Paßwortsicherheit
Copyright (C) 08/1995 by Howard FuhsInhalt:
Paßwortschutz im Computer-BIOS
Wartungsaccounts in Netzwerken
Einleitung
Paßwörter oder Personal Identification Numbers (PIN) sollen im Alltag durch konsequente Anwendung die Datensicherheit, die Zugriffskontrolle und den Zugriffsschutz mit einfachen Maßnahmen erhöhen. Trotzdem ist vielfach festzustellen, daß der Anwender oftmals der Meinung ist, daß ein Paßwortschutz eine lästige Angelegenheit ist, die mit einfachen Maßnahmen umgangen werden muß. Diese einfache Maßnahme sind meistens Post-It Haftnotizen, die am Monitor kleben und auf denen das Paßwort notiert ist. Böse Zungen behaupten sogar, die Haftnotizzettel seien nur aus diesem Grund überhaupt erfunden worden. Auch wird oftmals die PIN der Einfachheit halber gleich auf der Euroscheck-Karte notiert. Weitere Schwachstellen des Paßwortschutzes können zu einfache Paßwörter sein, wie z.B. QWERTZ, 12345 oder der Uservorname / Nachname sowie ein einziges Paßwort für alle Accounts, die dem User in irgendwelchen Netzwerken zur Verfügung stehen. Zusammen mit einem Paßwortschutz sollte deshalb auf alle Fälle auch ein entsprechendes Paßwortmanagement in einem Unternehmen eingeführt werden, um die Effektivität und Sicherheit des Paßwortschuzes zu gewährleisten.
Paßwortrichtlinien
Wenn es dem Anwender überlassen ist, welche Paßwörter er verwendet, so sollte vorher auf alle Fälle eine Paßwortrichtlinie ausgearbeitet und unternehmensweit veröffentlicht werden. Die Paßwortrichtlinie sollte festlegen:
- Zugelassene Zeichen aus denen ein Paßwort bestehen darf. Dürfen nur Buchstaben verwendet werden oder auch Satz- und Sonderzeichen.
- Mindestlänge des Paßwortes. Als Mindestlänge empfiehlt sich ein fünfstelliges Paßwort.
- Maximallänge des Paßwortes. Die Maximallänge des Paßwortes sollte auf 30 Stellen begrenzt werden.
- Wird zwischen Groß- und Kleinbuchstaben unterschieden. Eine solche Unterscheidung ist sehr empfehlenswert, da es die Paßwortkombination ohne große Umstände noch zusätzlich erhöht.
- Dürfen oder müssen Zahlen/Buchstabenkombinationen verwendet werden. Reine Buchstabenkombinationen sind zwar relativ sicher, um die Sicherheit zu erhöhen ist es ratsam, beim Paßwort eine Buchstaben/Zahlenkombination zwingend vorzuschreiben.
- Festlegung von ungültigen Paßwörtern.
- Wie lange ist ein Paßwort gültig, bzw in welchem zeitlichen Abstand muß der Anwender neue Paßwörter definieren. Der Anwender sollte alle 30 bis 90 Tage gezwungen, werden ein neues Paßwort für seinen Account zu definieren.
- Festlegen eines Paßwortzyklus. Hier wird festgelegt, wieviele Paßwort-Änderungszyklen ein Anwender abwarten muß, bis er das gleiche Paßwort nochmals benutzen darf.
Ohne eine unternehmensweite Paßwortrichtlinie ist es unmöglich, eine vernünftige Paßwortsicherheit aufzubauen und kontinuierlich gewährleisten zu können.
