Kennwörter knacken - LOG IN – Informatische Bildung und
Transcription
Kennwörter knacken - LOG IN – Informatische Bildung und
PRAXIS & METHODIK – WERKSTATT Experimente & Modelle Kennwörter knacken Teil 1 von Jürgen Müller Bereits im Griechenland der Antike diente beim Militär eine Parole als Erkennungszeichen, um bei Dunkelheit oder bei sich bislang persönlich nicht kennenden Mitkämpfern den Freund vom Feind zu unterscheiden. Und doch wurde schon zu jener Zeit mancher Kampf durch den Verrat des Losungsworts entschieden. Ähnlich ist es heute noch beim elektronischen Austausch von Informationen übers Internet. Im Allgemeinen wird ein Passwort bzw. ein Kennwort sozusagen als Parole überall dort verwendet, wo die Authentizität, d. h. die Echtheit bzw. Glaubwürdigkeit, des einen Partners für den anderen von wesentlicher Bedeutung ist. Und so hat auch der heutige Begriff der Authentifizierung einen griechischen Ursprung: authentikós bedeutet ,,echt“, aber auch ,,Anführer“, wobei dieser griechische Wortstamm mit dem lateinischen facere (,,machen“) verbunden ist. Bei einer Authentifizierung zwischen zwei Partnern authentisiert sich der eine, während der Übersicht Klassenstufe Sekundarstufe I / Sekundarstufe II Oberthemen ITG: Betriebssysteme, Kommunikation, Kryptologie Informatik: Algorithmen, Theoretische Informatik, Kommunikation in Rechnernetzen Unterthemen ITG: An- und Abmelden, Zugriffsschutz, Kommunikationsverhalten, symmetrische Verschlüsselung Informatik: Exponentielle Zeitkomplexität, Datensicherheit, kryptografische Verfahren Anforderungsniveau mittel Durchführungsniveau mittel Vorwissen Umgang mit einem Textverarbeitungssystem, Fertigkeiten im Umgang mit dem Dateisystem Methode Demonstration oder Schülerexperiment Vorbereitung 10 Minuten zur Bereitstellung der Software auf dem Server Durchführung 30 Minuten 108 andere Partner den ersten authentifiziert, das heißt, der erste Partner versucht sich dem anderen gegenüber glaubwürdig zu machen, während der zweite dann diese Glaubwürdigkeit bestätigt (oder nicht anerkennt). Damit öffnet sich zugleich das Problem des Schutzes der hierfür benötigten Pass- oder Kennwörter. Mit dem folgenden Unterrichtsvorschlag sollen Schülerinnen und Schüler für dieses Thema sensibilisiert werden. Thema: Kennwörter knacken Werden in einem IT-System oder einer Anwendung Kennwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass die Kennwörter unter entsprechenden Sicherheitsaspekten korrekt gewählt werden. Ein IT-System ist nur so sicher wie die Kennwörter, durch die es geschützt wird. Ein großes Problem stellen sogenannte schwache Kennwörter dar, die sich allzu leicht erraten lassen. Im Dezember 2009 ist es einem Hacker gelungen, rund 32 Millionen Kennwörter in seinen Besitz zu bringen. Die Kennwörter stammten von Nutzern des amerikanischen Dienstleisters RockYou. Der Hacker veröffentlichte die Kennwörter im Internet, das Sicherheitsunternehmen Imperva analysierte diese daraufhin. Das Resultat: Die meisten Kennwörter boten keinen ausreichenden Schutz, sondern wären binnen weniger Minuten geknackt (vgl. Imperva, 2010). Im Kasten ,,Die beliebtesten Kennwörter“ (nächste Seite) sind die Top 20 der beliebtesten Passwörter aufgelistet, inklusive der absoluten Anzahl der Benutzer, die diese verwendeten. Die drei schlimmsten Fehler waren: 䉯 Die Hälfte aller Kennwörter bestand aus sieben oder weniger Zeichen. 䉯 Über 60 Prozent der Benutzer mischten bei ihrem Kennwort keine Schriftzeichen, 40 Prozent verwendeten ausschließlich Kleinbuchstaben, 16 Prozent ausschließlich Ziffern. Weniger als 4 Prozent benutzten Sonderzeichen. LOG IN Heft Nr. 163/164 (2010) PRAXIS & METHODIK – WERKSTATT Die beliebtesten Kennwörter Top 20 der beliebtesten Kennwörter, inklusive der absoluten Anzahl der Benutzer, die diese verwenden Rang Kennwort Anzahl der Kennwort-Benutzer (absolut) 1 123456 290 731 2 12345 79 078 3 123456789 76 790 4 Password 61 958 5 iloveyou 51 622 6 princess 35 231 dows zur Verfügung. Wir gehen bei den Beispielen davon aus, dass Windows XP als Betriebssystem verwendet wird. Es existieren zahlreiche kommerzielle wie auch kostenfrei verfügbare Werkzeuge zum Analysieren und Knacken von Kennwörtern; die hier angeführten seien daher nur exemplarisch genannt: 䉯 Passware Kit Standard als kommerzielle Komplex- suite zum Knacken von Kennwörtern, insbesondere für Brute-Force-Angriffe. Die kostenfreie Demoversion zeigt nur die ersten drei Zeichen des geknackten Kennworts: http://www.lostpassword.com/kit-standard.htm 䉯 Textverarbeitung (z. B. Word für Windows oder OpenOffice.org Writer), 䉯 Tabellenkalkulationswerkzeug (z. B. MS-Excel oder 7 rockyou 22 588 8 1234567 21 726 9 12345678 20 553 10 abc123 17 542 11 Nicole 17 168 12 Daniel 16 409 13 babygirl 16 094 Vorbereitung 14 monkey 15 294 15 Jessica 15 162 16 Lovely 14 950 17 michael 14 898 18 Ashley 14 329 19 654321 13 984 Die Versuche zum Knacken von Kennwörtern können als Demonstrationen von der Lehrkraft durchgeführt werden, sie eignen sich aber auch für Schülerversuche. Die Software-Installationen gehen schnell und können gemeinsam mit den Schülerinnen und Schülern vorgenommen werden. Bestehen keine Administrationsrechte auf den Schüler-PCs, sollte die Software vor dem Unterricht vom Schuladministrator installiert werden. 