Sicherheit: Wie sicher sind die Passwörter?

In diesem Forum werden von den Moderatoren häufig gestellte Fragen/Antworten gesammelt.
Antworten
sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Sicherheit: Wie sicher sind die Passwörter?

Beitrag von sTunTe »

Der WHS verlangt in seinen Standarteinstellungen für Kennwörter mindestens 5 Zeichen ohne Komplexitätsanforderungen.
Wenn ein Benutzer Remotezugriff auf den WHS haben soll, werden mindestens 7 Zeichen benötigt, die den Komplexitätsanforderungen entsprechen müssen.

Komplexitätsanforderungen:
Das Kennwort muss mindestens aus 3 der folgenden 4 Kategorien bestehen:
  • Großbuchstaben ( ABC )
  • Kleinbuchstaben ( abc )
  • Zahlen ( 123 )
  • Symbole ( #!@ )
Weitere Sicherheitseinstellungen des WHS:
Auf dem WHS gelten außerdem folgende Kontorichtlinien:
  • Kontensperrungsschwelle: 50 ungültige Anmeldeversuche
  • Kontosperrdauer: 30 Minuten
  • Zurücksetzen des Kontosperrungszählers: 30 Minuten
Das bedeutet:
Der Kontosperrungszähler wird bei jeder Falscheingabe des Passwortes um 1 erhöht und erst 30 Minuten nach dem letzten Fehlversuch auf 0 zurückgesetzt.
Bei Erreichen der Kontensperrungsschwelle (50) wird das Konto 30 Minuten lang gesperrt (Kontosperrdauer), womit weitere Anmeldeversuche selbst bei Eingabe des korrekten Passwortes fehlschlagen.


Angriffsmethode Passwortliste:
Hierbei werden vor allem die Benutzer "Administrator", "Admin", "Superuser", usw. versucht zu "hacken".
Dabei kommen Programme zum Einsatz, die Passwörter aus sogenannten Passwortlisten verwenden, die die gängigsten Passwörter enthalten.
Es können aber auch Wörterbücher (z.B. Duden) zum Einsatz kommen.
Die Programme probieren dann sämtliche Kombinationen aus Anmeldenamen und Passwort.

z.B.:
Admin/Admin
Administrator/123456
usw.


Angriffsmethode Brute-Force:
Hierbei werden normalerweise ebenfalls die Benutzer "Administrator", "Admin", "Superuser", usw. als Ziel genommen.
Allerdings wird nun versucht das Passwort durch "Probieren" ausfindig zu machen.
z.B. durch einfaches Hochzählen von Zahlen
0, 1, 2, 3, ....10, 11, 12, ....1000, 1001, 1002, ....
von Buchstaben
a, b, c, ....aa, ab, ac, ....aaaa, aaab, aaac, ....
oder auch aus Kombinationen aller Zeichen.


Wahrscheinlichkeit eines erfolgreichen Angriffes :
Hier gilt es einige Faktoren zu berücksichtigen.

Szenario 1:
WHS: Rund um die Uhr erreichbar (24/7-Betrieb)
Kennwort: 5 Zeichen (Groß- und Kleinschreibung, ohne Sonderzeichen, aber mit Zahlen)
Kontensperrungsschwelle: 50 ungültige Anmeldeversuche
Kontosperrdauer: 30 Minuten
ISP (Internet Service Provider bzw. "Internetanbieter"): Deutsche Telekom -> Zwangstrennung alle 24 Stunden, d.h. alle 24 Stunden erhält man eine neue IP.
Angreifer: Versucht über die IP-Adresse und nicht über die homeserver.com-Adresse den WHS zu "hacken"

Für den Angreifer ergibt sich daraus:
:arrow: Erreichbarkeit x ( 60 / Kontosperrdauer ) x Kontensperrungsschwelle
:arrow: 24 Stunden x ( 60 / 30 Minuten ) x 50
:arrow: 24 x 2 x 50
:arrow: 2.400 Versuche

Kombinationsmöglichkeiten für das Passwort:
:arrow: ("Buchstaben" x "Groß-/Kleinschreibung" + "Zahlen") hoch "Passwortlänge"
:arrow: ( 26 x 2 + 10 ) hoch 5
:arrow: 62 hoch 5
:arrow: 916.132.832
:arrow: 916 Millionen 132 Tausend 832 Kombinationsmöglichkeiten.

