Kennwörter knacken - LOG IN – Informatische Bildung und

PRAXIS & METHODIK – WERKSTATT
Experimente & Modelle
Kennwörter knacken
Teil 1
von Jürgen Müller
Bereits im Griechenland der Antike diente beim Militär eine Parole als Erkennungszeichen, um bei Dunkelheit oder bei sich bislang persönlich nicht kennenden Mitkämpfern den Freund vom Feind zu unterscheiden. Und doch wurde schon zu jener Zeit mancher
Kampf durch den Verrat des Losungsworts entschieden.
Ähnlich ist es heute noch beim elektronischen Austausch von Informationen übers Internet. Im Allgemeinen wird ein Passwort bzw. ein Kennwort sozusagen als
Parole überall dort verwendet, wo die Authentizität,
d. h. die Echtheit bzw. Glaubwürdigkeit, des einen Partners für den anderen von wesentlicher Bedeutung ist.
Und so hat auch der heutige Begriff der Authentifizierung einen griechischen Ursprung: authentikós bedeutet
,,echt“, aber auch ,,Anführer“, wobei dieser griechische
Wortstamm mit dem lateinischen facere (,,machen“)
verbunden ist. Bei einer Authentifizierung zwischen
zwei Partnern authentisiert sich der eine, während der
Übersicht
Klassenstufe
Sekundarstufe I / Sekundarstufe II
Oberthemen
ITG: Betriebssysteme, Kommunikation,
Kryptologie
Informatik: Algorithmen,
Theoretische Informatik,
Kommunikation in Rechnernetzen
Unterthemen
ITG: An- und Abmelden, Zugriffsschutz,
Kommunikationsverhalten,
symmetrische Verschlüsselung
Informatik: Exponentielle Zeitkomplexität,
Datensicherheit,
kryptografische Verfahren
Anforderungsniveau
mittel
Durchführungsniveau
mittel
Vorwissen
Umgang mit einem Textverarbeitungssystem, Fertigkeiten im Umgang mit dem
Dateisystem
Methode
Demonstration oder Schülerexperiment
Vorbereitung
10 Minuten zur Bereitstellung der Software
auf dem Server
Durchführung
30 Minuten
108
andere Partner den ersten authentifiziert, das heißt,
der erste Partner versucht sich dem anderen gegenüber
glaubwürdig zu machen, während der zweite dann diese Glaubwürdigkeit bestätigt (oder nicht anerkennt).
Damit öffnet sich zugleich das Problem des Schutzes
der hierfür benötigten Pass- oder Kennwörter. Mit dem
folgenden Unterrichtsvorschlag sollen Schülerinnen
und Schüler für dieses Thema sensibilisiert werden.
Thema: Kennwörter knacken
Werden in einem IT-System oder einer Anwendung
Kennwörter zur Authentisierung verwendet, so ist die
Sicherheit der Zugangs- und Zugriffsrechteverwaltung
des Systems entscheidend davon abhängig, dass die
Kennwörter unter entsprechenden Sicherheitsaspekten
korrekt gewählt werden. Ein IT-System ist nur so sicher
wie die Kennwörter, durch die es geschützt wird. Ein
großes Problem stellen sogenannte schwache Kennwörter dar, die sich allzu leicht erraten lassen.
Im Dezember 2009 ist es einem Hacker gelungen,
rund 32 Millionen Kennwörter in seinen Besitz zu bringen. Die Kennwörter stammten von Nutzern des amerikanischen Dienstleisters RockYou. Der Hacker veröffentlichte die Kennwörter im Internet, das Sicherheitsunternehmen Imperva analysierte diese daraufhin. Das
Resultat: Die meisten Kennwörter boten keinen ausreichenden Schutz, sondern wären binnen weniger Minuten geknackt (vgl. Imperva, 2010).
Im Kasten ,,Die beliebtesten Kennwörter“ (nächste
Seite) sind die Top 20 der beliebtesten Passwörter aufgelistet, inklusive der absoluten Anzahl der Benutzer,
die diese verwendeten.
Die drei schlimmsten Fehler waren:
䉯 Die Hälfte aller Kennwörter bestand aus sieben oder
weniger Zeichen.
䉯 Über 60 Prozent der Benutzer mischten bei ihrem
Kennwort keine Schriftzeichen, 40 Prozent verwendeten ausschließlich Kleinbuchstaben, 16 Prozent
ausschließlich Ziffern. Weniger als 4 Prozent benutzten Sonderzeichen.
LOG IN Heft Nr. 163/164 (2010)
PRAXIS & METHODIK – WERKSTATT
Die beliebtesten Kennwörter
Top 20 der beliebtesten Kennwörter, inklusive der absoluten Anzahl
der Benutzer, die diese verwenden
Rang
Kennwort
Anzahl der Kennwort-Benutzer
(absolut)
1
123456
290 731
2
12345
79 078
3
123456789
76 790
4
Password
61 958
5
iloveyou
51 622
6
princess
35 231
dows zur Verfügung. Wir gehen bei den Beispielen davon aus, dass Windows XP als Betriebssystem verwendet wird. Es existieren zahlreiche kommerzielle wie
auch kostenfrei verfügbare Werkzeuge zum Analysieren und Knacken von Kennwörtern; die hier angeführten seien daher nur exemplarisch genannt:
䉯 Passware Kit Standard als kommerzielle Komplex-
suite zum Knacken von Kennwörtern, insbesondere
für Brute-Force-Angriffe. Die kostenfreie Demoversion zeigt nur die ersten drei Zeichen des geknackten Kennworts:
http://www.lostpassword.com/kit-standard.htm
䉯 Textverarbeitung (z. B. Word für Windows oder
OpenOffice.org Writer),
䉯 Tabellenkalkulationswerkzeug (z. B. MS-Excel oder
7
rockyou
22 588
8
1234567
21 726
9
12345678
20 553
10
abc123
17 542
11
Nicole
17 168
12
Daniel
16 409
13
babygirl
16 094
Vorbereitung
14
monkey
15 294
15
Jessica
15 162
16
Lovely
14 950
17
michael
14 898
18
Ashley
14 329
19
654321
13 984
Die Versuche zum Knacken von Kennwörtern können als Demonstrationen von der Lehrkraft durchgeführt werden, sie eignen sich aber auch für Schülerversuche. Die Software-Installationen gehen schnell und
können gemeinsam mit den Schülerinnen und Schülern
vorgenommen werden. Bestehen keine Administrationsrechte auf den Schüler-PCs, sollte die Software vor
dem Unterricht vom Schuladministrator installiert werden.