Anwendersensibilisierung
Auch im Bereich der Paßwortsicherheit sollte die Sensibilisierung der Anwender im Vordergrund stehen, denn es sind die Anwender, welche die Paßwortsicherheit in die Tat umsetzen müssen. Es helfen die besten Sicherheitsmaßnahmen nichts, wenn sie von den Anwendern nicht konsequent eingesetzt und durchgeführt werden. Im Rahmen der Anwenderausbildung sollte den Anwendern erklärt werden, wofür welche Paßwortmaßnahmen eingeführt wurden, wie man mit Paßwörtern richtig umgeht und welche Dinge im Rahmen der Paßwortsicherheit zu berücksichtigen sind (vor allen Dingen im Hinblick auf Social Engineering). Hierfür ist es sinnvoll, für die Anwender ein Merkblatt mit kurzen Stichpunkten anzufertigen. Weiterhin sollte jeder neue Anwender erst die entsprechenden Verhaltensmaßregeln kennen bevor er einen Account für das Firmennetzwerk erhält. Mit der Anwendersensibilisierung soll vor allen Dingen der Paßwortniederschrift auf Notizzettel entgegnet werden.
Login-Scripts
Die sogenannten Login-Scripts für Datennetze stellen eine große Gefahr dar, die bisher in Unternehmen kaum erkannt worden ist. Eigentlich dienen Login-Scripts der Vereinfachung beim Einloggen in Datennetze. Während bei der manuellen Anmeldung der Anwender seinen Namen, seine User-ID und sein Paßwort von Hand eintippen muß, kann durch ein Login-Script dieser Vorgang automatisiert werden, ohne daß vom Anwender noch irgendwelche Angaben zu machen sind. Bei diesen Login-Scripts gibt es mehrere Möglichkeiten des Mißbrauchs, die allerdings alle auf die unberechtigte Nutzung eines Accounts hinauslaufen. Anhand eines Compuserve-Accounts lassen sich die Gefahren recht anschaulich schildern.
Um dem Anwender die Bedienung der Netzwerksoftware so einfach wie möglich zu gestalten, werden Angaben wie Anwendername, User-ID, Rufnummer des Hostzugangs und Paßwort im Programmsetup einmal eingetragen. Auch die Tatsache, daß das Paßwort beim Eintrag auf dem Bildschirm in Form von Sternchen oder Rauten nicht lesbar angezeigt wird, macht keine Angaben darüber, wie sicher das Paßwort wirklich verwahrt wird.
Alle gemachten Angaben werden in der CIS.INI Datei abgespeichert, wo sie auch anderen Programmen wie z.B. NavCIS, WinCIM, DOSCIM, OS/2CIM, TapCIS, OZCis oder auch dem Compuserve Dialer für den Internet-Zugang zur Verfügung stehen. Es reicht also vollkommen aus, die CIS.INI-Datei von einem fremden Rechner zu kopieren und man erhält unter fremdem Namen Zugang zu Compuserve.
In der Datei CIS.INI selbst wird das Paßwort in verschlüsseltem Zustand abgespeichert. Trotzdem läßt sich das Paßwort auf dem Bildschirm anzeigen. So sind jetzt einige Programme veröffentlicht worden, welche das verschlüsselte Paßwort aus der CIS.INI auslesen, entschlüsseln und auf dem Bildschirm anzeigen. Es soll auch innerhalb der dokumentierten Script-Sprache mit dem Befehl Show möglich sein, sich das Paßwort anzeigen zu lassen.
Auch bei der Weitergabe von Datenträgern, auf denen die CIS.INI nur gelöscht wurde, ist zu berücksichtigen, daß die Datei mit einem Undelete-Befehl zumindest soweit wiederhergestellt werden kann, daß ein Auslesen des Paßwortes möglich ist.
Ein besonderes Problem stellen in allen Fällen Computer ohne Anwenderverifizierung beim Bootvorgang dar. Hier kann praktisch jeder den Computer einschalten und sich in ein Netzwerk automatisch einloggen, ohne daß die Person über irgendwelche Hacker-Kenntnisse verfügen muß.
Die hier gemachten Bemerkungen gelten im Grunde für jegliche Software, die sich durch Login-Scripts in Datennetze einloggt. So gibt es auch entsprechende paßwortspeichernde Dateien für verschiedene Internet-Software-Pakete wie z.B. der mit OS/2 mitgelieferte Internet Access Kit oder die mit Windows 95 mitgelieferte Software für das Microsoft Netzwerk.
