SIT_Logo

Passwordsave

  • Autor: Axel Allerkamp
  • PC, Netzwerkzugang, VPN, Internetforen und für vieles mehr braucht man ein Passwort. Wer soll sich die nur alle merken? Wer kein Risiko eingehen und seine Passwörter sicher aufbewahren möchte, dem versprechen Passwort-Programme einen Ausweg aus dem Dilemma. Softwarehersteller haben dieses Potential erkannt, und es gibt diverse Passworttresore bereits für ein kleines Budget. Oft halten sie jedoch nicht, was sie versprechen.

    Sicher wie ein Safe? Passwort-Tresore sind Programme, die es dem Benutzer erlauben, mehrere Passwörter oder andere sensible Daten abzuspeichern. Die Daten selbst werden durch kryptographische Verfahren vor dem Zugriff durch Unberechtigte geschützt. Erst wenn der Nutzer das korrekte Master-Passwort eingibt, kann er auf den Inhalt der Dateien zugreifen. Die Hoffnung der Nutzer ist klar: Die gespeicherten Geheimnisse sollen so sicher sein wie das Geld auf der Bank. Der Inhalt der Tresore soll verschlüsselt gespeichert und nur der berechtigten Person angezeigt werden. Die Praxis zeigt jedoch, dass nicht alle Produkte diese Erwartungen erfüllen. Dabei wiegen Schwachstellen umso schwerer, denn die Konzentration von personenbezogen, sensiblen Informationen macht diese Art von Software für Angreifer besonders interessant.

    Bereits an der Einstiegshürde - dem Master-Passwort - versagen einige marktgängige Produkte und erlauben die Eingabe von einfachen oder trivialen Passwörtern wie Vornamen oder einfachen Tastaturfolgen. Auch die graphische Darstellung zur Qualität des verwendeten Passwortes weist in vielen Fällen noch Verbesserungspotential auf. Bereits die wiederholende Eingabe des gleichen Zeichens, beispielsweise durch 10maliges Eingeben des Buchstabens A führt zu einer besseren Qualitätsanzeige und wiegt den Benutzer so in einer trügerischen Sicherheit. Aufgrund einer deutlich verringerten Komplexität sind solche Passworte „low hanging fruits“ für Wörterbuch- und Brute-Force-Angriffskombinationen.

    Wo die Eingabe von komplexeren Passwörten notwendig ist, kann man durch Brute-Force-Angriffe zum Erfolg gelangen. Bei Verwendung von Groß- und Kleinbuchstaben und einer Passwortlänge von sechs Zeichen ergibt sich, dass ein Angreifer theoretisch bis zu 19.770.609.664 Passwörter testen müsste. Bei einer Test-Rate von 1.000.000 Versuchen pro Sekunde könnte ein Angriff in maximal 55 Stunden erfolgreich durchgeführt werden und ist somit durchaus praktikabel. Den schnellen Angriffserfolg kann man durch künstlich initiierte Verzögerungen verhindern, in dem u.a. das Passwort mehrfach kryptographisch bearbeitet wird. Hierdurch ist es möglich, dass pro Sekunde nur ein Versuch für das Erraten möglich ist. Das Probieren aller möglichen Passworte dauert so mehr als 400 Jahre.
    Mitunter verzichten Entwickler auf solche einfachen Mechanismen und ebnen damit Brute-Force-Angriffen den Weg. Häufig sind sehr triviale Schutzmechanismen vorhanden, welche sich einfach umgehen lassen. Beispielsweise wird mit jeder Falschanmeldung ein Parameter in der Registry um den Faktor eins erhöht. Eine Passworteingabe ist also möglich, solange der Wert kleiner drei ist. Mittels einer minimalen Skriptroutine lässt sich dieser Wert jedoch automatisiert zurücksetzen. Dies hat zur Folge, dass die Anzahl der Angriffsversuche nicht beschränkt werden kann. Eine solche Skriptroutine lässt sich innerhalb von wenigen Minuten umsetzen und verlangt nur ein geringes Verständnis der Windows-Registry. Die Folge: Der Erfolg eines Brute-Force-Angriffs ist nur eine Frage der Zeit.

    Ein weiterer Schutzmechanismus bildet die Time-Out-Funktion: Nach einer gewissen Inaktivität sperren sich Passwort-Programme und fordern zu einer erneuten Eingabe des Masterpassworts auf. Auch diese Funktion wird nicht immer mangelfrei implementiert, weil sich der Abfragedialog umgehen lässt. Die direkte Folge ist, dass man ungehindert auf die hinterlegten sensiblen Daten zugreifen kann.

    Die größte Schwachstelle der Passwortsafes liegt bereits in der Architektur. Eine der einfachsten Möglichkeiten zwischen zwei Programmen Daten auszutauschen bietet die Zwischenablage. Allerdings ist diese von jedem Programm auslesbar, so dass diese
    Übertragungsart für sicherheitskritische Daten keine ideale Lösung darstellt.
    Besonders kritisch sind in diesem Zusammenhang die immer wieder auftretenden Sicherheitslücken von populären Internet-Anwendungen. So erlauben es zum Beispiel Schwachstellen im Microsoft Internet-Explorer, aus einer Webseite heraus Zugriff auf die Zwischenablage durchzuführen. Kennwörter sollten deshalb nur so kurz wie irgendwie möglich in der Zwischenablage gespeichert sein. Idealerweise wird das Kennwort sofort aus der Zwischenablage gelöscht, sobald es im Zielprogramm verwendet wurde. Weniger sicher ist die Löschung nach einer bestimmten Zeit – unabhängig davon, ob das Kennwort verwendet wurde oder nicht. Es sind Programme verfügbar, die die Daten der Zwischenablage überwachen und alle Veränderungen protokollieren.

    Aus einer optimistischen Erwartungshaltung heraus sollten die Passwort-Tresore den Benutzer bei der Erzeugung von neuen zufälligen Passwörtern unterstützen. Einige Programme erzeugen nicht wirklich zufällige Passwörter, unabhängig von der verwendeten Zeichenklasse werden einzelne Zeichen oder Zeichenbereiche bevorzugt. Aufgrund des verkleinerten Adressraumes ist ein Angriff auf das erzeugte Passwort wesentlich schneller erfolgreich.

    Zumindest die für die Windows Umgebung durchgeführte Untersuchung zeigt, dass diese Programme nicht geeignet sind, um sensible Daten vor dem Ausspähen zu schützen. Neben den erwähnten Nachteilen schränken diese Programme die Mobilität der Benutzer erheblich ein oder binden diese zumindest an das Gerät, wo der Passworttresor installiert ist. Im Vergleich zur Bank würde sich der Autor schwer tun, einer Bank mit diesen Schwachstellen im Tresor sein Geld anzuvertrauen und lieber nach Alternativen Ausschau halten.

    Im Umfeld eines Passwortmanagements gibt es technologische Entwicklungen, die vom bisherigen Konzept abweichen: Unter anderem werden beim Passwort-Sitter keine Passwörter gespeichert, sondern erst berechnet, sobald diese benötigt werden. Durch Bekannt werden eines Passwortes sind die anderen Dienstekennworte nicht gefährdet, da kein Zusammenhang besteht.

  • Autor: Axel Allerkamp, Dipl. - Ing, wissenschaftlicher Mitarbeiter am Fraunhofer Institut Sichere Informationstechnologie SIT in Darmstadt, arbeitete im Testlabor IT-Sicherheit