20 Qwerty 13 856 䉯 Fast 5000 der beliebtesten Kennwörter, die von 20 Prozent der Nutzer verwendet wurden, waren Namen, umgangssprachliche Wörter, Wörter aus dem Wörterbuch und Trivial-Kennwörter (ab- oder aufsteigende Zahlenreihen, Kennwörter, die aus auf der Tastatur aufeinanderfolgenden Buchstaben bestanden usw.). Natürlich nutzen auch die Schülerinnen und Schüler Kennwörter beim Anmelden im Netzwerk der Schule, beim Zugriff auf ihre E-Mails, in sozialen Netzen wie schülerVZ usw. Im Rahmen der informatischen Bildung sollte daher schon früh die Wichtigkeit der Wahl von sicheren Kennwörtern deutlich gemacht werden. Mit Experimenten und theoretischen Überlegungen zum Herausfinden von Kennwörtern kann das schon in der informatischen Grundbildung erfolgen. Materialien Die benötigten Werkzeuge stehen als Open-Source-, Freeware- oder Shareware-Software unter MS-Win- LOG IN Heft Nr. 163/164 (2010) OpenOffice.org Calc), 䉯 Texteditor, z. B. TextPad: http://www.textpad.com/ 䉯 Datenkompressionsprogramm (z. B. WinRAR oder 7-Zip): http://www.winrar.de/ http://7-zip.org/ Durchführung Diskussion: Warum brauchen wir Kennwörter? Vor Beginn der Versuche zum Knacken von Kennwörtern sollte mit den Schülerinnen und Schülern über folgende Fragen diskutiert werden: 1. Bei welchen IT-Systemen und Anwendungen müsst ihr Kennwörter verwenden? 2. Was könnte passieren, wenn meine Kennwörter anderen Personen in die Hände fallen? In der Diskussion sollte herausgearbeitet werden, dass Kenn- bzw. Passwörter dazu dienen, um einerseits bestimmte Leistungen im Internet zu nutzen (Beispiel: Zugangskennwörter beim Internetprovider), andererseits um persönliche Daten zu schützen. Das Lesen von E-Mails ist in der Regel mit einem Kennwort geschützt. Datenschutz und die Sicherheit der genutzten Computersysteme werden hauptsächlich durch Fehlverhalten von Nutzern bedroht. Schülerinnen und Schülern (wie auch Erwachsenen) muss deshalb die Bedeutung von 109 PRAXIS & METHODIK – WERKSTATT Bild 1: Die erste Zeile eines Word-Textes wird in den Metainformationen der Datei gespeichert. Diese Metainformationen werden standardmäßig nicht verschlüsselt. Vertraulicher Text sollte daher erst in Zeile 2 beginnen! Kennwörtern klar sein! Sie dürfen niemals preisgegeben werden. Oft wird versucht, mit Tricks andere zu überreden, Kennwörter auszuhändigen. Gerade wenn Probleme bei bestimmten technischen Vorgängen bestehen, wird ein Hilfeangebot so formuliert, dass die Lösung von der Kenntnis des Kennworts abhängt. Sollte ein Kennwort, aus welchen Gründen auch immer, Dritten mitgeteilt worden sein, sollte man es sofort ändern. Die Folgen einer illegalen Nutzung von Kennwörtern hängt von der Bedeutung eines Kennworts ab: Nicht immer muss daraus ein materieller Verlust hervorgehen. Die Kenntnis von Kennwörtern bei E-Mail-Diensten kann beispielsweise dazu genutzt werden, die EMail-Kommunikation anderer Personen zu verfolgen. Aber auch materieller Schaden kann entstehen: Die Kenntnis eines Zugangskennworts des Internetproviders kann für einen unbefugten Zugang genutzt werden, der unter Umständen mit Nutzungskosten verbunden ist. Schlimmere Folgen kann die Nutzung von Kennwörtern jedoch für andere haben: Um kriminelle Tätigkeiten zu verschleiern, werden sie missbraucht, um Dritten zu schaden. So kann die Verbreitung von Computerviren vertuscht werden. Da bei solch kriminellem Verhalten unter Umständen sogar die Polizei eingeschaltet wird, gerät man dabei mit großer Sicherheit in die polizeilichen Ermittlungen. Zugriff auf schützenswerte Dokumente sichern (z. B. Telefonverzeichnisse mit den Handynummern der Schülerinnen und Schüler usw.). Die Lehrkraft demonstriert die Vorgehensschritte zunächst und erläutert diese. Nach einer kurzen Wiederholung der wesentlichen Schritte vollziehen die Schülerinnen und Schüler diese Schritte dann an ihren eigenen Dokumenten nach. Im Beispiel gehen wir von MS-Office 2007 aus. Zunächst sollte den Schülerinnen und Schülern deutlich gemacht werden, dass bei MS-Word wichtiger Text nicht in der ersten Zeile stehen darf: MS-Word nimmt die erste Zeile als Vorschlag für den Dateinamen (siehe Bild 1). Auch wenn ein anderer Name für die Datei gewählt wird, speichert Word den Text der ersten Zeile in den Metainformationen ab, die standardmäßig nicht verschlüsselt werden. Das Verschlüsseln geschieht über das Menü ,,Datei – Vorbereiten – Dokument verschlüsseln“ (siehe Bild 2). Es muss ein Kennwort vergeben werden (siehe Bild 3, nächste Seite), danach wird die Datei verschlüsselt und Texte mit Standardsoftware verschlüsseln Etlichen Anwenderinnen und Anwendern ist unbekannt, dass sich mit Bürokommunikationssystemen wie MS-Office bzw. OpenOffice.org auch Daten verschlüsseln lassen. Ohne Zusatzaufwand lässt sich damit der 110 Bild 2: Dokumentverschlüsselung bei Word 2007. LOG IN Heft Nr. 163/164 (2010) PRAXIS & METHODIK – WERKSTATT Bild 3: Für die Verschlüsselung muss ein Kennwort gewählt werden, mit diesem wird das Dokument auch wieder entschlüsselt. kann nur über eine korrekte Kennworteingabe wieder entschlüsselt werden. Fürs spätere Knacken der Kennwörter ist Folgendes wichtig: Fordern Sie die Schülerinnen und Schüler auf, als Kennwort zunächst ein Land oder eine geografische Region zu nennen; in unserem Beispiel lautet das Kennwort ,,alaska“. Das Kennwort soll darüber hinaus aus maximal 8 