Jens Vieweg

Am Montag habe ich noch meinen Vortrag über Passwörter gehalten und gestern drückt mir ein Kollege auf dem Weg ins Wochenende noch schnell einen Ausdruck des aktuellen Newsletters von secorvo Security Consulting in die Hand, in dem unter Security News die Überschrift Auslaufmodell Passwort prangt.

Unter Fachleuten ist das keine umstrittene These, schließlich müssen Passwörter aufgrund der Leistungsfähigkeit moderner Rechner beim Knacken immer länger werden und werden dadurch auch immer schlechter handhabbar, dennoch sollte man das so nicht pauschal stehen lassen.

Im Artikel werden unter anderem Rainbowtables (RT) erwähnt, die zum Knacken von Windows-Passwort-Hashes genutzt werden können und die es einem Angreifer sehr viel leichter machen sollen, Passwörter unter Windows zu knacken. Problematisch sollen hier der LM und der NTLM Hash sein.

Rainbowtables sind, einfach ausgedrückt, Tabellen, die entstehen, wenn man für eine bestimmte Passwortlänge und einen bestimmten Zeichenvorrat die Hashes vorausberechnet und später “gefangene” Hashes mit dieser Tabelle vergleicht. Das Ergebnis ist dann das Passwort im Klartext.

Das klingt zunächst einmal spektakulär und auch problematisch, aber:

Um so eine Tabelle selbst zu erstellen, ist für jedes der möglichen Passwörter folgendes nötig:

• Passwort generieren
• Hash berechnen
• Hash und Passwort in einer geordneten Tabelle speichern

Das dauert also für jedes Passwort eine gewisse Zeit. Ein kurzer Test auf meinem Notebook ergab, dass ich 2,3 Millionen Paare aus Hashes und zugehörigem Klartext pro Sekunde zu einer RT hinzufügen kann.

Das Berechnen und Speichern einer RT für Passwörter mit Base96 und einer Länge von bis zu 10 Zeichen^[1] dauert somit auf meinem Notebook 916.595 Jahre.

Natürlich gibt es weitaus schnellere Systeme als meines, z.B. eines, das 805 Millionen/s hinzufügen kann. Damit beschleunigt sich der Erstellprozess auf 2.685 Jahre.

Man kann die Erstellung durchaus auf viele Computer aufteilen, die sich die Arbeit teilen und später alle Ergebnisse zu einer Tabelle zusammenfügen. Wenn man nun 2685 Personen mit sehr starken Rechnern findet, dann schafft man das Ganze in einem Jahr.^[2]

Man kann die Theorie der Berechnung hier noch ewig fortführen und Parameter wie die Passwortlänge, die Rechnergeschwindigkeit, die Anzahl der Rechner etc. verändern, bis man rausfindet:

Die Lösung für die nächsten Jahre heißt Passphrases.

Ein Passwortsatz, der aus fünf oder sechs Wörtern besteht und damit auf eine ungefähre Länge von 20 Zeichen kommt, bietet 4,4 Sextilliarden^[3] verschiedene Passwörter. Die Vorausberechnung einer RT für diese Sätze dauert mit einem Topsystem 1,7*10^23 Jahre, das sind 170 Trilliarden Jahre.

Unter diesen Gesichtspunkten kann man sich getrost zurücklehnen.

Die Empfehlung, die am Ende des Artikels ausgesprochen wird, über Alternativen wie SmartCards nachzudenken, ist vielleicht im Moment noch verfrüht, da diese Methode für Privatleute kaum realisierbar sein dürfte, zumal dafür zusätzliche Hardware angeschafft werden muss, aber im Auge behalten sollte man diese Möglichkeit sowohl von Firmenseite als auch im Privatbereich.

Die Authentisierung mittels Smartcard hat konzeptuell gesehen vor allem einen Vorteil gegenüber der Verwendung von Passwörtern:

Ich benötige zur Authentisierung nicht nur ein Passwort (Wissen) sondern die Karte und die PIN (Besitz & Wissen).

1. das sind 66483263599150104576 (66 Trillionen) mögliche verschiedene Passwörter [↩]
2. Hier wird es interessant, die Kosten für den benötigten Strom auszurechnen: Ein starkes System, wie hier genannt, wird in dieser Zeit 4,3 Megawattstunden verbrauchen. Beim aktuellen Strompreis der Kevag kommt man auf Kosten von 961,- Euro für Strom… [↩]
3. 1 Trillion * 4,4 Trilliarden [↩]

Bei meinen Streifzügen durch die unendlichen Weiten des Netzes bin ich auf das Thema Passwortkarten aufmerksam geworden.

Diese dienen dazu, Passwörter und/oder PIN verschlüsselt bzw. verschleiert[1] zu notieren und bei sich zu tragen.

Im Folgenden habe ich eine Liste von Karten, Techniken oder Programmen zusammengetragen – auch diese erhebt bei Weitem keinen Anspruch auf Vollständigkeit:

Quelle: http://www.passwortkarte.de/

- kostenlos

Quelle:

http://www.codestar.de/

- kostenpflichtig

Testbericht (PC-Welt)

Quelle:

http://de.savernova.com/

Alternativ:

http://www.chip.de/downloads/Passwortkarte_31494482.html

Quelle:

http://meine-passwortkarte.de/index.php

- drei verschiedene Arten von Karten

- online & kostenlos generieren

Quelle:

http://www.passwordcard.org/

Alle Passwortkarten haben eines gemeinsam: Man muss sich ein zentrales Hauptpasswort merken, um die anderen Passwörter entschlüsseln zu können, wenn dieses zu leicht zu erraten ist, dann bieten sie keinerlei Schutz und die gut gemeinte Gedächtnishilfe wird zum GAU.