20
Qwerty
13 856
䉯 Fast 5000 der beliebtesten Kennwörter, die von 20
Prozent der Nutzer verwendet wurden, waren Namen, umgangssprachliche Wörter, Wörter aus dem
Wörterbuch und Trivial-Kennwörter (ab- oder aufsteigende Zahlenreihen, Kennwörter, die aus auf der
Tastatur aufeinanderfolgenden Buchstaben bestanden usw.).
Natürlich nutzen auch die Schülerinnen und Schüler
Kennwörter beim Anmelden im Netzwerk der Schule,
beim Zugriff auf ihre E-Mails, in sozialen Netzen wie
schülerVZ usw.
Im Rahmen der informatischen Bildung sollte daher
schon früh die Wichtigkeit der Wahl von sicheren
Kennwörtern deutlich gemacht werden. Mit Experimenten und theoretischen Überlegungen zum Herausfinden von Kennwörtern kann das schon in der informatischen Grundbildung erfolgen.
Materialien
Die benötigten Werkzeuge stehen als Open-Source-,
Freeware- oder Shareware-Software unter MS-Win-
LOG IN Heft Nr. 163/164 (2010)
OpenOffice.org Calc),
䉯 Texteditor, z. B. TextPad:
http://www.textpad.com/
䉯 Datenkompressionsprogramm (z. B. WinRAR
oder 7-Zip):
http://www.winrar.de/
http://7-zip.org/
Durchführung
Diskussion: Warum brauchen wir Kennwörter?
Vor Beginn der Versuche zum Knacken von Kennwörtern sollte mit den Schülerinnen und Schülern über
folgende Fragen diskutiert werden:
1. Bei welchen IT-Systemen und Anwendungen
müsst ihr Kennwörter verwenden?
2. Was könnte passieren, wenn meine Kennwörter
anderen Personen in die Hände fallen?
In der Diskussion sollte herausgearbeitet werden,
dass Kenn- bzw. Passwörter dazu dienen, um einerseits
bestimmte Leistungen im Internet zu nutzen (Beispiel:
Zugangskennwörter beim Internetprovider), andererseits um persönliche Daten zu schützen. Das Lesen von
E-Mails ist in der Regel mit einem Kennwort geschützt.
Datenschutz und die Sicherheit der genutzten Computersysteme werden hauptsächlich durch Fehlverhalten
von Nutzern bedroht. Schülerinnen und Schülern (wie
auch Erwachsenen) muss deshalb die Bedeutung von
109
PRAXIS & METHODIK – WERKSTATT
Bild 1: Die erste Zeile eines
Word-Textes wird in den Metainformationen der Datei gespeichert. Diese Metainformationen
werden standardmäßig nicht verschlüsselt. Vertraulicher Text sollte daher erst in Zeile 2 beginnen!
Kennwörtern klar sein! Sie dürfen niemals preisgegeben werden. Oft wird versucht, mit Tricks andere zu
überreden, Kennwörter auszuhändigen. Gerade wenn
Probleme bei bestimmten technischen Vorgängen bestehen, wird ein Hilfeangebot so formuliert, dass die
Lösung von der Kenntnis des Kennworts abhängt. Sollte ein Kennwort, aus welchen Gründen auch immer,
Dritten mitgeteilt worden sein, sollte man es sofort ändern.
Die Folgen einer illegalen Nutzung von Kennwörtern
hängt von der Bedeutung eines Kennworts ab: Nicht
immer muss daraus ein materieller Verlust hervorgehen. Die Kenntnis von Kennwörtern bei E-Mail-Diensten kann beispielsweise dazu genutzt werden, die EMail-Kommunikation anderer Personen zu verfolgen.
Aber auch materieller Schaden kann entstehen: Die
Kenntnis eines Zugangskennworts des Internetproviders kann für einen unbefugten Zugang genutzt werden, der unter Umständen mit Nutzungskosten verbunden ist. Schlimmere Folgen kann die Nutzung von
Kennwörtern jedoch für andere haben: Um kriminelle
Tätigkeiten zu verschleiern, werden sie missbraucht,
um Dritten zu schaden. So kann die Verbreitung von
Computerviren vertuscht werden. Da bei solch kriminellem Verhalten unter Umständen sogar die Polizei
eingeschaltet wird, gerät man dabei mit großer Sicherheit in die polizeilichen Ermittlungen.
Zugriff auf schützenswerte Dokumente sichern (z. B. Telefonverzeichnisse mit den Handynummern der Schülerinnen und Schüler usw.). Die Lehrkraft demonstriert die Vorgehensschritte zunächst und erläutert diese. Nach
einer kurzen Wiederholung der
wesentlichen Schritte vollziehen
die Schülerinnen und Schüler diese Schritte dann an ihren eigenen
Dokumenten nach. Im Beispiel gehen wir von MS-Office 2007 aus.
Zunächst sollte den Schülerinnen und Schülern deutlich gemacht werden, dass bei MS-Word
wichtiger Text nicht in der ersten
Zeile stehen darf: MS-Word nimmt
die erste Zeile als Vorschlag für den Dateinamen (siehe Bild 1). Auch wenn ein anderer Name für die Datei
gewählt wird, speichert Word den Text der ersten Zeile
in den Metainformationen ab, die standardmäßig nicht
verschlüsselt werden.
Das Verschlüsseln geschieht über das Menü ,,Datei –
Vorbereiten – Dokument verschlüsseln“ (siehe Bild 2).
Es muss ein Kennwort vergeben werden (siehe Bild 3,
nächste Seite), danach wird die Datei verschlüsselt und
Texte mit Standardsoftware verschlüsseln
Etlichen Anwenderinnen und Anwendern ist unbekannt, dass sich mit Bürokommunikationssystemen wie
MS-Office bzw. OpenOffice.org auch Daten verschlüsseln lassen. Ohne Zusatzaufwand lässt sich damit der
110
Bild 2: Dokumentverschlüsselung bei Word 2007.
LOG IN Heft Nr. 163/164 (2010)
PRAXIS & METHODIK – WERKSTATT
Bild 3: Für die
Verschlüsselung
muss ein Kennwort gewählt werden, mit diesem
wird das Dokument auch wieder entschlüsselt.
kann nur über eine korrekte Kennworteingabe wieder
entschlüsselt werden.
Fürs spätere Knacken der Kennwörter ist Folgendes
wichtig: Fordern Sie die Schülerinnen und Schüler auf,
als Kennwort zunächst ein Land oder eine geografische
Region zu nennen; in unserem Beispiel lautet das
Kennwort ,,alaska“. Das Kennwort soll darüber hinaus
aus maximal 8 Kleinbuchstaben bestehen. Der Hintergrund sind sogenannte Wörterbuch-Attacken, mit denen geprüft wird, ob als Kennwort ein WörterbuchEintrag gewählt wurde. Wir wollen die Schülerinnen
und Schüler für die Wahl von sicheren Kennwörtern
sensibilisieren und zeigen daher, wie schnell sich unsichere Kennwörter brechen lassen.