Kleinbuchstaben bestehen. Der Hintergrund sind sogenannte Wörterbuch-Attacken, mit denen geprüft wird, ob als Kennwort ein WörterbuchEintrag gewählt wurde. Wir wollen die Schülerinnen und Schüler für die Wahl von sicheren Kennwörtern sensibilisieren und zeigen daher, wie schnell sich unsichere Kennwörter brechen lassen. Bei MS-Office 2010 ist das Vorgehen ähnlich; wer mit MS-Office 2000 bis 2003 arbeitet, findet die Verschlüsselung über den Dialog ,,Speichern unter“ in den Sicherheitsoptionen. Es sollte nicht darauf verzichtet werden, sich die Daten auch einmal mit einem einfachen Texteditor anzuschauen: Bei einem unverschlüsselten Text ist der Inhalt lesbar (siehe Bild 4), wird dagegen verschlüsselt, ist nur ,,Daten-Kauderwelsch“ zu sehen (siehe Bild 5). Einfache Kennwörter knacken (Wörterbuch-Angriff) Es soll nun versucht werden, das Kennwort dieser Datei zu knacken. Dazu wird die Software Passware Kit Standard verwendet, eine kommerzielle ,,Knack“Software, die bezeichnenderweise über die Website http://www.lostpassword.com/ vertrieben wird. Die Software ist darauf spezialisiert, die Kennwörter von Standard-Anwendungen wie MS-Office, Adobe Acrobat, diversen Datenkompressionsprogrammen usw. zu ermitteln (siehe Bild 6, nächste Seite). Bilder 4 und 5: Ein Texteditor zeigt die Word-Rohdaten an. Normale Wordtexte sind auch im Editor lesbar (oben), verschlüsselte Texte nicht (unten). LOG IN Heft Nr. 163/164 (2010) 111 PRAXIS & METHODIK – WERKSTATT Bild 6: Bei vergessenen Kennworten von geschützten Dateien kann geholfen werden. Passware ermittelt die Kennwörter von zahlreichen Anwendungen mit Verschlüsselungsfunktion. http://www.lostpassword.com/kit-standard.htm Die Passware-Demo wird gestartet und die verschlüsselte Datei mittels Drag and Drop in das Passware-Fenster gezogen. Sofort ermittelt die Software die Dateieigenschaften und Verschlüsselungsparameter (Office 2007-Datei, AES-Verschlüsselungsalgorithmus, Schlüssellänge 128 Bit, siehe Bild 7). Über die Funktion Run Wizard lassen sich nun die Angriffsverfahren konfigurieren. Passware beginnt zunächst mit einem sogenannten Wörterbuch-Angriff (dictionary attack): Es wird geprüft, ob als Kennwort Einträge aus einem Wörterbuch genommen wurden. Eingestellt werden Kennwortlängen von bis zu acht Zeichen; weiterhin werden nur die Kleinbuchstaben ausgewählt (siehe Bild 8). Über die Schaltfläche Finish wird das Knacken gestartet, und nur wenige Sekunden später liegt das Kennwort vor (siehe Bild 9). In der Demo-Version werden nur die ersten drei Zeichen des ermittelten Kennworts angezeigt; die Schülerinnen und Schüler sollten aber unschwer erkennen, dass ihr Kennwort richtig ermittelt wurde. tenfreien Archivierungsprogramm 7-Zip – Daten verschlüsseln (siehe Bild 10, nächste Seite). Im Folgenden wird versucht, das Kennwort eines verschlüsselten Archivs mit einem Brute-Force-Angriff zu knacken. Dabei werden systematisch alle möglichen Kennwortkombinationen durchprobiert. Komplexe Kennwörter mit Brute Force knacken Im nächsten Versuch sollen die Kennwörter schrittweise härter werden. Alternativ zur Word-Datei lassen sich auch mit anderen Anwendungen – z. B. dem kosBilder 8 und 9: Ein Wörterbuch-Angriff wird konfiguriert (oben). Wenige Sekunden später ist das Kennwort geknackt (unten). Bild 7: Angriffswerkzeuge wie Passware stellen die Verschlüsselungseigenschaften einer Datei fest. 112 LOG IN Heft Nr. 163/164 (2010) PRAXIS & METHODIK – WERKSTATT Bild 10 (rechts): Verschlüsselung von Dateiarchiven mit 7-Zip. Zunächst wird ein Kennwort vergeben, das aus nur drei Ziffern bestehen soll (hier: ,,123“). In Passware wird nach der Übergabe der Datei die Brute-Force-Attacke entsprechend konfiguriert: Kennwörter aus drei Zeichen, bestehend nur aus Ziffern, sollen getestet werden (siehe Bild 11). Im Handumdrehen ist das Kennwort geknackt (siehe Bild 12). Jetzt wird schrittweise die Kennwortlänge erhöht. Bei einer Kennwortlänge von vier Zeichen kann man noch auf das Knacken warten, bei fünf Zeichen dauert es fast schon eine Viertelstunde (siehe Bild 13, nächste Seite); bei 7 Zeichen über einen Tag. Passware zeigt in einer Vorausberechnung an, wie lange das Durchprobieren aller Kombinationen maximal dauert. Es ist sehr sinnvoll, die ermittelten bzw. vorausberechneten Zeiten, bis das Kennwort ermittelt worden ist, von den Schülerinnen und Schülern in einem Diagramm erfassen zu lassen (siehe Bild 14, nächste Seite). Das exponentielle Wachstum der ,,Knackzeiten“ bei linearer Steigerung der Kennwortlängen ist deutlich erkennbar. Nimmt man zu den Ziffern dann auch noch die Groß- und Kleinbuchstaben sowie die Sonderzeichen hinzu (siehe Bild 15, nächste Seite), dauert bei einer Kennwortlänge von sieben Zeichen das Knacken des Kennworts fast 12 000 Jahre (siehe Bild 16, nächste Seite)! Beobachtung, Funktionsweise und Erklärung Die vorgestellten Verschlüsselungsverfahren von MS-Word und dem Archivierungsprogramm WinRAR basieren auf symmetrischer Verschlüsselung. Symmetrisch bedeutet, dass zum Verschlüsseln und zum Entschlüsseln der gleiche Schlüssel verwendet wird. Daher kommt es bei der Kryptoanalyse von symmetrischen Verschlüsselungsverfahren darauf an, diesen Bilder 11 (Mitte) und 12 (links): Brute-Force-Angriffe führen bei geringen Kennwortlängen schnell zum Erfolg. LOG IN Heft Nr. 163/164 (2010) 113 PRAXIS & METHODIK – WERKSTATT Bild 13: Passware zeigt in einer Vorausberechnung an, wie lange das Durchprobieren aller Kombinationen maximal dauert. Schlüssel zu ermitteln. Die vorgestellten Experimente machen deutlich, dass die Sicherheit einer Verschlüsselung wesentlich abhängt von 䉯 Schlüssellänge und 䉯 Verwendung von verschiedenen Arten von Schrift- zeichen bei der Gestaltung des Schlüssels (der Komplexität des Schlüssels). Selbstverständlich spielt auch die Qualität des Verschlüsselungsalgorithmus eine wichtige Rolle, diese wurde aber hier nicht untersucht. Bei starken Verschlüsselungsverfahren wie dem in unseren Beispielen sowohl bei Word als auch bei WinRAR genutztem AES (Advanced Encryption Standard) kann die Verschlüsselung lediglich durch systematisches Durchprobieren aller möglichen Schlüssel gebrochen werden. Damit dies lange dauert, muss das Kennwort zum einen lang sein. Werden für das Kennwort nur die zehn Ziffern von 0 bis 9 verwendet, müssen bei einer Kennwortlänge von 7 Zeichen 107 = 10 Millionen Kombinationen überprüft werden. Zum anderen spielen auch die verwendeten Zeichen eine wichtige Rolle: Kommen die 26 kleinen und 26 großen Buchstaben Bild 15 (oben) und Bild 16 (rechts): Lange und komplexe Kennwörter können mit BruteForce-Angriffen nicht in zumutbaren Zeiträumen geknackt werden. hinzu (ohne Umlaute und ß) sind es schon 627, also ca. 3,5 Billionen Kombinationen, die getestet werden müssen (siehe auch Bild 17, nächste Seite). Aus all dem ergeben sich klare Regeln für die Kennwortgestaltung: 䉯 Ein Kennwort sollte mindestens aus 8 Zeichen beste- Bild 14: Auswertung der Knackzeiten in MS-Excel. Die Zeit für das Knacken eines Kennworts wächst exponentiell bei zunehmender Kennwortlänge. 114 hen. Dann dauert bei der Wahl auch nur einer Zeichenart, z. B. der ausschließlichen Verwendung von Ziffern, das Knacken der Daten lange. 䉯 Ein Kennwort sollte mindestens vier verschiedene Arten von Schriftzeichen enthalten, darunter Groß- LOG IN Heft Nr. 163/164 (2010) PRAXIS & METHODIK – WERKSTATT Bild 17: Geldschein der Hyperinflation von 1923. Nur selten spielt die Billion im Alltagsleben eine Rolle, beim Knacken von Kennwörtern begegnet man ihr allerdings häufig. http://upload.wikimedia.org/ wikipedia/commons/e/e5/5Bio.jpg buchstaben, Kleinbuchstaben und Sonderzeichen wie ,,!@#$%^&*,;"“. 䉯 Das Kennwort sollte kein Name, kein umgangssprachliches Wort oder irgendein Wort, das auch im Wörterbuch steht, sein. Es sollte außerdem weder einen Teil des eigenen Namens noch die eigene EMail-Adresse enthalten. Diese Aussagen sind leider nur von begrenzter Gültigkeit. Die schnell steigende Rechenleistung heutiger Rechner ermöglicht es, zunehmend mehr Kennwörter pro Zeiteinheit durchzuprobieren. Somit sind immer längere Passwörter oder solche aus einer größeren Vielzahl an verwendeten Zeichen für einen ausreichenden Schutz gegen Brute-Force-Angriffe erforderlich. (wird fortgesetzt) Prof. Jürgen Müller Berufsakademie Thüringen – Staatliche Studienakademie Gera Weg der Freundschaft 4A 07546 Gera E-Mail: [email protected] Internetquellen Imperva Press Releases: Imperva Releases Detailed Analysis of 32 Million Breached Consumer Passwords. 21. Januar 2010. http://www.imperva.com/news/press/2010/01_21_Imperva_Releases _Detailed_Analysis_of_32_Million_Passwords.html [zuletzt geprüft: 31. August 2010] Anzeige LOG IN Heft Nr. 163/164 (2010) 115 PRAXIS & METHODIK – WERKSTATT Experimente & Modelle Kennwörter knacken Teil 2 von Jürgen Müller Nachdem im ersten Teil Brute-Force-Angriffe auf Kennwörter thematisiert wurden (vgl. LOG IN 163/ 164, S. 108 ff.), geht es im zweiten Teil um intelligentere Angriffsverfahren. Es wird demonstriert, dass sich Kennwörter mithilfe sogenannter Regenbogentabellen bedeutend schneller ermitteln lassen als durch das systematische Ausprobieren aller möglichen Kennwortalternativen. Regenbogentabellen statt Brute-Force-Verfahren Materialien Die benötigten Werkzeuge stehen als Open-SourceSoftware unter Microsoft Windows und Linux zur Verfügung. Wir gehen bei den Beispielen davon aus, dass Windows XP als Betriebssystem verwendet wird. Folgende Software wird benötigt: Schülerversuche. Die Softwareinstallationen gehen schnell und können gemeinsam mit den Schülerinnen und Schülern vorgenommen werden. Bestehen keine Administrationsrechte auf den Schüler-PCs, sollte die Software vor dem Unterricht vom Schuladministrator installiert werden. Benutzerkonten anlegen und Kennwörter einrichten Für die Experimente zum Knacken von Kennwörtern werden unter Windows XP zunächst Konten angelegt und mit Kennwörtern versehen. Das kann über die Systemsteuerung geschehen, ist aber auch via Kommandoaufruf (siehe Bild 1, nächste Seite) möglich (über die Schaltflächen: Start → Ausführen… ): control userpasswords. Die Konten sollten als sogenannte lokale Konten angelegt werden. Sind die Rechner in einer Domäne anÜbersicht Klassenstufe Sekundarstufe I / Sekundarstufe II Oberthemen ITG: Betriebssysteme, Kommunikation, Kryptologie Informatik: Algorithmen, Theoretische Informatik, Kommunikation in Rechnernetzen Unterthemen ITG: An- und Abmelden, Zugriffsschutz, Kommunikationsverhalten, symmetrische Verschlüsselung Informatik: Exponentielle Zeitkomplexität, Datensicherheit, kryptografische Verfahren Anforderungsniveau mittel 䉯 ophcrack zum