Eine weitere Möglichkeit, Passwörter sicher aufzubewahren, sind die Programme der Reihe Passwortverwaltung oder Passwortdatenbank. Davon werde ich Morgen einige vorstellen.

Im ersten Teil des Themas “PIN” habe ich mir bekannte Techniken aufgeführt, wie man sich eine PIN merken kann.

Für alle Menschen, die mit solchen Techniken so gar nichts anfangen können oder für PIN, die man nur einmal im Jahr oder ähnlich selten braucht, bietet es sich eher an, diese verschleiert oder verschlüsselt zu notieren.

Das Speichern in Passwortdatenbanken für Mobiltelefone werde ich eventuell später einmal betrachten und hier zunächst ignorieren.

Möglichkeit 1 – Rotations Chiffre (Cäsar Chiffre)

Zu Beginn benötigt man eine Zahl, die im Prinzip beliebig groß sein darf, von der sich allerdings nur die letzte Stelle auswirken wird. Weiterhin muss es eine Zahl sein, die man nicht vergessen wird und die nicht leicht erraten werden kann[1].

Nehmen wir an, diese Zahl lautet 71 und die PIN, die ich mir notieren möchte, lautet 3389:

Ich addiere nun zu jeder Ziffer der PIN die letzte Stelle der gemerkten Zahl und erhalte (3+1)(3+1)(8+1)(9+1) –> 4-4-9-10.

Wenn bei dieser Rechnung aus einer Ziffer eine zweistellige Zahl wird, dann lässt man die erste Stelle einfach wegfallen un erhält in diesem Fall 4-4-9-0.

Eine Abwandlung dieser Methode besteht darin, aus der gemerkten Zahl zunächst die einstellige Quersumme zu bilden und mit dieser zu addieren, was aus 3389 die zu notierende PIN 1167 macht.

Zum Nachvollziehen:

71 hat die einstellige Quersumme 8

(3+8)(3+8)(8+8)(9+8) –> 11-11-16-17 –> 1-1-6-7.

Möglichkeit 2 – Passwortkarten

Für Passwortkarten habe ich ein wenig im Netz recherchiert. Das Ganze ist relativ umfangreich geworden und nicht nur für PIN sonden auch für Passwörter geeignet, also werde ich dem einen eigenen Artikel widmen.

Möglichkeit 3 – ?

Auch hier bin ich für Meinungen und Anregungen mehr als offen, schließlich gibt es sicherlich mehr als genug Methoden. Die Methode, die PIN seiner EC-Karte als Telefonnummer einer gewissen Eva Christine Kaiser zu notieren ist übrigens nicht akzeptabel.

Eine weitere Sache, die vielen Menschen schwer fällt, ist sich die vielen PIN[1] zu merken und jederzeit abrufbereit zu haben, ohne sie aufzuschreiben.

Für das reine Auswendiglernen kenne ich zwei Möglichkeiten, zum Einen das geometrische oder bildliche Merken zum anderen das Merken über ein Hilfswort.

Die Bildmethode

Die Bildmethode beruht darauf, dass Tastenfelder z.B. von Geldautomaten und den Eingabegeräten in Kaufhäusern oder Tankstellen in der Regel gleich aussehen, nämlich so:

Wenn jetzt eine PIN z.B. 1410 lautet, dann ergibt sich für den Finger ein Bewegungspfad:

Der Bewegungspfad alleine ist noch ein wenig nichtssagend:

Eine Art Koordinatenkreuz, das wie folgt über die Tastatur gelegt wird hilft:

Es ergibt sich eine Figur:

Wenn man sich dazu angewöhnt, zu Beginn der Eingabe die Finger so auf die Tastatur zu legen, dass (bei Rechtshändern) der Zeigefinger auf der 4 liegt, der Mittelfinger auf der 5 und der Ringfinger auf der 6, dann kann man mithilfe dieser bildlichen Erinnerung die PIN verdeckt eingeben.

Grundsätzlich hilft es immer, neue PIN so oft wie möglich zu üben, damit man einen Bewegungsablauf erlernt, der das Merken unterstützt.

Die Hilfswortmethode

Bei der Hilfswortmethode wird jeder Ziffer ein Konsonant aus der unten stehenden oder einer selbsterdachten Tabelle zugeordnet. Eine PIN von 4 Ziffern ergibt also 4 Konsonanten, z.B. 4435 –> HHWS.

Nun werden zwischen die Konsonanten beliebige Vokale oder Umlaute eingesetzt, damit sich so etwas wie ein Wort ergibt, dessen Klang man sich merken kann, z.B. Hihowas.

Diese Methode hat natürlich den Nachteil, dass man die Tabelle auswendig kennen muss, was wieder einer zusätzlichen Schwachstelle entspricht, auch wenn die Ziffern teilweise intuitiv in die entsprechenden Konsonanten übersetzt werden können.

Außerdem ist es nicht immer einfach, ein leicht zu merkendes “Wort” zu finden:

1486 –> LHchb –> Lihachib…?

0119 –> DLLg –> Dalilag…?

Fazit

Zahlen sind nichts, mit dem Menschen intuitiv umgehen, wenn sie nicht eine Art Seelenverwandtschaft mit der Mathematik haben. Daher haben sich viele Menschen die verschiedensten Methoden erdacht, um PIN verschlüsselt oder verschleiert zu notieren. Einen entsprechenden Artikel werde ich in den nächsten Tagen einstellen.

Ich bin sehr daran interessiert, weitere Methoden zum Merken von Passwörtern und PIN kennenzulernen, diese möchte ich dann hier verlinken oder vorstellen.