Bei MS-Office 2010 ist das Vorgehen ähnlich; wer
mit MS-Office 2000 bis 2003 arbeitet, findet die Verschlüsselung über den Dialog ,,Speichern unter“ in den
Sicherheitsoptionen.
Es sollte nicht darauf verzichtet werden, sich die Daten auch einmal mit einem einfachen Texteditor anzuschauen: Bei einem unverschlüsselten Text ist der Inhalt lesbar (siehe Bild 4), wird dagegen verschlüsselt,
ist nur ,,Daten-Kauderwelsch“ zu sehen (siehe Bild 5).
Einfache Kennwörter knacken (Wörterbuch-Angriff)
Es soll nun versucht werden, das Kennwort dieser
Datei zu knacken. Dazu wird die Software Passware
Kit Standard verwendet, eine kommerzielle ,,Knack“Software, die bezeichnenderweise über die Website
http://www.lostpassword.com/ vertrieben wird. Die Software ist darauf spezialisiert, die Kennwörter von Standard-Anwendungen wie MS-Office, Adobe Acrobat, diversen Datenkompressionsprogrammen usw. zu ermitteln (siehe Bild 6, nächste Seite).
Bilder 4 und 5: Ein Texteditor zeigt die Word-Rohdaten an. Normale Wordtexte sind auch im Editor lesbar (oben),
verschlüsselte Texte nicht (unten).
LOG IN Heft Nr. 163/164 (2010)
111
PRAXIS & METHODIK – WERKSTATT
Bild 6: Bei vergessenen Kennworten von geschützten Dateien kann
geholfen werden. Passware ermittelt die Kennwörter von zahlreichen Anwendungen mit Verschlüsselungsfunktion.
http://www.lostpassword.com/kit-standard.htm
Die Passware-Demo wird gestartet und die verschlüsselte Datei
mittels Drag and Drop in das Passware-Fenster gezogen. Sofort ermittelt die Software die Dateieigenschaften und Verschlüsselungsparameter (Office 2007-Datei, AES-Verschlüsselungsalgorithmus, Schlüssellänge 128 Bit, siehe Bild 7).
Über die Funktion Run Wizard lassen sich nun die
Angriffsverfahren konfigurieren. Passware beginnt zunächst mit einem sogenannten Wörterbuch-Angriff
(dictionary attack): Es wird geprüft, ob als Kennwort
Einträge aus einem Wörterbuch genommen wurden.
Eingestellt werden Kennwortlängen von bis zu acht
Zeichen; weiterhin werden nur die Kleinbuchstaben
ausgewählt (siehe Bild 8). Über die Schaltfläche Finish
wird das Knacken gestartet, und nur wenige Sekunden
später liegt das Kennwort vor (siehe Bild 9). In der
Demo-Version werden nur die ersten drei Zeichen des
ermittelten Kennworts angezeigt; die Schülerinnen und
Schüler sollten aber unschwer erkennen, dass ihr Kennwort richtig ermittelt wurde.
tenfreien Archivierungsprogramm 7-Zip – Daten verschlüsseln (siehe Bild 10, nächste Seite). Im Folgenden
wird versucht, das Kennwort eines verschlüsselten Archivs mit einem Brute-Force-Angriff zu knacken. Dabei
werden systematisch alle möglichen Kennwortkombinationen durchprobiert.
Komplexe Kennwörter mit Brute Force knacken
Im nächsten Versuch sollen die Kennwörter schrittweise härter werden. Alternativ zur Word-Datei lassen
sich auch mit anderen Anwendungen – z. B. dem kosBilder 8 und 9: Ein Wörterbuch-Angriff wird konfiguriert (oben). Wenige Sekunden später ist das Kennwort
geknackt (unten).
Bild 7: Angriffswerkzeuge wie Passware stellen die
Verschlüsselungseigenschaften einer Datei fest.
112
LOG IN Heft Nr. 163/164 (2010)
PRAXIS & METHODIK – WERKSTATT
Bild 10 (rechts): Verschlüsselung von
Dateiarchiven mit 7-Zip.
Zunächst wird ein Kennwort vergeben,
das aus nur drei Ziffern bestehen soll (hier:
,,123“). In Passware wird nach der Übergabe
der Datei die Brute-Force-Attacke entsprechend konfiguriert: Kennwörter aus drei
Zeichen, bestehend nur aus Ziffern, sollen
getestet werden (siehe Bild 11). Im Handumdrehen ist das Kennwort geknackt (siehe
Bild 12).
Jetzt wird schrittweise die Kennwortlänge
erhöht. Bei einer Kennwortlänge von vier
Zeichen kann man noch auf das Knacken
warten, bei fünf Zeichen dauert es fast
schon eine Viertelstunde (siehe Bild 13,
nächste Seite); bei 7 Zeichen über einen Tag.
Passware zeigt in einer Vorausberechnung
an, wie lange das Durchprobieren aller
Kombinationen maximal dauert.
Es ist sehr sinnvoll, die ermittelten bzw.
vorausberechneten Zeiten, bis das Kennwort
ermittelt worden ist, von den Schülerinnen
und Schülern in einem Diagramm erfassen zu
lassen (siehe Bild 14, nächste Seite).
Das exponentielle Wachstum der
,,Knackzeiten“ bei linearer Steigerung
der Kennwortlängen ist deutlich erkennbar.
Nimmt man zu den Ziffern dann
auch noch die Groß- und Kleinbuchstaben sowie die Sonderzeichen hinzu (siehe Bild 15, nächste Seite), dauert bei einer Kennwortlänge von sieben Zeichen
das Knacken des Kennworts fast 12 000
Jahre (siehe Bild 16, nächste Seite)!
Beobachtung,
Funktionsweise und Erklärung
Die vorgestellten Verschlüsselungsverfahren von MS-Word und dem Archivierungsprogramm WinRAR basieren auf symmetrischer Verschlüsselung. Symmetrisch bedeutet, dass zum
Verschlüsseln und zum Entschlüsseln
der gleiche Schlüssel verwendet wird.
Daher kommt es bei der Kryptoanalyse von symmetrischen Verschlüsselungsverfahren darauf an, diesen
Bilder 11 (Mitte) und 12 (links):
Brute-Force-Angriffe führen bei
geringen Kennwortlängen schnell
zum Erfolg.
LOG IN Heft Nr. 163/164 (2010)
113
PRAXIS & METHODIK – WERKSTATT
Bild 13:
Passware zeigt in
einer Vorausberechnung an, wie lange
das Durchprobieren
aller Kombinationen
maximal dauert.
