Passwort

aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
(Weitergeleitet von Passwortabfragen)
Wechseln zu: Navigation, Suche

Hier möchten wir etwas über Passwörter und abwandelnde Formen des Passworts berichten. Bevor man sich mit Techniken eines Passworts beschäftigt sollte man wissen was ein Passwort eigentlich wirklich ist. Das Passwort was wir heute als "Login" kennen hat mit großer Sicherheit nicht den Ursprung im Internet.

Geschichte

Im frühen Mittelalter benutzte der Adel oft Parolen um seine Burgmauern zu schützen. Wer das Kennwort oder die Parole nicht wusste, konnte definitiv nicht die geschlossenen Burgtore überwinden. Damals sollte das Kennwort vor überraschenden Angriffen schützen, wenn die Tore zum Einlass der Händler und Bürger geöffnet waren.

Das Militär verschiedener Länder erkannte zu frühster Kriegszeit das Kennwort(Lösungswort; Pass Parole) als eine Art Hilfsmittel für sich. Es wurde auf Feldschlachten und in vielen Kriegen benutzt um andere herannahende Personen zu identifizieren. So stellten sie an der Parole oder dem erfragten Kennwort fest ob die Person gegenüber ein Freund oder Feind ist. Da es z.B. in Vietnam oft zu "Friendly Fire" kam, weil die Truppen orientierungslos im Dschungel herumirrten vereinbarte man Laute(Rufe;Pfiffe) und Parolen die von Trupp zu Trupp variierten und Personen identifizierten. Bevor es das Kennwort im Internet gab wurde es somit hauptsächlich vom Militär genutzt.

PIN (Persönliche Identifikationsnummer)

Die Persönliche Identifikationsnummer (PIN) ist eine abgewandelte Unterform des Passworts, sie liegt lediglich in numerischer Zeichenfolge vor. Der PIN kann in den meisten Fällen(Bank,DE) und bei der Erstellung nicht frei vom Endanwender gewählt werden. Der Bank PIN für das Abheben von Geld wird von der Bank an die Kunden per Post verschickt.

Mittlerweile gibt es einige Techniken an die PIN von Kontoinhabern zu gelangen. Viele aus dem Osten der Welt organisierende und operierende Banden (Rumänische, Russische, Kroatische) sind auf das klauen von Identifikationsnummern spezialisiert. Sie beklauen Touristen oder fischen(Phising) die TANs der Kunden über angebliche Login Seiten im Internet und vieles mehr. Viele Gruppen & Banden besorgen sich auch im Ausland für genügend Geld von Mitarbeitern oder Crackern listenlange Adressdateien mit aktiven Bankkunden E-Mails. Die neuste Masche und sehr bekannt in der Szene ist das anstecken von Lese-Geräten und Tastaturen an die Bankautomaten. Kunden fallen immer öfter darauf rein weil z.B. Lesegeräte an die Karteneinstecköffnungen angebracht sind. Die Geräte lassen sich dann später auswerten um das Konto zu plündern. Sehr oft arbeiten gut organisierte Banden mit Mitarbeitern verschiedener Bank-Filialen zusammen und spielen sich somit Informationen zu. Teile der Carding-Szene sind so gut (kriminell), das es selbst für die Behörden schwer wird die Hersteller-Werkstätten auswendig zu machen. Die Zurückverfolgung und die Aufklärungsrate von illegalen Abhebungen über Ländergrenzen hinweg, ist für den Staat fast unmöglich.

Benutzer-Kennwort(BK)

In vielen fällen reden wir heutzutage von Benutzer-Passwörtern im Internet. Benutzer-Passwörter sind als Login für eine Verbindung und die gleichzeitige Authentifizierung einer Person im Netz von Nöten. Da jedem Benutzer auf Webseiten mit Login sein gespeichertes Profil zugeordnet werden muss gibt es eine Anmeldung, diese ist dann mit einer Benutzer-Kennung(Passwort) geschützt, die nur bei Authentifizierung nachgibt. Wenn man sich mit dem Passwort anmeldet wird das jeweilige Profil geladen was man vorher über Mail bestätigt hat(z.B. Portal). Benutzer/User die sich angemeldet haben können ihre Authentifizierung oft frei wählen, sie dürfen eine alphanumerische Zeichenfolge als Passwort setzen.

Es gibt aber auch einige Ausnahmen z.B. bei einem "Einmalpasswort". Wie der Name schon sagt kann das Passwort nur einmal verwendet werden und ist nicht vom Nutzer wählbar wie das normale BK, trotzdem besteht es aus einer alphanumerischen Zeichenfolge. Bei Online-Banking wird diese Technik mittlerweile Markt führend verwendet. Man benutzt das "Einmalpasswort" (TAN) zum bestätigen von Transfers.