Um einen Mißbrauch dieser Login-Scripts zu verhindern, können praktisch nur zwei Methoden angewandt werden. Entweder man verzichtet auf die Verwendung von Login-Scripts und gibt User-ID und Paßwort von Hand ein, oder aber man sichert den entsprechenden Computer mit einer Zugangskontrollsoftware ab. Hier muß sich der Anwender mit Namen und Paßwort identifizieren bevor er überhaupt erst mit dem Computer arbeiten kann. Sollte die Zugangskontrollsoftware eine Dateiverschlüsselung erlauben, so sollte diese zur Sicherheit auch Verwendung finden.
Paßwortsysteme
Gerade Anwender mit mehreren Accounts neigen oftmals dazu, für alle Accounts dasselbe Paßwort zu nehmen. Es muß von einem potentiellen Eindringling also nur ein Paßwort gefunden werden, um Zugriff auf alle Accounts des Anwenders zu erhalten. Dieses One-For-All Paßwort wird meistens deshalb eingesetzt, weil sich der Anwender einfach daran erinnern kann und es keinem speziellen Account zuordnen muß. Um dies alles zu verhindern, ist es unumgänglich, dem Anwender Techniken aufzuzeigen anhand derer er in der Lage ist, sein eigenes Paßwortsystem zu entwickeln. Sinn und Zweck eines Paßwortsystems ist es, den Anwender in die Lage zu versetzen, für jeden Account ein eigenes Paßwort zu erstellen welches sich der Anwender einfach merken kann, welches den Mindestanforderungen der Paßwortrichtlinien eines Unternehmens genügt, welches zweifelsfrei vom Anwender dem jeweiligen Account zugeordnet werden kann und welches im Falle des Vergessens vom Anwender unter Zuhilfenahme des Paßwortsystems wieder regeneriert werden kann. Der Anwender muß auf alle Fälle darauf hingewiesen werden, daß er sein Paßwortsystem geheim halten muß, damit niemand Fremdes in der Lage ist, die entsprechenden Paßwörter zu regenerieren.
ID-Token
Ein Paßwortsystem, das mit ID-Token arbeitet, dürfte wohl zur Zeit eines der sichersten Systeme darstellen. Dabei handelt es sich um ein taschenrechnerähnliches Gerät, welches abhängig von Datum, Uhrzeit und anderen Faktoren ein Paßwort generiert, das nur für eine bestimmte Zeitspanne vom Moment der Generation an gültig ist. Diese Zeitspanne kann von wenigen Minuten bis zu einigen Tagen lang sein. Der gleiche Algorithmus, der in dem ID-Token das Paßwort generiert, verifiziert auf dem geschützten Computer die Gültigkeit des Paßwortes. Das ID-Token System bietet viele Vorteile. So müssen sich die Anwender keine Paßworte mehr einprägen, da vor jedem neuen Log-In ein neues Paßwort generiert wird. Da das Paßwort nicht mehr gemerkt werden muß, kann es außergewöhnlich lang sein, aus Buchstaben und Zahlenkombinationen bestehen, die keinen Wortsinn ergeben und es können Satz- und Sonderzeichen sowie wilkürlich Groß- und Kleinbuchstaben verwendet werden. ID-Token stellen das einzige System dar, das ein Aufschreiben des Paßwortes verhindert, da es durch die ständige Neugeneration keinen Sinn machen würde.
