwortes, wird gegen entsprechende Wörterbücher geprüft. Ist das Passwort schwach also ist in den entsprechenden Büchern vorhanden, kommen die Einstellungen von Root zum tragen in der Regel wird das Anlegen verweigert. Ist es “stark” genug wird es verkryptet und in der shadow abgelegt. Was macht nun so ein Cracker wie john? Ganz einfach am Beginn arbeitet er mittels Dictionary-Attack, er verschlüsselt also die Wörter aus einem Dictionary und vergleicht den Ausgabestring mit dem in der Shadow abgelegten Passwort. Scheint also es kommt auf die entsprechenden Wörterbücher an! Aber nicht nur auch der Verschlüsselungsalgorhytmus spielt eine Rolle. Nun, ok lösen wir das Problem mit dem voranstellen oder einmischen eines Sonderzeichen in unser Passwort – Pustekuchen. Denn John the Ripper hat etwas, dass sich incremental mode nennt, mit Hilfe von regulären Ausdrücken werden selbstständig entsprechende Suchausdrücke formuliert und getestet. Nichts anderes machen diese Passwortgeneratoren, sie spucken anhand vorformulierter Regeln entsprechende Zeichenkombinationen aus. Mit dem wohl für mich entscheidenden Nachteil, das keiner selbst das Passwort aus seinem Kopf gekramt hat und die Wahrscheinlichkeit des “Merken” eines solchen Passwort tendiert gegen Null. Aber es gibt ja so etwas wie das KWallet und andere Passwortsafes, in dem man die Passwörter wieder verkryptet und mit einem Passwort geschützt hinterlegen kann :D

Jetzt mal ehrlich, welcher Systemadministrator setzt sich hin und testet die Passwörter auf Sicherheit und zwar mittels John the Ripper? Ich finde das wie oben gesagt reinste Ressourcenverschwendung, das Ganze läuft nämlich hochgradig Prozessorlastig und dafür brauche ich mindestens eine extra Maschine und kaum habe ich alle Kennwörter geprüft fange ich von vorn an, da meine Nutzer logischerweise ihr Passwort wechseln müssen. Das Pferd ist meines Erachtens von der falschen Seite aufgesattelt, ich würde lieber meine cracklib vernünftig anpassen als solchen Zinnober zu veranstalten. Am Ende ist der Ganze Passwortschutz eh sinnlos, was nützt mir ein sicheres Schloss in einer wackligen Tür………? Jedenfalls finde ich maschinell “erdachte” Kennwörter für sinnlos, sie folgen Regeln kenne ich den Generator kenne ich die Regeln und habs am Ende doch einfacher.

Geschrieben in Killer Application | 12 Kommentare »

ähnliche Artikel:
  • None
  • 12 Kommentare

    1. Matthias Sagt:

      Interessanter Artikel. Ist bloß die Frage, ob die Regel, mit der (j)pwgen arbeitet, nicht so komplex ist, dass es (je nach Rechenpower) nicht innerhalb der Ablaufzeit des Passwortes geknackt werden kann.

      Gibt es darüber Studien?

    2. buergermeister Sagt:

      mal ehrlich, so komplex dass die Regel nicht innerhalb der Ablaufzeit geknackt werden kann ist unmöglich.
      Je nach Rechenpower dauern die meisten Passwörter unter 2 Tage und wenn es nicht klappt bleibt immer noch der Brute-Force Angriff, den John auch ermöglicht.

      Wahrscheinlich gibt es darüber Studien, eines ist klar es ist nur eine Frage der Ressourcen, die einem zur Verfügung stehen.

      Das ist wie mit dem “Bundestrojaner” der perse Schwachsinn ist, kein Geheimdienst der Welt würde so etwas am Ende nutzen, dass machen die wie bisher, Bude aufbrechen-Keylogger installieren und Bingo

    3. Matthias Sagt:

      Nun gut, hier das passende Zitat aus der manpage:

      Human-memorable passwords are never going to be as secure as completely completely random passwords. In particular, passwords generated by pwgen without the -s option should not be used in places where the password could be attacked via an off-line brute-force attack. On the other hand, completely randomly generated passwords have a tendency to be written down, and are subject to being compromised in that fashion.