Cracken von Passwörtern und Kennungen

Bei einer Verschlüsslung wird eine Funktionsstruktur genutzt, die nur mit dem jeweiligen Schlüssel, der Struktur wieder umzukehren ist. Sobald ein Passwort oder eine Datei einmal verschlüsselt wurde kann man keine Möglichkeit nutzen das Passwort zu erkennen oder einfach mal wieder zu erlangen durch auslesen der Datei. Viele Berechnungsabläufe (hash1+hash2=hash27>) wurden durchleuchtet und somit war es möglich einträge mit selbiger Verschlüsslung zu erzeugen um diese dann mit der "Datei" die wir brauchen zu vergleichen. Sobald sich Übereinstimmungen finden ist das Passwort schon so gut wie entziffert und wird somit kalkuliert. Für das „cracken“ von Passwörtern sind diese beiden Absätze sehr wichtig, da sie darauf Aufbauen wie eine Vergleichungsfunktion agiert.

Dictionary Attack(Wörterbuch-Angriff)

Überall im Internet kursieren riesige Passwortlisten und so einige verschlüsselte Dictionary die sehr interessant sind auf Grund ihrer PWD Generierung. Im Internet findet man „Wordlists“ eigentlich ziemlich leicht also ist diese Technik sehr verbreitet um Passwörter zu „cracken“. Viele Benutzer im Internet wählen ihre Passwörter unbewusste und denken es sei immer sicher, da es keiner weis. Manche benutzen den Namen ihrer Freundin, andere den ihres Hundes und wieder andere ihr Geburtsdatum. Keines dieser Passwörter bietet auch nur ansatzweise Schutz vor Angreifern. Die Quote bei einer guten Dictionary-Attacke ist ziemlich hoch und wird oft unterschätzt, bis es halt zu spät ist. Wörterlisten werden in der heutigen Alltag in jeder erdenklichen Form gespeichert und weiterverteilt. Viele Wörter werden in verschiedensten Variationen generiert und publiziert, damit das Risiko eines Fehlschlags beim „cracken“ minimiert wird.

Viele Cracker- & Hackerseiten stellen auch Themen basierende Wordlists zusammen, die sie dann später frei zum download stellen. So etwas bringt zwar keinen Ruhm aber oft einige User mehr im Forum, die meistens nicht sonderlich qualifiziert sind.

Brute-Force knacken Asymmetrische Verfahren(Rohe Gewalt)

Eine Brute-Force Attacke wird in der Szene als Rohe Gewalt; Neandertaler Taktik oder Kiddyware bezeichnet. Es ist das letzte Mittel was gute Cracker & Hacker benutzen wenn sie umbedingt an Server oder Datenmaterial rankommen müssen. Diese Attacke unterscheidet zwischen der Dic. Attacke um einiges. Das Programm/Script versucht mit allen möglichen Schlüsseln das richtige Passwort zu treffen und rattert so eine menge zahlen runter in wenigen Sekunden. Oft hat man in den Programmen verschiedenste Optionen, man kann z.B. entscheiden ob nur Zahlen, Buchstaben und Sonderzeichen verwendet werden dürfen oder halt auch gemischte Kombinationen. Viele Service-Clients haben das Problem, dass sie nicht sicher gewartet werden. In viele fällen tritt es auf das der User unbegrenzt hintereinander Passwörter eingeben kann um sich einzuloggen, natürlich kommt er aber nur beim richtigen rein.

Der KiddyCracker von heute geht zum Server stellt einfach alles im BF-Tool auf den Service(+Server) ein und lehnt sich zurück während das Programm seinen Dienst verrichtet. Aus diesem Grunde ist es keine Taktik von wirklich guten Crackern. Ein Zweiter Grund davon abzuraten ist der zeitliche Effekt und die Zurückverfolgung auf Servern. Viele können sich kaum vorstellen wie lange es dauern kann ein 12stelliges Passwort heraus zu bekommen. An sich kann man jedem der keinen wirklich guten Grund hat von sollchen Software Produkten abraten.

Wie man sich gegen so kindische Attacken schützen kann? Naja es ist relativ einfach man begrenzt die Passworteingabe auf 3mal und alles was darüber liegt wird geblockt. Sollte jemand also mehrmals versuchen sich einzuloggen(Als 3 Mal) wird er nach dem Dritten mal geblockt, gelogt und auf eine unbestimmte Zeit über die IP-RANGE gebannt.

Wenn spezielle Service zugeschnittene Attacken auf einen selber gerichtet sind sollte man ruhig bleiben und die Services überprüfen ,loggen und ggf. auch Gegenangriffe starten, damit der Angreifende Server den Anfragen & Absendungen nicht mehr nachkommen kann. In seltenen Fällen ist es auch möglich den angreifenden "Zombie"(Server) zu "rehacken", da er auch über eine Sicherheitslücke vom Angreifer infiziert wurde um somit für seine dunklen Zwecke genutzt zu werden.

Ich hoffe, dass ich euch in diesem Bericht einiges über "Passwörter" und das "cracken" von Passwörtern erklären konnte. Wenn man es mal statistisch betrachtet dann haben Passwort Cracker in unserer Gesellschaft einen festen Platz gefunden. Genau an dieser Stelle beginnt die IT Security Branche. In Wirklichkeit verdient der Staat einige Millionen damit das andere Leute „EURE „Passwörter „cracken“. Wenn man selber betroffen ist dann kann man immer Meckern aber wenn man alles von einer neutralen Ebene betrachtet bauen beide Parteien sich gegenseitig auf um eine "Evolution" durchzumachen die man auch Freie Entwicklung nennt ;)

“Jedes System ist zu knacken, Jedes“
Jon Errickson