Schlüssel zu ermitteln. Die vorgestellten Experimente
machen deutlich, dass die Sicherheit einer Verschlüsselung wesentlich abhängt von
䉯 Schlüssellänge und
䉯 Verwendung von verschiedenen Arten von Schrift-
zeichen bei der Gestaltung des Schlüssels (der Komplexität des Schlüssels).
Selbstverständlich spielt auch die Qualität des Verschlüsselungsalgorithmus eine wichtige Rolle, diese wurde aber hier nicht untersucht. Bei starken Verschlüsselungsverfahren wie dem in unseren Beispielen sowohl bei
Word als auch bei WinRAR genutztem AES (Advanced
Encryption Standard) kann die Verschlüsselung lediglich
durch systematisches Durchprobieren aller möglichen
Schlüssel gebrochen werden. Damit dies lange dauert,
muss das Kennwort zum einen lang sein. Werden für das
Kennwort nur die zehn Ziffern von 0 bis 9 verwendet,
müssen bei einer Kennwortlänge von 7 Zeichen 107 = 10
Millionen Kombinationen überprüft werden. Zum anderen spielen auch die verwendeten Zeichen eine wichtige
Rolle: Kommen die 26 kleinen und 26 großen Buchstaben
Bild 15 (oben) und
Bild 16 (rechts):
Lange und komplexe Kennwörter
können mit BruteForce-Angriffen
nicht in zumutbaren Zeiträumen geknackt werden.
hinzu (ohne Umlaute
und ß) sind es schon
627, also ca. 3,5 Billionen Kombinationen,
die getestet werden
müssen (siehe auch
Bild 17, nächste Seite).
Aus all dem ergeben sich klare Regeln für die Kennwortgestaltung:
䉯 Ein Kennwort sollte mindestens aus 8 Zeichen beste-
Bild 14: Auswertung der Knackzeiten in MS-Excel.
Die Zeit für das Knacken eines Kennworts wächst exponentiell bei zunehmender Kennwortlänge.
114
hen. Dann dauert bei der Wahl auch nur einer Zeichenart, z. B. der ausschließlichen Verwendung von
Ziffern, das Knacken der Daten lange.
䉯 Ein Kennwort sollte mindestens vier verschiedene
Arten von Schriftzeichen enthalten, darunter Groß-
LOG IN Heft Nr. 163/164 (2010)
PRAXIS & METHODIK – WERKSTATT
Bild 17:
Geldschein der
Hyperinflation von
1923. Nur selten
spielt die Billion im
Alltagsleben eine
Rolle, beim Knacken
von Kennwörtern
begegnet man ihr
allerdings häufig.
http://upload.wikimedia.org/
wikipedia/commons/e/e5/5Bio.jpg
buchstaben, Kleinbuchstaben und Sonderzeichen wie
,,!@#$%^&*,;"“.
䉯 Das Kennwort sollte kein Name, kein umgangssprachliches Wort oder irgendein Wort, das auch im
Wörterbuch steht, sein. Es sollte außerdem weder einen Teil des eigenen Namens noch die eigene EMail-Adresse enthalten.
Diese Aussagen sind leider nur von begrenzter Gültigkeit. Die schnell steigende Rechenleistung heutiger
Rechner ermöglicht es, zunehmend mehr Kennwörter
pro Zeiteinheit durchzuprobieren. Somit sind immer
längere Passwörter oder solche aus einer größeren
Vielzahl an verwendeten Zeichen für einen ausreichenden Schutz gegen Brute-Force-Angriffe erforderlich.
(wird fortgesetzt)
Prof. Jürgen Müller
Berufsakademie Thüringen –
Staatliche Studienakademie Gera
Weg der Freundschaft 4A
07546 Gera
E-Mail: [email protected]
Internetquellen
Imperva Press Releases: Imperva Releases Detailed Analysis of 32 Million Breached Consumer Passwords. 21. Januar 2010.
http://www.imperva.com/news/press/2010/01_21_Imperva_Releases
_Detailed_Analysis_of_32_Million_Passwords.html
[zuletzt geprüft: 31. August 2010]
Anzeige
LOG IN Heft Nr. 163/164 (2010)
115
PRAXIS & METHODIK – WERKSTATT
Experimente & Modelle
Kennwörter knacken
Teil 2
von Jürgen Müller
Nachdem im ersten Teil Brute-Force-Angriffe auf
Kennwörter thematisiert wurden (vgl. LOG IN 163/
164, S. 108 ff.), geht es im zweiten Teil um intelligentere
Angriffsverfahren. Es wird demonstriert, dass sich
Kennwörter mithilfe sogenannter Regenbogentabellen
bedeutend schneller ermitteln lassen als durch das systematische Ausprobieren aller möglichen Kennwortalternativen.
Regenbogentabellen
statt Brute-Force-Verfahren
Materialien
Die benötigten Werkzeuge stehen als Open-SourceSoftware unter Microsoft Windows und Linux zur Verfügung. Wir gehen bei den Beispielen davon aus, dass
Windows XP als Betriebssystem verwendet wird. Folgende Software wird benötigt:
Schülerversuche. Die Softwareinstallationen gehen
schnell und können gemeinsam mit den Schülerinnen
und Schülern vorgenommen werden. Bestehen keine
Administrationsrechte auf den Schüler-PCs, sollte die
Software vor dem Unterricht vom Schuladministrator
installiert werden.
Benutzerkonten anlegen und Kennwörter einrichten
Für die Experimente zum Knacken von Kennwörtern werden unter Windows XP zunächst Konten angelegt und mit Kennwörtern versehen. Das kann über die
Systemsteuerung geschehen, ist aber auch via Kommandoaufruf (siehe Bild 1, nächste Seite) möglich
(über die Schaltflächen: Start → Ausführen… ): control
userpasswords.