    4. buergermeister Sagt:

      na übersetzt hab ich das doch oben hingeschrieben und da ist ein “KWallet” noch eine sichere Methode, meist kleben dann gelbe Zettelchen am Monitor ;)
      Und was den ersten Satz betrifft, da wäre ich mal nicht ganz so sicher. Kommt nämlich drauf an wie der Mensch es bildet, am Ende hat die Regeln für pwgen doch auch ein Mensch erdacht ;)

    5. Matthias Sagt:

      Ja, aber wie bei allen Regeln: Der Angreifer muss auch erstmal wissen, nach welcher Regel der Benutzer das Passwort generiert hat. Und ob das jetzt pwgen, menschlich oder doch komplett randomized, kann man so nicht erkennen.

    6. buergermeister Sagt:

      Wohl wahr, aber pwgen läßt sich durch die Kenntnis der Regel leichter bewältigen als das ich mich in das menschliche Hirn desjenigen denken kann, der seine Pw mit eigenen Regeln erstellt

    7. Matthias Sagt:

      Aber woher will man denn wissen, dass ausgerechnet pwgen bei der Erzeugung benutzt wurde?

    8. buergermeister Sagt:

      muss ich nicht unbedingt, die Regeln dürften wenigstens zu 75% alle anderen Pwgeneratoren ebenfalls mit abdecken ;)

    9. Dr. Azrael Tod Sagt:

      das schlimmste ist meiner Meinung immer noch die Einstellung dass angemeldete Nutzer ihre Passwörter alle n Monate ändern müssen… am besten in Kombination mit “Verwenden sie mindestens 3 Buchstaben, 4 Ziffern und 3 Sonderzeichen, kein Zeichen darf sich wiederholen und es dürfen nicht mehr als 3 Zeichen in einem Wort unseres Lexikons in dieser Reihenfolge vorkommen!”
      Sehen wir es doch mal realistisch, die meisten Passwörter werden nicht erraten (von Liebe, Schatz oder Gott mal abgesehen) sondern eher auf einem Zettel gelesen bzw. vom Nutzer verraten (Email: “Wier sint ihre Bahng, geben sih uns ihre Kondonumer und PIN!”)

    10. Oliver Sagt:

      >alle n Monate

      Also ich hab das bei unseren Clienten im Institut monatlich konfiguriert :D Das ist so die sadistische Ader, aber diese anderen Regeln haben in einigen Bereichen einfach etwas mit der Rechtsabteilung zu tun. Zu simpel genügt da nicht und die Ausrede “war halt nen dau” zieht da ebenfalls nicht. Da muß man eben durch :)

    11. buergermeister Sagt:

      das sehe ich so wie Oli, das PW sollte schon gewechselt werden, wobei ich monatlich schon für die Untergrenze halte. Mmmh, die meisten PW werden aber nicht abgelesen sondern per SE gelöst, ich sag mal meine Kollegin hat nen Sohn ich kenne seinen Vornamen und sein Geburtsjahr ergeben das Pw, zwei Versuche reichen

    12. kaitimmer.de » Blog Archive » Die menschliche Dummheit ist unendlich! Sagt:

      [...] mal wirklich während man über Sinn und Unsinn von Passwortgeneratoren ja noch streiten kann, stellt sich bei solchen Diensten dann doch die Frage ob da draußen wirklich eine kritische Masse [...]

    Einen Kommentar abgeben

    Bitte beachte: Die Kommentare werden moderiert. Dies kann zu Verzögerungen bei Deinem Kommentar führen. Es besteht kein Grund den Kommentar erneut abzuschicken.