Knacken von Kennwörtern auf der Basis sogenannter Regenbogentabellen; Internetquelle zum Herunterladen: http://ophcrack.sourceforge.net/download.php 䉯 Regenbogentabellen für ophcrack; Internetquelle zum Herunterladen: http://ophcrack.sourceforge.net/tables.php 䉯 Webanwendung zum Knacken komplexer Windows- XP-Kennwörter (mit spezieller Demonstration): http://www.objectif-securite.ch/en/products.php 䉯 KeePass als Werkzeug für das sichere Aufbewahren von Kennworten; Internetquelle zum Herunterladen: http://keepass.info/ Durchführungsniveau mittel Vorwissen Erstellen von Computerkonten und Kennwörtern Methode Demonstration oder Schülerexperiment Vorbereitung 10 Minuten zum Konfigurieren der Software Durchführung 20 Minuten Vorbereitung Auch diese Versuche zum Ermitteln von Kennwörtern können als Demonstrationen von der Lehrkraft durchgeführt werden, sie eignen sich aber auch für LOG IN Heft Nr. 166/167 (2010) 115 PRAXIS & METHODIK – WERKSTATT Das Anlegen von Kennwörtern muss nicht für jeden Versuch neu erfolgen; es lässt sich über ophcrack mit der Funktion Save (siehe Bild 4, nächste Seite) ein Speicherauszug (engl.: dump) der sogenannten SAMDatenbank anlegen, der über die Funktion Load wieder nach ophcrack eingelesen werden kann. Damit lässt sich jederzeit bei installiertem ophcrack das Knacken von Kennwörtern demonstrieren, ohne auf die im aktuellen System vorhandenen Konten zugreifen zu müssen. Regenbogentabellen in ophcrack laden Bild 1: Anlegen von Benutzerkonten. gemeldet, ist ein Anlegen neuer Konten in der Domäne über die Systemsteuerung aufgrund der Sicherheitsrichtlinien in der Regel nicht möglich. Lokale Konten können aber über den in Bild 2 dargestellten Weg eingerichtet werden. Die Kennwörter sollten wie folgt vergeben werden: Konto schüler1 schüler2 schüler3 Kennwort 6 Zeichen, lediglich Buchstaben, z. B. ,,Lehrer“ 8 Zeichen, lediglich Buchstaben, z. B. ,,Lehrerin“ 14 Zeichen, Mischung aus Buchstaben und Ziffern z. B. ,,Schule36Ferien“ schüler4 15 Zeichen, Mischung aus Buchstaben, Ziffern und Sonderzeichen, z. B. ,,+Stunden2!Plan“ schüler5 8 Zeichen, Buchstaben, am Ende eine Ziffer und ein Sonderzeichen, z. B. ,,Klasse89#“ Bild 2: Anlegen von Konten und Kennwörtern. 116 Über die oben angegebene Internetquelle erhält man zwar das eigentliche Programm, nicht jedoch die notwendigen Entschlüsselungstabellen, die Regenbogentabellen. Diese wären schon in der einfachsten Variante mit 720 MByte deutlich zu groß. Wenn ophcrack genutzt werden soll, benötigt man daher auch die entsprechenden Tabellen. Diese können über das Portal von SourceForge (http://ophcrack.sourceforge.net) heruntergeladen werden. Gespeichert werden sie im Programmverzeichnis von ophcrack (C:\Programme\ophcrack\ bzw. bei Linux in /usr/local/share/ophcrack/). Diese Tabellen werden über das Menü Table Selection ,,scharf“ gemacht (siehe Bild 3). Durchführung Wenn dieser Versuch als Schülerexperiment durchgeführt werden soll, werden die Schülerinnen und Schüler aufgefordert, die o. a. Konten und Kennwörter selbst anzulegen. Besteht kein administrativer Zugriff auf die Computer, sollte dieser Versuch als Demonstration durch die Lehrkraft durchgeführt werden. Bild 3: Installieren der Regenbogentabellen. LOG IN Heft Nr. 166/167 (2010) PRAXIS & METHODIK – WERKSTATT Bild 4: In der SAM-Datenbank (Security Accounts Manager) sind die Kontennamen und die Hashwerte der Kennwörter gespeichert. Mit ophcrack werden diese Informationen ausgelesen. Die Lehrkraft diskutiert dann mit den Schülerinnen und Schülern, wie lange das Knacken der Kennwörter durch systematisches Durchprobieren aller möglichen Kombinationen dauern würde. Dazu muss natürlich zunächst ermittelt werden, wie viele Kennwort-Kombinationen bei einem Kennwort von z. B. sechs Zeichen und der Beschränkung auf Buchstaben durchzuprobieren sind. Beim deutschen Alphabet mit 26 Buchstaben (ohne Umlaute) und Klein- wie Großbuchstaben sind also 52 verschiedene mögliche Varianten zu berücksichtigen, die jedes Zeichen des Kennworts annehmen könnte. Leicht ergibt sich damit die Formel für die Berechnung der möglichen Kennwort-Kombinationen K: K = (Anzahl der möglichen Zeichen) Kennwortlänge Kommen Ziffern von 0 bis 9 dazu, erhöht sich die Zahl der möglichen Zeichen auf 62. Werden Sonderzeichen (engl.: special character) verwendet, stehen auf einer deutschen Tastatur weitere 33 Zeichen zur Verfügung; insgesamt sind dann 95 Kombinationen je Kennwort-Zeichen möglich. Bild 5 (oben): Schon nach kurzer Zeit werden erste Kennwortbestandteile sichtbar. Tabelle 1 (rechts): Benötigte Zeit zum Überprüfen von Kennwortkombinationen in Abhängigkeit von Zeichenanzahl und Länge pro Kennwort. LOG IN Heft Nr. 166/167 (2010) Kennwort Dann muss eine Angabe getroffen werden, wie viele Kennwörter je Zeiteinheit durchprobiert werden können. Ein Mensch würde es schaffen, je Minute vielleicht 10 Kennwörter auszuprobieren. Wird ein Computer dazu verwendet, können mehrere zehntausend Versuche je Sekunde geschafft werden; für eine Überschlagsrechnung gehen wir von 1 Million Überprüfungen möglicher Kombinationen je Minute aus. Anhand dieser Daten lässt sich jetzt mit den Schülerinnen und Schülern die Tabelle 1 erstellen. Diese Art der Ermittlung von Kennwörtern durch systematisches Ausprobieren aller möglichen Kombinationen bezeichnet man als