Wahrscheinlichkeit:
:arrow: 2.400 zu 916.132.832
:arrow: 0,000262 %


Szenario 2:
WHS: Rund um die Uhr erreichbar (24/7-Betrieb)
Kennwort: 7 Zeichen (Groß- und Kleinschreibung, ohne Sonderzeichen, aber mit Zahlen)
Kontensperrungsschwelle: 50 ungültige Anmeldeversuche
Kontosperrdauer: 30 Minuten
ISP (Internet Service Provider bzw. "Internetanbieter"): Deutsche Telekom -> Zwangstrennung alle 24 Stunden, d.h. alle 24 Stunden erhält man eine neue IP.
Angreifer: Versucht über die IP-Adresse und nicht über die homeserver.com-Adresse den WHS zu "hacken"

Für den Angreifer ergibt sich daraus:
:arrow: Erreichbarkeit x ( 60 / Kontosperrdauer ) x Kontensperrungsschwelle
:arrow: 24 Stunden x ( 60 / 30 Minuten ) x 50
:arrow: 24 x 2 x 50
:arrow: 2.400 Versuche

Kombinationsmöglichkeiten für das Passwort:
:arrow: ("Buchstaben" x "Groß-/Kleinschreibung" + "Zahlen") hoch "Passwortlänge"
:arrow: ( 26 x 2 + 10 ) hoch 7
:arrow: 62 hoch 7
:arrow: 3.521.614.606.208
:arrow: 3 Billionen 521 Milliarden 614 Millionen 606 Tausend 208 Kombinationsmöglichkeiten.

Wahrscheinlichkeit:
:arrow: 2.400 zu 3.521.614.606.208
:arrow: 0,000000068 %


Fazit:
Wie man anhand der Rechnungen sehen kann ist es praktisch ausgeschlossen, dass ein Angreifer mit den angesprochenen Methoden Zugriff auf den WHS bekommt.
Wenn man nun auch noch Sonderzeichen verwendet, erhöhen sich die Kombinationsmöglichkeiten um ein Vielfaches.
Noch sicherer wird es (auch wenn es nicht notwendig ist), wenn man eine Passwortlänge von 10 Zeichen verwendet.
Ohne Sonderzeichen ergeben sich damit fast eine Trillionen (839 Billiarden und ein paar Kaputte ;) ) Möglichkeiten.

Allerdings gibt es noch andere Angriffsmethoden.
Mit Hilfe sogenannter Exploits lassen sich z.B. Sicherheitslecks im Betriebssystem oder aber auch in Anwendungen ausnutzen.
Wer sein System aber immer schön "Up-to-date" hält, braucht sich auch hier nicht allzuviele Gedanken machen.
Außerdem stellt sich mir die Frage: Wie interessant kann ein privat genutzer WHS für einen echten "Hacker" sein?


Tips für Fortgeschrittene:
Achtung! Benutzung auf eigene Gefahr!!!

Die Kontorichtlinien lassen sich auf dem WHS den eigenen Wünschen anpassen.
Dazu verbindet man sich per RDP (Remotedesktopverbindung) mit dem WHS.
Unter Start -> Ausführen ruft man mit folgendem Befehl den Gruppenrichtlinienobjekt-Editor auf

Code: Alles auswählen

gpedit.msc
Unter Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kontosperrung
lassen sich die Kontensperrungsschwelle, Kontosperrdauer und Zurücksetzungsdauer des Kontosperrungszählers ändern.

Wem z.B. die 50 ungültigen Anmeldeversuche der Kontensperrungsschwelle zu hoch erscheint, kann hier als Beispiel einen Wert von 5 eintragen.
Somit würden sich die oben genannten 2.400 Anmeldeversuche auf 240 reduzieren.



Gruß
sTunTe
Zuletzt geändert von larry am 11. Okt 2013, 18:16, insgesamt 2-mal geändert.
Antworten