Die Konten sollten als sogenannte lokale Konten angelegt werden. Sind die Rechner in einer Domäne anÜbersicht
Klassenstufe
Sekundarstufe I / Sekundarstufe II
Oberthemen
ITG: Betriebssysteme,
Kommunikation, Kryptologie
Informatik: Algorithmen,
Theoretische Informatik,
Kommunikation in Rechnernetzen
Unterthemen
ITG: An- und Abmelden, Zugriffsschutz, Kommunikationsverhalten,
symmetrische Verschlüsselung
Informatik: Exponentielle Zeitkomplexität, Datensicherheit,
kryptografische Verfahren
Anforderungsniveau
mittel
䉯 ophcrack zum Knacken von Kennwörtern auf der
Basis sogenannter Regenbogentabellen;
Internetquelle zum Herunterladen:
http://ophcrack.sourceforge.net/download.php
䉯 Regenbogentabellen für ophcrack;
Internetquelle zum Herunterladen:
http://ophcrack.sourceforge.net/tables.php
䉯 Webanwendung zum Knacken komplexer Windows-
XP-Kennwörter (mit spezieller Demonstration):
http://www.objectif-securite.ch/en/products.php
䉯 KeePass als Werkzeug für das sichere Aufbewahren
von Kennworten;
Internetquelle zum Herunterladen:
http://keepass.info/
Durchführungsniveau mittel
Vorwissen
Erstellen von Computerkonten und
Kennwörtern
Methode
Demonstration oder
Schülerexperiment
Vorbereitung
10 Minuten zum Konfigurieren der
Software
Durchführung
20 Minuten
Vorbereitung
Auch diese Versuche zum Ermitteln von Kennwörtern können als Demonstrationen von der Lehrkraft
durchgeführt werden, sie eignen sich aber auch für
LOG IN Heft Nr. 166/167 (2010)
115
PRAXIS & METHODIK – WERKSTATT
Das Anlegen von Kennwörtern muss nicht für jeden
Versuch neu erfolgen; es lässt sich über ophcrack mit
der Funktion Save (siehe Bild 4, nächste Seite) ein
Speicherauszug (engl.: dump) der sogenannten SAMDatenbank anlegen, der über die Funktion Load wieder
nach ophcrack eingelesen werden kann. Damit lässt
sich jederzeit bei installiertem ophcrack das Knacken
von Kennwörtern demonstrieren, ohne auf die im aktuellen System vorhandenen Konten zugreifen zu müssen.
Regenbogentabellen in ophcrack laden
Bild 1: Anlegen von Benutzerkonten.
gemeldet, ist ein Anlegen neuer Konten in der Domäne
über die Systemsteuerung aufgrund der Sicherheitsrichtlinien in der Regel nicht möglich. Lokale Konten
können aber über den in Bild 2 dargestellten Weg eingerichtet werden.
Die Kennwörter sollten wie folgt vergeben werden:
Konto
schüler1
schüler2
schüler3
Kennwort
6 Zeichen, lediglich Buchstaben, z. B. ,,Lehrer“
8 Zeichen, lediglich Buchstaben, z. B. ,,Lehrerin“
14 Zeichen, Mischung aus Buchstaben und Ziffern
z. B. ,,Schule36Ferien“
schüler4 15 Zeichen, Mischung aus Buchstaben, Ziffern und
Sonderzeichen, z. B. ,,+Stunden2!Plan“
schüler5 8 Zeichen, Buchstaben, am Ende eine Ziffer und
ein Sonderzeichen, z. B. ,,Klasse89#“
Bild 2: Anlegen von Konten und Kennwörtern.
116
Über die oben angegebene Internetquelle erhält
man zwar das eigentliche Programm, nicht jedoch die
notwendigen Entschlüsselungstabellen, die Regenbogentabellen. Diese wären schon in der einfachsten Variante mit 720 MByte deutlich zu groß. Wenn ophcrack
genutzt werden soll, benötigt man daher auch die entsprechenden Tabellen. Diese können über das Portal
von SourceForge (http://ophcrack.sourceforge.net) heruntergeladen werden. Gespeichert werden sie im Programmverzeichnis von ophcrack (C:\Programme\ophcrack\
bzw. bei Linux in /usr/local/share/ophcrack/). Diese Tabellen werden über das Menü Table Selection ,,scharf“ gemacht (siehe Bild 3).
Durchführung
Wenn dieser Versuch als Schülerexperiment durchgeführt werden soll, werden die Schülerinnen und Schüler aufgefordert, die o. a. Konten und Kennwörter
selbst anzulegen. Besteht kein administrativer Zugriff
auf die Computer, sollte dieser Versuch als Demonstration durch die Lehrkraft durchgeführt werden.
Bild 3: Installieren der Regenbogentabellen.
LOG IN Heft Nr. 166/167 (2010)
PRAXIS & METHODIK – WERKSTATT
Bild 4: In der SAM-Datenbank
(Security Accounts Manager) sind
die Kontennamen und die Hashwerte der Kennwörter gespeichert. Mit ophcrack werden diese
Informationen ausgelesen.
Die Lehrkraft diskutiert dann
mit den Schülerinnen und Schülern, wie lange das Knacken der
Kennwörter durch systematisches
Durchprobieren aller möglichen
Kombinationen dauern würde.
Dazu muss natürlich zunächst ermittelt werden, wie viele Kennwort-Kombinationen bei einem
Kennwort von z. B. sechs Zeichen
und der Beschränkung auf Buchstaben durchzuprobieren sind. Beim deutschen Alphabet mit 26 Buchstaben (ohne Umlaute) und Klein- wie
Großbuchstaben sind also 52 verschiedene mögliche
Varianten zu berücksichtigen, die jedes Zeichen des
Kennworts annehmen könnte. Leicht ergibt sich damit
die Formel für die Berechnung der möglichen Kennwort-Kombinationen K:
K = (Anzahl der möglichen Zeichen) Kennwortlänge
Kommen Ziffern von 0 bis 9 dazu, erhöht sich die
Zahl der möglichen Zeichen auf 62. Werden Sonderzeichen (engl.: special character) verwendet, stehen auf einer deutschen Tastatur weitere 33 Zeichen zur Verfügung; insgesamt sind dann 95 Kombinationen je Kennwort-Zeichen möglich.
Bild 5 (oben): Schon nach
kurzer Zeit werden erste Kennwortbestandteile sichtbar.
Tabelle 1 (rechts): Benötigte
Zeit zum Überprüfen von
Kennwortkombinationen in
Abhängigkeit von Zeichenanzahl und Länge pro Kennwort.
LOG IN Heft Nr. 166/167 (2010)
Kennwort
Dann muss eine Angabe getroffen werden, wie viele
Kennwörter je Zeiteinheit durchprobiert werden können. Ein Mensch würde es schaffen, je Minute vielleicht 10 Kennwörter auszuprobieren. Wird ein Computer dazu verwendet, können mehrere zehntausend
Versuche je Sekunde geschafft werden; für eine Überschlagsrechnung gehen wir von 1 Million Überprüfungen möglicher Kombinationen je Minute aus. Anhand
dieser Daten lässt sich jetzt mit den Schülerinnen und
Schülern die Tabelle 1 erstellen.
