Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Passwörter

Ein Passwort ist mit Ihrem Hausschlüssel vergleichbar: Den möchten Sie nicht verlieren und bewahren ihn deshalb sorgfältig auf. Mit dem Schlüssel hätten unberechtigte Personen Zutritt in Ihr Haus. Das gleiche gilt beim Passwort am Computer, das Zutritt zu Ihren Daten erlaubt.

Grundprinzip des Passwortes

Erfährt jemand die Benutzerkennung und das Passwort einer anderen Person, so kann er sich damit unter fremdem Namen anmelden und auf Daten und Programme zugreifen, die nicht für ihn bestimmt sind. Da Benutzerkennungen vielfach nicht geheim sind, kommt der Geheimhaltung der persönlichen Passwörter die entscheidende Rolle zu, wenn es darum geht, den Zugriff unberechtigter Personen auf personenbezogene Daten zu verhindern. Der berechtigte Benutzer muss sich sein Passwort leicht merken können. Für alle anderen muss es dagegen möglichst schwierig sein, das Passwort herauszufinden.  

Was muss ich beim Umgang mit Passwörtern beachten?

• Es sind individuelle Benutzernamen und Passwörter zu verwenden (username/password)
• Ein Passwort muss geheim gehalten werden und sollte niemandem mitgeteilt werden
• Einfache Passwörter sind zu vermeiden (Namen,Geburtstage, Autonummern etc.)
• Keine Tastaturfolgen wie z.B. (asdfgh) oder (12345678)
• Ein Passwort sollte mindestens aus zehn Zeichen mit Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen bestehen
• Das Passwort darf bei der Eingabe am Bildschirm nicht angezeigt werden
• Ein Passwort sollte regelmässig geändert werden (90 Tage, 180 Tage)
•  Hat ein Systemadministrator einem Benutzer ein neues Passwort eingerichtet, so muss er es bei seiner ersten Anmeldung ändern. Das erste Passwort ist meist lediglich ein Initialpasswort.
• Ein Passwort sollte nach fünf bis zehn Falscheingaben vom System gesperrt werden. Der Benutzer muss sich beim Administrator melden. Es verhindert endloses Raten und Wiederversuchen.

 

Wie erstelle ich ein «sicheres» Passwort?

Nehmen Sie einen Satz, den Sie sich gut merken können, und bilden Sie Ihr Passwort mit den jeweiligen Anfangsbuchstaben und Ziffern:

• Meine Tochter Tamara hat am 19. Januar Geburtstag!
• Fügen sie am Anfang und Ende noch ein Sonderzeichen hinzu, z.B.*!
• So entsteht ein Passwort aus einer beliebigen Zeichenfolge, das man Sie sich gut merken kann!
• *MTTha19.JG!

[youtube https://www.youtube.com/watch?v=COU5T-Wafa4] Das Video von Mozilla zeigt in zwei Minuten den Umgang mit Passwörtern https://support.mozilla.org/de/kb/Passwoerter-mit-erhoehter-Sicherheit-erstellen?cache=no

Sensibilisierung! Methoden, um an ein Passwort zu gelangen!

Es gibt verschiedenste Varianten, wie eine unbefugte Person, der Einfachheit halber im Folgenden Angreifer oder Hacker genannt, an Ihr Passwort kommen kann. Hier einige der Wichtigsten:

1.     Espionage

Die vermutlich einfachste Methode, um an ein Passwort zu gelangen ist, den Benutzer auszuspionieren. Je nachdem wie sicher ein Benutzer mit seinen Passwörtern umgeht, ist es für eine Drittperson relativ einfach, an ein Passwort zu gelangen. Oftmals werden Passwörter auch im Klartext per Email versendet. Eine Drittperson mit Zugriff auf den Netzwerkverkehr oder die Mailbox kann das Passwort mit relativ einfachen Mitteln auslesen. Computerviren und Keylogger zeichnen das Passwort bei der Eingabe auf und senden es über das Internet zum Angreifer.

2.     Phishing

Beim Phishing versucht ein Angreifer, den Benutzer dazu zu bewegen, sein Passwort in eine gefälschte Webseite einzutragen. Gibt der Benutzer das Passwort ein, wird es im Hintergrund an den Angreifer gesendet. Häufig werden Massenemails (SPAM) verwendet, um Benutzer auf die falsche Webseite zu locken. Beispielsweise bekommt ein Benutzer ein gefälschtes Email, worin er von einem Bekannten aufgefordert wird, eine freigegebene Datei zu öffnen. Der Benutzer klickt auf einen Link im Email und wird danach aufgefordert, seine Benutzerdaten für einen grossen Internetdienst einzugeben.

3.     Password Guessing

Ein Angreifer rät das Passwort. Viele Anwender verwenden den Benutzernamen, den Namen der Firma, den des Kindes oder des Hundes als Passwort. Solche Passwörter können relativ einfach von einem Angreifer geraten und ausprobiert werden.

4.     Brute Force

Ein Brute-Force-Angriff auf ein Login bedeutet, dass jedes mögliche Passwort ausprobiert wird. Da bei einem solchen Angriff Abermilliarden von Passwörtern ausprobiert werden, ist es notwendig, dass der Angreifer physischen Zugriff auf das Zielsystem hat oder eine sehr schnelle Netzwerkverbindung. Hat der Angreifer Zugriff auf den Hashwert des Passworts, können Rainbow Tables verwendet werden, um den Angriff zu beschleunigen. Verwendet der Hashwert kein Salt, können zudem riesige Hash-Datenbanken im Internet verwendet werden.

5.     Dictionary Attack

Ein Dictionary-Angriff gleicht einer Brute-Force-Attacke, es werden jedoch Wörter und Wortkombinationen aus einem Dictionary (Wort- oder Passwortsammlung) verwendet. So wird die Anzahl probierter Passwörter dramatisch reduziert.  

6.     Weiterführende Links und Literaturquellen

https://andev.ch/blog/2014/01/passwort-sicherheit-teil1.html https://andev.ch/blog/2014/01/passwort-sicherheit-teil2.html https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04001.html

---

Blogpost wurde erstellt von André Huggenberger (Swisscom) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.