idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
25.03.2004 16:13

Sicherheitslücke Passwort?

Diplom-Sozialwirt Marc Briele Hochschulkommunikation und -marketing
Georg-Simon-Ohm-Fachhochschule Nürnberg

    Am Donnerstag, 1. April, veranstaltet der Fachbereich Informatik der Georg-Simon-Ohm-Fachhochschule Nürnberg einen Workshop zum Thema IT-Security. Diplom-Informatiker (FH) Heiko Richler - im Fachbereich verantwortlich als Webmaster und für Internetanwen-dungen - informiert bereits vorab über wichtige Sicherheitsdetails von Computersystemen:

    Hacker-Angriffe finden ständig auf alle Rechner im Internet statt. Firmen und Hochschulen sind dabei besonders verlockende Ziele, da sie über einige Rechenleistung, viel Speicherplatz und breitbandige Netzanbindungen verfügen. Firmen berichten nur selten von erfolgreichen Angriffen von außen, in Hochschulen hingegen sind zahlreiche erfolgreiche Attacken bekannt. Viele Institutionen, die sich sicher wähnen, haben die Eindringlinge nur noch nicht bemerkt. Nachfolgend soll eine Schwachstelle in gängigen Sicherheitskonzepten aufgezeigt werden, nämlich die Authentifizierung der Benutzer am Rechner. Dies soll auch für Laien verständlich werden und helfen, dem Ziel höherer Sicherheit näher zu kommen.

    Um sichere Systeme erreichen zu können, betrachten wir zunächst, wie sich Benutzer an Rechnern anmelden. Wenn sie sich mit Benutzernamen und Kennwort an einem Rechner authentifizieren, wird dieser die Angaben überprüfen. Dazu schlägt er in seiner Datenbank unter dem Benutzernamen nach und bekommt von dort das hinterlegte, jedoch mit einer Einwegfunktion verschlüsselte Passwort. Derartige Funktionen liefern bei dem selben Kennwort immer das selbe Ergebnis, jedoch ist es umgekehrt nicht möglich, zu einem Ergebnis das Kennwort zu ermitteln. Um also das eingegebene Kennwort zu überprüfen, wird auch dieses durch die selbe Einwegfunktion umgewandelt und mit dem gespeicherten Ergebnis verglichen. Sind beide gleich, ist das Kennwort richtig und der Benutzer erhält Zugang zum System.

    Viren und Trojaner
    Doch wie gelangen Hacker in unsere Rechner? Dazu können sie sich Programmen bedienen, die ähnlich wie Viren arbeiten. Einfach ausgedrückt sind Computer-Viren Programme, die auf Rechnern ausgeführt werden, ohne dass dies von den Besitzern gewollt ist. Dazu werden zum Beispiel Sicherheitslücken der Betriebssysteme oder von Internetbrowsern (etwa Netscape Navigator oder Internet Explorer) ausgenutzt oder unbedarfte Benutzer dazu gebracht, das Programm auszuführen (auch Social-Engineering genannt).

    Mit den selben Methoden schleusen auch Hacker ihre Programme ein. Ein Beispiel dafür sind Trojanische Pferde bzw. Trojaner (benannt nach dem Trojanischen Pferd aus Homers Ilias). Diese eröffnen dem Eindringling neue Angriffsmöglichkeiten. Eine davon besteht darin, alle Eingaben der Benutzer zu protokollieren (so genannte Key-Logger). In solchen Protokollen findet der Angreifer unter anderem Kennwörter und Benutzerkennungen aller Personen, die sich in der Zwischenzeit an dem befallenen System authentifiziert haben.

    Bekannte Trojaner werden von den gängigen Antivirenprogrammen gefunden. Ähnlich den Viren treten jedoch häufig neue Varianten auf, so dass es keinen absoluten Schutz geben kann. Außerdem kann es vorkommen, dass für einen speziellen Angriff ein eigener Trojaner entwickelt wird. Wurden auf diesem Weg uneingeschränkte Rechte an einem System erschlichen, können Hacker ihre Trojaner wieder entfernen, um Spuren zu verwischen.

    "Typische" Passwörter sind gefährlich
    Weiterhin können Angreifer auch Zugriff auf die Benutzerdatenbank bekommen. Da die Kennwörter mit einer Einwegfunktion geschützt sind, können sie nicht entschlüsselt werden. Hier vertraut der Hacker auf typische Verhaltensweisen der Benutzer. Viele verwenden Begriffe aus ihrem Umfeld, so etwa die Namen von Verwandten, Orten, historischen Persönlichkeiten oder auch von Chemikalien und Medikamenten. Dies kann ausgenutzt werden, in dem der Angreifer alle Wörter aus einem Lexikon ver-schlüsseln lässt und mit den gefundenen verschlüsselten Passwörtern vergleicht. Auf aktuellen PCs können mit dieser Methode Millionen Wörter in wenigen Stunden überprüft werden. Hat der Angreifer die Benutzerdatenbank kopiert, benötigt er dazu nicht einmal mehr Zugang zum befallenen System.