Brute-Force-Angriff (auf Deutsch: Angriff mit roher Gewalt). Klar erkennbar ist aus dieser Tabelle, dass ein Kennwort desto sicherer ZeichenKennanzahl wortlänge Kombinationen Zeit Mensch [Jahre] Zeit PC Buchstaben 52 6 19,8 Milliarden 3700 13,7 Tage Buchstaben 52 8 53,5 Billionen 10 Millionen 100 Jahre Buchstaben Ziffern 62 8 218 Billionen 41,5 Millionen 415 Jahre Buchstaben Ziffern Sonderzeichen 95 8 6,6 Billiarden 1,26 Milliarden 12600 Jahre 117 PRAXIS & METHODIK – WERKSTATT http://de.wikipedia.org/wiki/Hashfunktion Bild 6: Nicht alle Kennwörter können geknackt werden. Das Kennwort für den Account ,,schüler4“ widersteht den Angriffsversuchen – zunächst. wird, je länger es ist und desto mehr verschiedene Zeichen verwendet werden. Das systematische Durchprobieren aller Möglichkeiten wird dann auch für die schnellsten Computer unmöglich. Brute Force ausgetrickst Den Schülerinnen und Schülern wird nun die Software ophcrack als ein Werkzeug vorgestellt, mit dem Windows-Kennwörter ermittelt werden können. Nach dem Starten des Programms werden über den Befehl Load → Local SAM (siehe Bild 4, vorige Seite) die auf dem PC angelegten Konten sichtbar. Über die Funktion Crack wird versucht, die Kennwörter zu ermitteln. Schon nach kurzer Rechenzeit werden Teile von Kennwörtern erkennbar: Der Buchstabe ,,N“ des Kennworts ,,Lehrerin“ und die beiden letzten Zeichen ,,9#“ des Kennworts ,,Klasse89#“ sind erkennbar (siehe Bild 5, vorige Seite). Nach noch nicht einmal zwei Minuten sind alle Kennwörter geknackt! Lediglich die 15 Zeichen des Kennworts für das Konto von schüler4 haben dem Angriff getrotzt (siehe Bild 6)! Erklärung In modernen Betriebssystemen werden die Kennwörter nicht als Klartext gespeichert, sondern als Ergebnis einer Einwegberechnung – zum Beispiel als Hashwert. Nähere Informationen zu Hashwerten stehen z. B. über Wikipedia zur Verfügung: 118 Unter Windows-NT-basierten Betriebssystemen (dazu gehören Windows 2000, Windows XP und Windows Server 2003 bzw. 2008) kann das Kennwort auf zwei unterschiedliche Arten gespeichert werden: als LM-Hash oder als NT-Hash (siehe auch Bild 4, vorige Seite; LM-Hash = LAN-Manager-Hash; NT-Hash = NT-LAN-Manager-Hash, auch NTLM-Hash genannt). Erläuterungen hierzu sind z. B. ebenfalls bei der Wikipedia zu finden: http://de.wikipedia.org/wiki/LM-Hash Beide Hashwerte werden bei Windows in die sogenannte SAM-Datenbank eingetragen (SAM = Security Accounts Manager). Diese Datenbank kann allerdings mit speziellen Programmen ausgelesen werden. Für das Verständnis des Ermittelns der Kennwörter durch ophcrack müssen wir die genaue Arbeitsweise dieser beiden Verfahren nicht kennen. Wichtig sind aber folgende Fakten: 䉯 Der LM-Hash unterscheidet nicht zwischen Groß- und Kleinbuchstaben, während der NT-Hash dies tut. 䉯 Der LM-Hash ist auf einen Zeichensatz von 142 Zeichen beschränkt, während der NT-Hash fast den gesamten Unicode-Zeichensatz von 65 536 Zeichen unterstützt. 䉯 Der NT-Hash berechnet den Hashwert auf Basis des gesamten Kennworts. Der LM-Hash teilt das Kennwort hingegen in zwei Teile mit jeweils sieben Zeichen. Damit kann LM-Hash nur bis zu einer Kennwortlänge von maximal 14 Zeichen verwendet werden. Beide Hasharten genieren einen 128-Bit-Wert. Ein Angriffswerkzeug wie ophcrack ermittelt als erstes den LM-Hash (nur Großbuchstaben, siehe Bild 6). Dann wird der NT-Hash geknackt, indem einfach alle Kombi- LOG IN Heft Nr. 166/167 (2010) PRAXIS & METHODIK – WERKSTATT Die aus der SAM-Datenbank ermittelten LM-Hashwerte werden mit den Eintragungen in diesen Entschlüsselungstabellen verglichen. Findet man einen Hashwert, der in der Tabelle enthalten ist, hat man natürlich gleich das zugehörige Kennwort. Damit reduziert sich der Zeitaufwand für das Ermitteln von Kennwörtern im Vergleich mit einem Brute-Force-Angriff erheblich, ophcrack benötigt jedoch viel Speicher. Dem Bild 7 ist zu entnehmen, dass die Tabelle für Kennwörter bis 14 Zeichen, die aus Buchstaben, Ziffern und Sonderzeichen bestehen können, eine Größe von 7,5 GByte umfasst! Die Beobachtungen, die beim Knacken der Kennwörter mit ophcrack gemacht wurden, weisen deutlich auf die Besonderheiten von LM-Hashs hin: 䉯 Die Zerlegung der Kennwörter in zwei Teile zu je 7 Zeichen ist erkennbar (siehe in Bild 5, Seite 117, LM Pwd 1 und LM Pwd 2). Beim Konto ,,schüler5“ wird Bild 7: Eine Regenbogentabelle (engl.: rainbow table) ist eine Datenstruktur, die eine schnelle Suche nach dem einem Hashwert zugeordneten Kennwort ermöglicht. Verglichen mit dem für einen Brute-ForceAngriff nötigen Zeitaufwand ist damit die Suche nach fast allen Kennwörtern eines bestimmten Zeichenraums innerhalb kurzer Zeit möglich. der scheinbar komplexe zweite Kennwort-Teil mit dem Sonderzeichen # noch vor dem einfachen ersten Teil ermittelt. Ursache dafür ist, dass der zweite Bestandteil des Kennworts ja nur aus zwei Zeichen besteht. Hier würde sogar ein Brute-Force-Angriff sehr schnell sein! 