Diese Art der Ermittlung von Kennwörtern durch
systematisches Ausprobieren aller möglichen Kombinationen bezeichnet man als Brute-Force-Angriff (auf
Deutsch: Angriff mit roher Gewalt). Klar erkennbar ist
aus dieser Tabelle, dass ein Kennwort desto sicherer
ZeichenKennanzahl wortlänge Kombinationen
Zeit Mensch
[Jahre]
Zeit PC
Buchstaben
52
6
19,8 Milliarden
3700
13,7 Tage
Buchstaben
52
8
53,5 Billionen
10 Millionen
100 Jahre
Buchstaben
Ziffern
62
8
218 Billionen
41,5 Millionen
415 Jahre
Buchstaben
Ziffern
Sonderzeichen
95
8
6,6 Billiarden
1,26 Milliarden
12600 Jahre
117
PRAXIS & METHODIK – WERKSTATT
http://de.wikipedia.org/wiki/Hashfunktion
Bild 6: Nicht alle Kennwörter können geknackt
werden. Das Kennwort für den Account ,,schüler4“
widersteht den Angriffsversuchen – zunächst.
wird, je länger es ist und desto mehr verschiedene Zeichen verwendet werden. Das systematische Durchprobieren aller Möglichkeiten wird dann auch für die
schnellsten Computer unmöglich.
Brute Force ausgetrickst
Den Schülerinnen und Schülern wird nun die Software ophcrack als ein Werkzeug vorgestellt, mit dem
Windows-Kennwörter ermittelt werden können. Nach
dem Starten des Programms werden über den Befehl
Load → Local SAM (siehe Bild 4, vorige Seite) die auf
dem PC angelegten Konten sichtbar.
Über die Funktion Crack wird versucht, die Kennwörter zu ermitteln. Schon nach kurzer Rechenzeit
werden Teile von Kennwörtern erkennbar: Der Buchstabe ,,N“ des Kennworts ,,Lehrerin“ und die beiden
letzten Zeichen ,,9#“ des Kennworts ,,Klasse89#“ sind
erkennbar (siehe Bild 5, vorige Seite).
Nach noch nicht einmal zwei Minuten sind alle
Kennwörter geknackt! Lediglich die 15 Zeichen des
Kennworts für das Konto von schüler4 haben dem Angriff getrotzt (siehe Bild 6)!
Erklärung
In modernen Betriebssystemen werden die Kennwörter nicht als Klartext gespeichert, sondern als Ergebnis einer Einwegberechnung – zum Beispiel als
Hashwert. Nähere Informationen zu Hashwerten stehen z. B. über Wikipedia zur Verfügung:
118
Unter Windows-NT-basierten Betriebssystemen
(dazu gehören Windows 2000, Windows XP und Windows Server 2003 bzw. 2008) kann das Kennwort auf
zwei unterschiedliche Arten gespeichert werden: als
LM-Hash oder als NT-Hash (siehe auch Bild 4, vorige
Seite; LM-Hash = LAN-Manager-Hash; NT-Hash =
NT-LAN-Manager-Hash, auch NTLM-Hash genannt).
Erläuterungen hierzu sind z. B. ebenfalls bei der Wikipedia zu finden:
http://de.wikipedia.org/wiki/LM-Hash
Beide Hashwerte werden bei Windows in die sogenannte SAM-Datenbank eingetragen (SAM = Security
Accounts Manager). Diese Datenbank kann allerdings
mit speziellen Programmen ausgelesen werden.
Für das Verständnis des Ermittelns der Kennwörter
durch ophcrack müssen wir die genaue Arbeitsweise
dieser beiden Verfahren nicht kennen. Wichtig sind
aber folgende Fakten:
䉯 Der LM-Hash unterscheidet nicht zwischen Groß-
und Kleinbuchstaben, während der NT-Hash dies
tut.
䉯 Der LM-Hash ist auf einen Zeichensatz von 142 Zeichen beschränkt, während der NT-Hash fast den gesamten Unicode-Zeichensatz von 65 536 Zeichen unterstützt.
䉯 Der NT-Hash berechnet den Hashwert auf Basis des
gesamten Kennworts. Der LM-Hash teilt das Kennwort hingegen in zwei Teile mit jeweils sieben Zeichen. Damit kann LM-Hash nur bis zu einer Kennwortlänge von maximal 14 Zeichen verwendet werden.
Beide Hasharten genieren einen 128-Bit-Wert. Ein
Angriffswerkzeug wie ophcrack ermittelt als erstes den
LM-Hash (nur Großbuchstaben, siehe Bild 6). Dann
wird der NT-Hash geknackt, indem einfach alle Kombi-
LOG IN Heft Nr. 166/167 (2010)
PRAXIS & METHODIK – WERKSTATT
Die aus der SAM-Datenbank ermittelten LM-Hashwerte werden mit den Eintragungen in diesen Entschlüsselungstabellen verglichen. Findet man einen
Hashwert, der in der Tabelle enthalten ist, hat man natürlich gleich das zugehörige Kennwort. Damit reduziert sich der Zeitaufwand für das Ermitteln von Kennwörtern im Vergleich mit einem Brute-Force-Angriff
erheblich, ophcrack benötigt jedoch viel Speicher. Dem
Bild 7 ist zu entnehmen, dass die Tabelle für Kennwörter bis 14 Zeichen, die aus Buchstaben, Ziffern und
Sonderzeichen bestehen können, eine Größe von 7,5
GByte umfasst!
Die Beobachtungen, die beim Knacken der Kennwörter mit ophcrack gemacht wurden, weisen deutlich
auf die Besonderheiten von LM-Hashs hin:
䉯 Die Zerlegung der Kennwörter in zwei Teile zu je 7
Zeichen ist erkennbar (siehe in Bild 5, Seite 117, LM
Pwd 1 und LM Pwd 2). Beim Konto ,,schüler5“ wird
Bild 7: Eine Regenbogentabelle (engl.: rainbow
table) ist eine Datenstruktur, die eine schnelle Suche
nach dem einem Hashwert zugeordneten Kennwort ermöglicht. Verglichen mit dem für einen Brute-ForceAngriff nötigen Zeitaufwand ist damit die Suche nach
fast allen Kennwörtern eines bestimmten Zeichenraums innerhalb kurzer Zeit möglich.
der scheinbar komplexe zweite Kennwort-Teil mit
dem Sonderzeichen # noch vor dem einfachen ersten
Teil ermittelt. Ursache dafür ist, dass der zweite Bestandteil des Kennworts ja nur aus zwei Zeichen besteht. Hier würde sogar ein Brute-Force-Angriff sehr
schnell sein!
䉯 Die aus den LM-Hashs ermittelten Kennwörter bestehen aus Großbuchstaben. Erst die Brute-ForceAnalyse dieser Kennwörter und der Vergleich mit
den NT-Hash-Werten liefern die korrekten Kennwörter!
Tipps und Hinweise
Online-Knacken von Kennwörtern
nationen aus Klein- und Großbuchstaben des LMHash-Kennworts durchprobiert werden – ein BruteForce-Angriff der einfachen Art also.