    Im Internet gibt es diverse Programme, die diese Lexikonangriffe automatisch vollziehen und typische Ergänzungen an den Wörtern, wie zum Beispiel den aktuellen Monat oder Kombinationen von Wörtern mit trennenden Sonderzeichen, ausprobieren. Sie sind dabei erfolgreich! Es gibt Studien, wonach circa 25 Prozent aller verwendeten Kennwörter auf diesem Weg ohne Probleme erraten werden können. 25 Prozent aller Kennwörter bedeuten ein Viertel aller Benutzerkonten oder auch ein Viertel aller Fir-mengeheimnisse. Wer mag sich diesem Risiko aussetzen?

    Was können wir tun?
    Benutzernamen und Kennwörter sind immateriell, also können sie kopiert werden, ohne dass physikalischer Zugriff auf sie benötigt wird und ohne Spuren zu hinterlassen. Einen Wohnungsschlüssel dagegen kann man erst vervielfältigen, wenn man seiner habhaft wird. Für eine Chipkarte gilt das Gleiche; zudem lässt sie sich auch nur mit großem Aufwand duplizieren. Eine Chipkarte ist ein kleiner Prozessor in einer Plastikkarte. Anders als einfache Chip- oder Magnetkarten ist der Chip auf einer Authentifizierungs-Karte ein kleiner Computer. Dieser speichert kryptographische Schlüssel und be-herrscht die dazugehörigen Protokolle. Um sich mit einer solchen Karte an einem Rechner anzumelden, benötigt man zwar noch immer ein Kennwort, dieses ist jedoch ohne die Karte wertlos.

    Die Authentifizierungs-Chipkarte verwendet Methoden zur asymmetrischen Verschlüs-selung aus der Kryptologie. Dabei werden zum Ver- und Entschlüsseln zwei verschiedene Schlüssel verwendet. Der eine muss geheim gehalten werden und dient zum Entschlüsseln und Signieren, der andere darf allgemein bekannt sein und codiert oder prüft die Signatur. Auf der Authentifizierungs-Karte selbst ist ein geheimer Schlüssel für den Benutzer hinterlegt. Dieser kann nicht ausgelesen werden.

    Höhere Sicherheit durch Chipkarte und Passwort
    Möchte sich nun ein Benutzer an einem Rechner anmelden, steckt er seine Chipkarte in das Lesegerät und aktiviert diese mit seinem Kennwort. Der Rechner übertragt eine Zufallszahl an die Karte, die wiederum diese Zahl signiert und die Signatur zurück an den Rechner schickt. Da nur mit dem echten, geheimen Schlüssel des Benutzers die richtige Unterschrift erzeugt werden kann, ist dies ein Beweis für die Authentizität der Karte und somit des Benutzers. Wenn ein Angreifer das Kennwort des Benutzers nun abhören sollte, benötigt er noch immer die Chipkarte. Dazu muss er auch diese entwenden. Ein solcher Diebstahl wird in der Regel nicht lange verborgen bleiben. In einem solchen Fall wird das Schlüsselpaar für ungültig erklärt und die Karte wertlos.

    Workshop am 1. April
    Mit diesem Vorgehen kann die Sicherheit beim Authentifizieren von Personen an Rechnern deutlich erhöht werden. Es wird sichergestellt, dass tatsächlich nur die berechtig-ten Personen Zugang zu ihren Daten erhalten. Wer sich für weitere Themen aus dem Gebiet der IT-Sicherheit interessiert, sollte den IT-Security-Workshop am Donnerstag, 1. April, in der Georg-Simon-Ohm-Fachhochschule Nürnberg (Keßlerplatz 12, Raum A525). Von 13:30 bis 17:00 referieren Experten der Fachhochschule über relevante Themen wie Windows-Security, Security bei Web-Applikationen, E-Mail-Sicherheit, innovative Penetrationstests und Logfile-Auswertung oder Sicherheit in Wireless-LAN. Die Teilnahme ist kostenlos, zusätzlich besteht die Möglichkeit, das Labor für Daten-kommunikation und IT-Sicherheit zu besichtigen. Der Fachbereich Informatik freut sich auf zahlreiche Besucher und bittet um Voranmeldung bei Frau Diane Bornemann (09 11 / 58 80 16 55; Diane.Bornemann@fh-nuernberg.de).

    Details zu den mathematisch technischen Hintergründen der Einwegfunktionen und kryptologischen Verfahren findet sich im Buch "Introduction to Cryptography" von Prof. Dr. Hans Delfs, und Prof. Dr. Helmut Knebl, (http://cryptography.informatik.fh-nuernberg.de/) oder in "Sicherheit und Kryptographie im Internet" von Prof. Dr. Jörg Schwenk (http://www.joerg-schwenk.de/). Einen spannenden und auch für Laien ver-ständlichen Einblick in die Kryptologie gewährt "Geheime Botschaften" von Simon Singh.

    Rückfragen zu dieser Meldung richten Medienvertreter an die Pressestelle der Georg-Simon-Ohm-Fachhochschule. Sie erreichen Pressesprecher Marc Briele telefonisch unter 09 11 / 58 80 41 01 oder via Mail an presse@fh-nuernberg.de. Weitere Infos erteilt zudem Diplom-Informatiker (FH) Heiko Richler (Telefon 09 11 / 58 80 11 85 oder Mail heiko.richler@fh-nuernberg.de).


    Bilder

    Merkmale dieser Pressemitteilung:
    Informationstechnik
    überregional
    Buntes aus der Wissenschaft, Forschungsprojekte
    Deutsch


     

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).