Dongle und Smart-Cards
Bei der Verwendung von Dongle oder Smart Cards (auch Chipkarten genannt) wird das Prinzip Besitz und Wissen angewendet. Es reicht hier nicht aus, nur das Paßwort zu wissen oder nur den Dongle zu besitzen, um Zugang zum Netzwerk zu erhalten. Dongle-Systeme zählen heute zu den relativ alten Zugangskontrollsystemen und haben mit Paßwörtern direkt nichts zu tun. Sie seien hier nur der Vollzähligkeit halber erwähnt. Wesentlich interessanter sind Chipkartensysteme, da hier neue Möglichkeiten eröffnet werden, was das Paßwortmanagement betrifft. Während bei einem normalen Paßwortsystem das Paßwort zu Verifikationszwecken in einer Datei auf dem Rechner gespeichert werden muß, kann bei einer Chipkarte das Paßwort auf der Chipkarte gespeichert werden. Es sind also keine Paßwortdateien auf dem Computer mehr nötig. Da eine Chipkarte auch sehr widerstandsfähig gegen Manipulationsversuche ist, stellt sie eine sehr sichere Lösung des Zugangsschutzes dar.
Paßwortschutz im Computer-BIOS
Fast jedes neuere BIOS verfügt heute über einen Paßwortschutz. Ist dieser Paßwortschutz eigeschaltet, wird noch vor dem Booten des Computers die Eingabe eines Paßwortes verlangt. Diese Schutzfunktion und das Paßwort selbst werden im BIOS des Computers eingeschaltet bzw. eingetragen. Der BIOS-Paßwortschutz ist in der Praxis als nicht sonderlich sicher zu betrachten, da das Paßwort durch eine einfache Manipulation auf dem Mainboard gelöscht werden kann. Damit die voreingestellten BIOS-Parameter nicht verloren gehen, wenn der Computer ausgeschaltet wird, hat jeder Computer einen kleinen Akku eingebaut, der das BIOS weiter mit Strom versorgt. Selbst wenn der Akku ausgebaut wird, wird das BIOS noch für einige Stunden oder gar Tage von einem Kondensator gespeist, der sich auf dem Mainboard befindet. Deshalb sind viele Mainboards mit einem Jumper ausgerüstet, der als Kurzschlußbrücke gesteckt werden kann. Dabei wird erst der Akku entladen und anschließend der Kondensator. Danach entspricht das BIOS den Default-Werten ab Werk ohne Paßwortschutz. Da diese Methode relativ lange dauert, da der Akku durch seine relativ hohe Kapazität mehrere Stunden zur Entladung benötigt, geht es schneller, wenn der Akku kurz ganz abgeklemmt wird und dann die Kurzschlußbrücke gesteckt wird. Der Kondensator benötigt nur Bruchteile einer Sekunde, um seine komplette Ladung zu verlieren. Mit diesen beschriebenen Maßnahmen ist man in der Praxis in der Lage ein BIOS-Paßwort innerhalb weniger Minuten ganz auszuschalten.
Weiterhin ist es kein Geheimnis, daß das voreingestellte Paßwort eines AMI-BIOS das Wort AMI ist. So kann in vielen Fällen davon ausgegangen werden, daß mit dem voreingestellten Paßwort gearbeitet wird.
Es ist in der Praxis nicht ratsam, sich auf den BIOS-Paßwortschutz zu verlassen solange ein Öffnen des Computergehäuses nicht verhindert werden kann.
Paßwortmanagement
Ab einer gewissen Unternehmensgröße oder bei entsprechender Sensibilität der gespeicherten Daten ist es ratsam, ein Paßwortmanagement im Unternehmen einzuführen. Dieses Paßwortmanagement legt die Richlinien über die Verwendung von Paßwörtern fest, aus welchen Zeichen ein Paßwort bestehen soll/darf/muß, wie lang ein Paßwort sein soll, was verbotene Paßwörter sind usw. Je nach Organisation ist dieses Paßwortmanagement auch für die zentrale Vergabe von Paßwörtern zuständig sowie für die Vergabe von User-Accounts und für die Einhaltung der Paßwortrichtlinien.