Der LM-Hash ist eine sehr schwache Einwegberechnung. Er wurde ursprünglich für das LAN-ManagerBetriebssystem entworfen und steht seit Windows NT
nur noch aus Gründen der Abwärtskompatibilität zur
Verfügung. Aufgrund des Verfahrens, mit dem der LMHash berechnet wird, ist ein Kennwort mit einem LMHash niemals stärker als ein 7-Zeichen-Kennwort mit
einem Zeichensatz von 142 Zeichen.
Die Arbeitsweise von ophcrack ist relativ einfach: Es
werden Entschlüsselungstabellen –
sogenannte Regenbogentabellen –
genutzt. In diesen Tabellen stehen
Kennwort-Hashwert-Paare.
So
sind in der in Bild 7 aufgeführten
Tabelle die vorberechneten Hashwerte von z. B. allen Kennwörtern
bis 14 Zeichen enthalten, die aus
Buchstaben und Ziffern bestehen.
Die kostenfreien Regenbogentabellen für ophcrack
ermöglichen bei langen Kennwörtern bis 14 Zeichen
lediglich das Ermitteln von Kennwörtern, deren Zeichensatz aus Buchstaben und Ziffern besteht. Werden
Sonderzeichen verwendet, ist ein Knacken der Kennwörter nur durch kostenpflichtige Tabellen möglich.
Allerdings bietet der Hersteller von ophcrack, die
Firma Objectif Sécurité, über die Internetseite
http://www.objectif-securite.ch/en/products.php
die Möglichkeit des online-Knackens von WindowsXP-Kennwörtern auf Basis eingereichter Hashwerte
Bild 8: Online lassen sich selbst
lange Kennwörter innerhalb
weniger Sekunden ermitteln.
LOG IN Heft Nr. 166/167 (2010)
119
PRAXIS & METHODIK – WERKSTATT
an. Dazu werden die LM-Hashwerte der zu ermittelnden Kennwörter bei ophcrack über die Funktion Save
als Textdatei gespeichert.
Die Struktur eines Eintrags ist:
Kontoname:Konto-ID:LM-Hash:NT-Hash
Beispiel:
schueler6:1015:A40B680F820AE7DBA5954FD8F4E
CADDE:EE457EC7D943E071F056402C954475F6:::
Mit einem Editor wird der LM-Hash kopiert und in
die Eingabemaske eingefügt (siehe Bild 8, vorige Seite). Nach wenigen Sekunden ist das 14-stellige Kennwort ermittelt!
onsanbieter als auch für Übeltäter, die diese Systeme
für subversive, kriminelle oder anstößige Zwecke missbrauchen. Gerade für Schülerinnen und Schüler ist es
wichtig, über ein grundlegendes Basiswissen zur IT-Sicherheit zu verfügen. Auf diese Weise können sie PC,
Smartphone, sich selbst sowie ihre Freundinnen und
Freunde wirkungsvoll vor dunklen Machenschaften
schützen und sich eine Sensibilität für IT-Sicherheit aneignen. Kennwörter für Benutzerkonten auf dem PC
oder bei Internetdiensten sind ein Kernbestandteil sicherer IT-Systeme. Ihre Festigkeit gegenüber Hackerangriffen ist fundamental für die Gesamtsicherheit eines Systems.
Sicherheit gegen Benutzbarkeit
LM-Hash deaktivieren
Um Windows XP sicherer zu machen, sollte in der
Registrierungsdatenbank (Registry) der Eintrag zum
Anlegen der LM-Hashwerte deaktiviert werden. Dazu
wird über den Befehl regedit.exe die Registry aufgerufen (über die Schaltflächen: Start → Ausführen… ). Im
Bereich
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro
l\Lsa
muss dann ein neuer Eintrag mit dem Namen
NoLmHash als Datentyp REG_DWORD erstellt werden. Folgende Werte sind möglich:
1 = LM-Hash ausschalten (Standard ab MS Vista)
0 = LM-Hash speichern (Standard bei Windows XP)
Wird der Wert auf 1 gesetzt, werden keine LM-Hashs
mehr gespeichert. Die Änderung wird allerdings erst
bei der nächsten Kennwortänderung wirksam. Eine detaillierte Anleitung gibt es in der Wissensdatenbank
von Microsoft unter der Adresse:
http://support.microsoft.com/?kbid=299656
Methodische Hinweise
Die Informationstechnologien bieten fantastische
Möglichkeiten sowohl für die Nutzer und Informati-
Im Internet finden sich zahlreiche Informationen zur
Gestaltung von sicheren Kennworten. So empfiehlt der
Verein Deutschland sicher im Netz e. V. auf seiner Internetpräsenz https://www.sicher-im-netz.de/, für Kennwörter
wenigstens sieben Zeichen zu verwenden. Diese Regeln basieren meist auf Überlegungen zur Zeitdauer
von Brute-Force-Attacken.
Die mit ophcrack erfolgreich ermittelten Kennwörter machen allerdings deutlich, dass sieben Zeichen offensichtlich nicht für sichere Kennwörter ausreichen.
Daher ist es nach der Demonstration des Knackens
von Kennwörtern sehr sinnvoll, die Schülerinnen und
Schüler im Internet nach Regeln zur Kennwortgestaltung suchen zu lassen. Sehr viele Quellen sehen Kennwörter mit acht Zeichen aus Buchstaben, Ziffern und
Sonderzeichen als sicher an. Mit den Schülerinnen und
Schülern kann man diskutieren, warum das so ist. In
der Diskussion wird sehr wahrscheinlich zur Sprache
kommen, dass die menschliche Fähigkeit zur Informationsverarbeitung grundsätzlich sehr beschränkt ist. Wir
können uns nur sieben plus/minus zwei Informationseinheiten gleichzeitig merken, die Miller’sche Zahl
(7ⴞ2). Diese Erkenntnis geht auf einen Aufsatz aus der
Feder des 1920 geborenen amerikanischen Psychologen George A. Miller zurück: The Magical Number Seven, Plus or Minus Two – Some Limits On Our Capacity For Processing Information.
Ein Kennwort von 15 Zeichen werden die Benutzer
mit hoher Wahrscheinlichkeit irgendwo notieren, um es
nicht zu vergessen – ein neues Sicherheitsrisiko ist entstanden! Ein
wesentlicher Aspekt von IT-Sicherheit wird deutlich: Man muss
sehr häufig einen Kompromiss
zwischen dem Sicherheitsniveau
und der Benutzbarkeit von IT-Systemen finden. Ein sehr hohes Si-
Bild 9: Kennwortspeicher-Werkzeuge wie KeePass schützen Kennwörter mit einer starken Verschlüsselung und bieten etliche
Funktionalitäten zum Kennwortmanagement.