䉯 Die aus den LM-Hashs ermittelten Kennwörter bestehen aus Großbuchstaben. Erst die Brute-ForceAnalyse dieser Kennwörter und der Vergleich mit den NT-Hash-Werten liefern die korrekten Kennwörter! Tipps und Hinweise Online-Knacken von Kennwörtern nationen aus Klein- und Großbuchstaben des LMHash-Kennworts durchprobiert werden – ein BruteForce-Angriff der einfachen Art also. Der LM-Hash ist eine sehr schwache Einwegberechnung. Er wurde ursprünglich für das LAN-ManagerBetriebssystem entworfen und steht seit Windows NT nur noch aus Gründen der Abwärtskompatibilität zur Verfügung. Aufgrund des Verfahrens, mit dem der LMHash berechnet wird, ist ein Kennwort mit einem LMHash niemals stärker als ein 7-Zeichen-Kennwort mit einem Zeichensatz von 142 Zeichen. Die Arbeitsweise von ophcrack ist relativ einfach: Es werden Entschlüsselungstabellen – sogenannte Regenbogentabellen – genutzt. In diesen Tabellen stehen Kennwort-Hashwert-Paare. So sind in der in Bild 7 aufgeführten Tabelle die vorberechneten Hashwerte von z. B. allen Kennwörtern bis 14 Zeichen enthalten, die aus Buchstaben und Ziffern bestehen. Die kostenfreien Regenbogentabellen für ophcrack ermöglichen bei langen Kennwörtern bis 14 Zeichen lediglich das Ermitteln von Kennwörtern, deren Zeichensatz aus Buchstaben und Ziffern besteht. Werden Sonderzeichen verwendet, ist ein Knacken der Kennwörter nur durch kostenpflichtige Tabellen möglich. Allerdings bietet der Hersteller von ophcrack, die Firma Objectif Sécurité, über die Internetseite http://www.objectif-securite.ch/en/products.php die Möglichkeit des online-Knackens von WindowsXP-Kennwörtern auf Basis eingereichter Hashwerte Bild 8: Online lassen sich selbst lange Kennwörter innerhalb weniger Sekunden ermitteln. LOG IN Heft Nr. 166/167 (2010) 119 PRAXIS & METHODIK – WERKSTATT an. Dazu werden die LM-Hashwerte der zu ermittelnden Kennwörter bei ophcrack über die Funktion Save als Textdatei gespeichert. Die Struktur eines Eintrags ist: Kontoname:Konto-ID:LM-Hash:NT-Hash Beispiel: schueler6:1015:A40B680F820AE7DBA5954FD8F4E CADDE:EE457EC7D943E071F056402C954475F6::: Mit einem Editor wird der LM-Hash kopiert und in die Eingabemaske eingefügt (siehe Bild 8, vorige Seite). Nach wenigen Sekunden ist das 14-stellige Kennwort ermittelt! onsanbieter als auch für Übeltäter, die diese Systeme für subversive, kriminelle oder anstößige Zwecke missbrauchen. Gerade für Schülerinnen und Schüler ist es wichtig, über ein grundlegendes Basiswissen zur IT-Sicherheit zu verfügen. Auf diese Weise können sie PC, Smartphone, sich selbst sowie ihre Freundinnen und Freunde wirkungsvoll vor dunklen Machenschaften schützen und sich eine Sensibilität für IT-Sicherheit aneignen. Kennwörter für Benutzerkonten auf dem PC oder bei Internetdiensten sind ein Kernbestandteil sicherer IT-Systeme. Ihre Festigkeit gegenüber Hackerangriffen ist fundamental für die Gesamtsicherheit eines Systems. Sicherheit gegen Benutzbarkeit LM-Hash deaktivieren Um Windows XP sicherer zu machen, sollte in der Registrierungsdatenbank (Registry) der Eintrag zum Anlegen der LM-Hashwerte deaktiviert werden. Dazu wird über den Befehl regedit.exe die Registry aufgerufen (über die Schaltflächen: Start → Ausführen… ). Im Bereich HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa muss dann ein neuer Eintrag mit dem Namen NoLmHash als Datentyp REG_DWORD erstellt werden. Folgende Werte sind möglich: 1 = LM-Hash ausschalten (Standard ab MS Vista) 0 = LM-Hash speichern (Standard bei Windows XP) Wird der Wert auf 1 gesetzt, werden keine LM-Hashs mehr gespeichert. Die Änderung wird allerdings erst bei der nächsten Kennwortänderung wirksam. Eine detaillierte Anleitung gibt es in der Wissensdatenbank von Microsoft unter der Adresse: http://support.microsoft.com/?kbid=299656 Methodische Hinweise Die Informationstechnologien bieten fantastische Möglichkeiten sowohl für die Nutzer und Informati- Im Internet finden sich zahlreiche Informationen zur Gestaltung von sicheren Kennworten. So empfiehlt der Verein Deutschland sicher im Netz e. V. auf seiner Internetpräsenz https://www.sicher-im-netz.de/, für Kennwörter wenigstens sieben Zeichen zu verwenden. Diese Regeln basieren meist auf Überlegungen zur Zeitdauer von Brute-Force-Attacken. Die mit ophcrack erfolgreich ermittelten Kennwörter machen allerdings deutlich, dass sieben Zeichen offensichtlich nicht für sichere Kennwörter ausreichen. Daher ist es nach der Demonstration des Knackens von Kennwörtern sehr sinnvoll, die Schülerinnen und Schüler im Internet nach Regeln zur Kennwortgestaltung suchen zu lassen. Sehr viele Quellen sehen Kennwörter mit acht Zeichen aus Buchstaben, Ziffern und Sonderzeichen als sicher an. Mit den Schülerinnen und Schülern kann man diskutieren, warum das so ist. In der Diskussion wird sehr wahrscheinlich zur Sprache kommen, dass die menschliche Fähigkeit zur Informationsverarbeitung grundsätzlich sehr beschränkt ist. Wir können uns nur sieben plus/minus zwei Informationseinheiten gleichzeitig merken, die Miller’sche Zahl (7ⴞ2). Diese Erkenntnis geht auf einen Aufsatz aus der Feder des 1920 geborenen amerikanischen Psychologen George A. Miller zurück: The Magical Number Seven, Plus or Minus Two – Some Limits On Our Capacity For Processing Information. Ein Kennwort von 15 Zeichen werden die Benutzer mit hoher Wahrscheinlichkeit irgendwo notieren, um es nicht zu vergessen – ein neues Sicherheitsrisiko ist entstanden! Ein wesentlicher Aspekt von IT-Sicherheit wird deutlich: Man muss sehr häufig einen Kompromiss zwischen dem Sicherheitsniveau und der Benutzbarkeit von IT-Systemen finden. Ein sehr hohes Si- Bild 9: Kennwortspeicher-Werkzeuge wie KeePass schützen Kennwörter mit einer starken Verschlüsselung und bieten etliche Funktionalitäten zum Kennwortmanagement. 