Verbotene Paßwörter
Im Rahmen eines Paßwortmanagements ist auch das Definieren von verbotenen Paßwörtern unumgänglich. So sollte ein gutes Zugangskontrollprogramm über eine erweiterbare Datenbankfunktion für verbotene Paßwörter verfügen. Jedesmal wenn ein Anwender das Paßwort für seinen Account wechselt, wird das neue Paßwort mit der Datenbank für verbotene Paßwörter auf Zulässigkeit hin überprüft. Ist das neu gewählte Paßwort in der Datenbank enthalten, wird der User aufgefordert, ein neues Paßwort zu wählen.
Je nach Größe des Unternehmens und Anzahl der User-Accounts kann die Datenbank für verbotene Paßwörter mehrere tausend Einträge enthalten. Als verbotene Paßwörter sollten gelten:
- Einfach zu erratende Paßwörter
- Vornamen der Mitarbeiter
- Nachnamen der Mitarbeiter
- Initialen
- Firmennamen
In den Datennetzen existieren sogenannte Paßwort-Wörterbücher, die einem Hacker das Knacken eines Accounts erleichtern sollen. Diese Paßwort-Wörterbücher umfassen mehrere tausend Einträge und liegen als ASCII-Datei vor. Es ist damit ein leichtes, ein Programm zu schreiben welches automatisch alle Einträge des Wörterbuches auf einem User-Accout testet. Es ist deshalb in der Praxis ratsam, vor allen Dingen diese Paßwort-Wörterbücher in die Datenbank für verbotene Paßwörter zu integrieren. Diese Integration geht relativ schnell durch die elektronische Form der Wörterbücher.
Wartungsaccounts in Netzwerken
Jede EDV-Anlage bedarf der mehr oder weniger regelmäßigen Wartung. Wird die Wartung von unternehmensinternen Personen durchgeführt, so sind die entsprechenden Zugangsaccounts vorhanden. Anders sieht es aber aus, wenn eine Fremdfirma mit Wartungsarbeiten beauftragt wird. Hier müssen extra Wartungsaccounts für die Techniker angelegt werden. Diese Wartungsaccounts sollten von ihren Befugnissen her bereits vordefiniert sein. Wird nun ein Wartungsaccount benötigt, dann wird vom System Manager dem entsprechenden Wartungsaccount nur der Name des Technikers und ein temporäres Paßwort zugeordnet. Dieses temoräre Paßwort sollte nicht länger als ein Tag gültig sein, unabhängig davon, wie lange die Wartungsarbeiten dauern. Sollten sich die Wartungsarbeiten über mehrere Tage erstrecken, muß der Servicetechniker jedesmal ein neues Paßwort vom System Manager für seinen Account zugewiesen bekommen. Diese Maßnahme ist ganz wichtig, da oftmals vergessen wird, Wartungsaccounts nach beendeter Arbeit zu löschen. In der Praxis ist es keine Seltenheit, daß mehr als 50 gültige Wartungsaccounts bestehen, die irgendwann einmal für irgendwelche Arbeiten eingerichtet wurden, anschließend aber nicht mehr gelöscht wurden. Eine gute Zugangskontrollsoftware ist in der Lage Wartungsaccounts über die Gültigkeit des Paßwortes automatisch zu kontrollieren. So muß dem entsprechenden Account nur eine Paßwortgültigkeit von 8-10 Stunden zugeordent werden. Danach erlischt die Gültigkeit des Paßwortes und des Accounts.
Paßwortgeneratoren
In vielen Fällen des zentralen Paßwortmanagements werden sogenannte Paßwortgeneratoren eingesetzt. Hierbei handelt es sich um ein Programm, das aus einem vordefinierten Buchstabensatz oder einer vorgegebenen Silben- oder Wortanzahl unter Zuhilfenahme eines Zufallsgenerators Paßwörter generiert. Diese Methode wird oftmals bei großen und zentral administrierten Netzwerken angewandt. Der Vorteil des Paßwortgenerators liegt in der Tatsache begründet, daß er keine doppelten Paßworte generiert, gemäß den unternehmensinternen Richtlinien entsprechend komplexe und nicht zu ratende Paßworte erstellt sowie automatisch darauf achtet, daß die generierten Paßwörter nicht mit einem Paßwort in der Datenbank für verbotene Paßwörter übereinstimmen. Als Nachteil muß gesehen werden, daß die generierten Paßwörter in aller Regel nur sehr schwer zu behalten sind, da sie von der Umgangssprache her meistens keinen Sinn ergeben.