120
LOG IN Heft Nr. 166/167 (2010)
PRAXIS & METHODIK – WERKSTATT
Bild 10: Lange Kennwörter hoher
Komplexität lassen sich mit
KeePass erzeugen und sicher verwahren.
cherheitsniveau ist in der Regel
mit deutlichen Einschränkungen
in der Benutzbarkeit solcher Systeme verbunden.
Lange Kennwörter erzeugen
und merken
Eine Lösung dieses Dilemmas
könnten Kennwort-Sätze bringen.
Bei einem Kennwort-Satz stellt
jedes Wort einen Informationsteil
dar. Die durchschnittliche Länge
eines deutschen Worts liegt bei
fünf Zeichen.
Wenn wir nun wieder George A.
Miller ins Spiel bringen, dann stellen wir fest, dass sich ein Benutzer
einen Satz mit sieben Wörtern mit
durchschnittlich insgesamt 35 Zeichen merken kann. Mit so langen
Kennwörtern lassen sich keine LMHashwerte mehr erzeugen, Regenbogentabellen für NT-Hashwerte
würden für solche Kennwortlängen
außerordentlich groß werden.
Allerdings: Bei jeder Anmeldung 35 Zeichen einzugeben, liegt
für viele Benutzer jenseits von
Gut und Böse.
Hilfe können Werkzeuge zur Kennwortverwaltung
bringen, etwa die Open-Source-Software KeePass
(http://keepass.info/). Dieses Programm bietet zum einen
die Möglichkeit, Kennwörter in einer Datenbank verschlüsselt zu speichern (siehe Bild 9, vorige Seite). Als
Verschlüsselungsverfahren wird dabei der sehr sichere
AES (Advanced Encryption Standard) verwendet.
Darüber hinaus bietet KeePass zum anderen die
Möglichkeit, komplexe und lange Kennwörter zu erzeugen (siehe Bild 10). Die Kennwörter lassen sich mittels ,,Kopieren und Einfügen“ z. B. bei Zugängen zu
Online-Shops u. Ä. ohne fehlerhaftes Abtippen verwenden. Die Entwickler dieses nützlichen Tools haben sich
eine Menge einfallen lassen, um einerseits hohe Sicherheit zu bieten, andererseits aber das System benutzbar
zu halten. Unter der Adresse
http://keepass.info/help/base/security.html
stehen ausführliche Informationen dazu bereit.
Sicherheit ist relativ
All die schönen Regeln und Werkzeuge helfen aber
nicht, wenn Angreifer die Kennwörter mit einem Keylogger ausspähen. Ein Hardware-Keylogger (siehe Bild
LOG IN Heft Nr. 166/167 (2010)
11, nächste Seite) wird zwischen Tastatur und Rechner
gesteckt; er speichert alle Tastenanschläge mit. Der
Keylogger wird später vom Angreifer abgeholt und
ausgelesen; damit sind auch die längsten Kennworte
wirkungslos.
Dieses Beispiel macht deutlich, dass die IT-Sicherheit ganzheitlich betrachtet werden muss; organisatorische, personelle, technische und infrastrukturelle Aspekte sind gleichermaßen zu beachten. Ein IT-Sicherheitsmanagement z. B. nach dem BSI-Standard ITGrundschutz
http://www.it-grundschutz.de/
hilft, möglichst viele Sicherheitsaspekte zu berücksichtigen und ein akzeptables Sicherheitsniveau zu erreichen.
Steht das Knacken von Kennwörtern unter Strafe?
Wird das Knacken von Kennwörtern im Rahmen der
informatischen Bildung thematisiert, sollte die Lehrkraft es nicht versäumen, auf die strafrechtliche Relevanz dieses Themas hinzuweisen.
Die für das Kennwort-Knacken einschlägige Norm
des deutschen Strafrechts ist § 202a StGB, die das Ausspähen von Daten unter Strafe stellt:
121
PRAXIS & METHODIK – WERKSTATT
§ 202a
Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang
zu Daten, die nicht für ihn bestimmt und die
gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe
bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche,
die elektronisch, magnetisch oder sonst nicht
unmittelbar wahrnehmbar gespeichert sind
oder übermittelt werden.
Diese Norm ist sozusagen die allgemeine Strafbestimmung gegen den ,,elektronischen Hausfriedensbruch“. Vom Gesetz für eine Strafbarkeit gefordert
wird das ,,sich Verschaffen“ von Daten. Das reine Einhacken in fremde Datensysteme durch Ermitteln der
Kennwörter ohne Ausspähen von Daten ist nach Ansicht vieler Juristen straflos. Wer sich ein Hobby daraus
macht, Sicherungen zu knacken, dies aber anschließend
nicht zum Ausspähen von Daten nutzt, wäre danach in
der Regel nicht zu belangen. Allerdings sehen nicht
alle Gerichte das so. Als Regel kann aber gelten: Das
Überwinden des Schlosses ist straflos, das Öffnen der
Tür schon nicht mehr. Die z. B. mit ophcrack erlangten
Kennwörter dürfen daher nicht genutzt werden, um in
fremde Systeme einzudringen! Dieser Sachverhalt ist
den Schülerinnen und Schülern unmissverständlich
klarzumachen.
Prof. Jürgen Müller
Berufsakademie Thüringen –
Staatliche Studienakademie Gera
Weg der Freundschaft 4A
07546 Gera
E-Mail: [email protected]
Internetquellen
BSI – Bundesamt für Sicherheit in der Informationstechnik: IT Grundschutz.
http://www.it-grundschutz.de/
Deutschland sicher im Netz e. V.:
https://www.sicher-im-netz.de/
KeePass Help Center: Security – Detailed information about the security of KeePass.
http://keepass.info/help/base/security.html
KeePass Password Safe:
http://keepass.info/
ophcrack:
http://ophcrack.sourceforge.net
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Allgemeine Regeln zur Passwortgestaltung.
https://www.datenschutzzentrum.de/systemdatenschutz/meldung/sm
112.htm#allgemein
Wikipedia – Stichwort ,,Hashfunktion“:
http://de.wikipedia.org/wiki/Hashfunktion
Wikipedia – Stichwort ,,LM-Hash“:
http://de.wikipedia.org/wiki/LM-Hash
Wikipedia – Stichwort ,,Millersche Zahl“:
http://de.wikipedia.org/wiki/Millersche_Zahl
Alle Internetquellen wurden zuletzt am 30. Dezember 2010 geprüft.
Bild 11:
Gegen Hardware-Keylogger hilft
auch kein langes Kennwort.
Schutz vor diesen Angriffswerkzeugen bietet nur eine Verschlüsselung der Kommunikation
zwischen Rechner und Tastatur.
122
LOG IN Heft Nr. 166/167 (2010)