120 LOG IN Heft Nr. 166/167 (2010) PRAXIS & METHODIK – WERKSTATT Bild 10: Lange Kennwörter hoher Komplexität lassen sich mit KeePass erzeugen und sicher verwahren. cherheitsniveau ist in der Regel mit deutlichen Einschränkungen in der Benutzbarkeit solcher Systeme verbunden. Lange Kennwörter erzeugen und merken Eine Lösung dieses Dilemmas könnten Kennwort-Sätze bringen. Bei einem Kennwort-Satz stellt jedes Wort einen Informationsteil dar. Die durchschnittliche Länge eines deutschen Worts liegt bei fünf Zeichen. Wenn wir nun wieder George A. Miller ins Spiel bringen, dann stellen wir fest, dass sich ein Benutzer einen Satz mit sieben Wörtern mit durchschnittlich insgesamt 35 Zeichen merken kann. Mit so langen Kennwörtern lassen sich keine LMHashwerte mehr erzeugen, Regenbogentabellen für NT-Hashwerte würden für solche Kennwortlängen außerordentlich groß werden. Allerdings: Bei jeder Anmeldung 35 Zeichen einzugeben, liegt für viele Benutzer jenseits von Gut und Böse. Hilfe können Werkzeuge zur Kennwortverwaltung bringen, etwa die Open-Source-Software KeePass (http://keepass.info/). Dieses Programm bietet zum einen die Möglichkeit, Kennwörter in einer Datenbank verschlüsselt zu speichern (siehe Bild 9, vorige Seite). Als Verschlüsselungsverfahren wird dabei der sehr sichere AES (Advanced Encryption Standard) verwendet. Darüber hinaus bietet KeePass zum anderen die Möglichkeit, komplexe und lange Kennwörter zu erzeugen (siehe Bild 10). Die Kennwörter lassen sich mittels ,,Kopieren und Einfügen“ z. B. bei Zugängen zu Online-Shops u. Ä. ohne fehlerhaftes Abtippen verwenden. Die Entwickler dieses nützlichen Tools haben sich eine Menge einfallen lassen, um einerseits hohe Sicherheit zu bieten, andererseits aber das System benutzbar zu halten. Unter der Adresse http://keepass.info/help/base/security.html stehen ausführliche Informationen dazu bereit. Sicherheit ist relativ All die schönen Regeln und Werkzeuge helfen aber nicht, wenn Angreifer die Kennwörter mit einem Keylogger ausspähen. Ein Hardware-Keylogger (siehe Bild LOG IN Heft Nr. 166/167 (2010) 11, nächste Seite) wird zwischen Tastatur und Rechner gesteckt; er speichert alle Tastenanschläge mit. Der Keylogger wird später vom Angreifer abgeholt und ausgelesen; damit sind auch die längsten Kennworte wirkungslos. Dieses Beispiel macht deutlich, dass die IT-Sicherheit ganzheitlich betrachtet werden muss; organisatorische, personelle, technische und infrastrukturelle Aspekte sind gleichermaßen zu beachten. Ein IT-Sicherheitsmanagement z. B. nach dem BSI-Standard ITGrundschutz http://www.it-grundschutz.de/ hilft, möglichst viele Sicherheitsaspekte zu berücksichtigen und ein akzeptables Sicherheitsniveau zu erreichen. Steht das Knacken von Kennwörtern unter Strafe? Wird das Knacken von Kennwörtern im Rahmen der informatischen Bildung thematisiert, sollte die Lehrkraft es nicht versäumen, auf die strafrechtliche Relevanz dieses Themas hinzuweisen. Die für das Kennwort-Knacken einschlägige Norm des deutschen Strafrechts ist § 202a StGB, die das Ausspähen von Daten unter Strafe stellt: 121 PRAXIS & METHODIK – WERKSTATT § 202a Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Diese Norm ist sozusagen die allgemeine Strafbestimmung gegen den ,,elektronischen Hausfriedensbruch“. Vom Gesetz für eine Strafbarkeit gefordert wird das ,,sich Verschaffen“ von Daten. Das reine Einhacken in fremde Datensysteme durch Ermitteln der Kennwörter ohne Ausspähen von Daten ist nach Ansicht vieler Juristen straflos. Wer sich ein Hobby daraus macht, Sicherungen zu knacken, dies aber anschließend nicht zum Ausspähen von Daten nutzt, wäre danach in der Regel nicht zu belangen. Allerdings sehen nicht alle Gerichte das so. Als Regel kann aber gelten: Das Überwinden des Schlosses ist straflos, das Öffnen der Tür schon nicht mehr. Die z. B. mit ophcrack erlangten Kennwörter dürfen daher nicht genutzt werden, um in fremde Systeme einzudringen! Dieser Sachverhalt ist den Schülerinnen und Schülern unmissverständlich klarzumachen. Prof. Jürgen Müller Berufsakademie Thüringen – Staatliche Studienakademie Gera Weg der Freundschaft 4A 07546 Gera E-Mail: [email protected] Internetquellen BSI – Bundesamt für Sicherheit in der Informationstechnik: IT Grundschutz. http://www.it-grundschutz.de/ Deutschland sicher im Netz e. V.: https://www.sicher-im-netz.de/ KeePass Help Center: Security – Detailed information about the security of KeePass. http://keepass.info/help/base/security.html KeePass Password Safe: http://keepass.info/ ophcrack: http://ophcrack.sourceforge.net Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Allgemeine Regeln zur Passwortgestaltung. https://www.datenschutzzentrum.de/systemdatenschutz/meldung/sm 112.htm#allgemein Wikipedia – Stichwort ,,Hashfunktion“: http://de.wikipedia.org/wiki/Hashfunktion Wikipedia – Stichwort ,,LM-Hash“: http://de.wikipedia.org/wiki/LM-Hash Wikipedia – Stichwort ,,Millersche Zahl“: http://de.wikipedia.org/wiki/Millersche_Zahl Alle Internetquellen wurden zuletzt am 30. Dezember 2010 geprüft. Bild 11: Gegen Hardware-Keylogger hilft auch kein langes Kennwort. Schutz vor diesen Angriffswerkzeugen bietet nur eine Verschlüsselung der Kommunikation zwischen Rechner und Tastatur. 122 LOG IN Heft Nr. 166/167 (2010)