Speichern der Paßwörter
Auf das Abspeichern der Paßwörter haben in aller Regel weder der Anwender noch der Systemadministrator einen Einfluß. Dies wird von dem entsprechenden Zugangskontrollprogramm gemacht. Vor der Anschaffung solcher Programme sollte deshalb unbedingt darauf geachtet werden, daß die Paßwortdatei von der Software entsprechend sicher verschlüsselt wird. So sind Abspeichermethoden wie bei den Login-Scripts nicht geeignet eine unternehmensweite Paßwortsicherheit aufzubauen. Auch sollte vor der Anschaffung geklärt werden, mit welcher Methode das Paßwort verschlüsselt wird und welche zusätzlichen Methoden und Techniken von der Software angewandt werden, um die Paßwortsicherheit und die Paßwortintegrität zu gewährleisten. So ist z.B. eine XOR-Paßwortverschlüsselung nicht in der Lage, eine geeignete Sicherheit zu gewährleisten.
Log-Dateien
Über jeden Versuch sich in ein Netzwerk einzuloggen, sollte automatisch Buch geführt werden. Diese Log-Dateien müssen festhalten, welcher Anwender sich wann (Zeit und Datum) in das Netzwerk eingeloggt hat. Sollte mit einem falschen Paßwort versucht werden, in das Netzwerk zu kommen, so muß in der Log-Datei auch das falsche Paßwort (oder auch der falsche oder nicht existierende Anwendername) abgespeichert werden. Es ist unumgänglich, diese Log-Dateien von Zeit zu Zeit auf Unregelmäßigkeiten hin zu überprüfen. Die Log-Dateien sollten ebenfalls verschlüsselt, manipulationssicher gespeichert und nur dem Systemadministrator zugänglich sein.
Im Rahmen von Ermittlungen stellen Log-Dateien eine große Hilfe dar. Erst durch die Kontrolle von Log-Dateien kann ein Netzwerkadministrator feststellen, daß eine Person unbefugterweise versucht hat, sich in das Netzwerk einzuloggen oder sonstige Angriffe auf das Netzwerk gestartet hat. Sollte ein solcher Versuch entdeckt werden, kann mit Hilfe von Log-Dateien festgestellt werden, unter welchem Namen und mit welchen Paßwörtern Versuche unternommen wurden, von welchem Rechner oder Terminal der Versuch gestartet wurde, wie weit der potentielle Eindringling überhaupt gekommen ist, auf welche Daten er eventuell Zugriff erlangte und wann diese Angriffe unternommen wurden.
Social Engineering
Die hier geschilderte Methode ist weiter verbreitet und wesentlich gefährlicher als viele Leute glauben. Social Engineering bedeutet einfach erklärt, daß eine unbekannte Person unter Angabe von einer falschen und in der Regel vertrauenswürdigen Identität und unter Angabe von sehr wichtig erscheinenden Gründen Auskünfte verlangt, die eigentlich nicht gegeben werden dürfen. Im Falle von Netzwerken können dies Zugangsnummern, Accountnummern, User-IDs und Paßwörter sein. Es sollte dem Anwender klar gemacht werden, daß keine Person von innerhelb oder außerhalb der Firma solche Angaben benötigt, egal welche Gründe er dafür angibt. Selbst zu Wartungszwecken existieren entsprechende Wartungsaccounts. Es muß also kein Anwender, aus welchem Grund auch immer, sein Paßwort jemandem bekanntgeben.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 08/1995 by Howard Fuhs