Was ist ein Passworthash?
Die Benutzerpasswörter werden in der Regel nicht im Klartext sondern als sogenannte Hashes abgelegt. Ein Hash kann man als digitalen Fingerabdruck bezeichnen, der immer gleich lang und unabhängig von der Länge des festgelegten Passworts ist. Ein digitaler Fingerabdruck (Hash) wird durch eine Hashfunktion realisiert. Es gibt eine Vielzahl von verschiedenen Hashfunktionen, wie MD5, SHA-Familie, NTLM, bcrypt, PBKDF2 etc.
Ein Beispiel:
SHA-256-Hash von «passwort» lautet
«33c5ebbb01d608c254b3b12413bdb03e46c12797e591770ccf20f5e2819929b2»
SHA-256-Hash von «Passwort» lautet
«a36c101570cc4410993de5385ad7034adb2dae6a05139ac7672577803084634d»
Sicherheitstechnisch gesehen haben kryptographische Hashfunktionen eine wichtige Eigenschaft: Der Hashwert lässt sich aus dem Passwort berechnen, das Wiederherstellen des Passwortes aus dem Hashwert gleicht jedoch einem Glücksspiel.
Tipp: Hashfunktion MD5 und SHA1 gelten aus heutiger Sicht als kryptographisch schwach und sollten nicht mehr verwendet werden.
Was mache ich mit Passworthashes?
Im einem früheren Blog Eintrag «Rattenfänger im Netz: NTLM-Relaying-Angriff»haben wir aufgezeigt, wie man Hashes im internen Netzwerk mittels NTLM-Relaying-Angriff abfangen kann. Diese Hashes können bspw. für Pass-the-Hash-Angriffe verwendet werden. Es gibt aber noch andere Möglichkeiten, einen Passworthash gewinnbringend zu missbrauchen, nämlich indem aus dem Passworthash das ursprüngliche Klartext-Passwort wiederhergestellt wird. Im Fachjargon spricht man dabei von einem «Passwort-Cracking bzw. cracken des Passworts».
Passwortrichtlinie
Um die Robustheit von Benutzerpasswörter zu erhöhen gibt es in der Regel in jeder Firma die sogenannte Passwortrichtlinie. Diese legt Mindestanforderungen fest, die bei der Wahl eines Passwortes erfüllt sein müssen. Beispielsweise muss das Passwort mindestens 14 Zeichen lang sein und mindestens zwei Ziffern sowie Sonderzeichen enthalten. Somit wird mittels erzwungener Passwortrichtlinie versucht, leicht zu erratende Passwörter zu verhindern.
In der Praxis ist es oft schwierig, nachträglich eine Prüfung der Einhaltung der Passwortrichtlinie vorzunehmen. Aus diesem Grund verlässt man sich lediglich auf die Vernunft der Mitarbeitenden ohne jegliche Revision.
Tipp: Grundsätzlich ist zu empfehlen, sich an bewährten Standards von NIST, SANS und CIS zu orientieren. Bezugnehmend auf den CIS Password Policy Guide wird eine minimale Passwortlänge von 14 Zeichen empfohlen.
NTLM-Hashes
Um die Struktur einer Organisation nachzubilden und die Verwendung von Netzwerkressourcen zentral zu verwalten, verwenden die meisten Firmen die Active Directory. Die Passworthashes aus dem Verzeichnisdienst von Microsoft Windows Server (Active Directory) - die sogenannten NTLM-Hashes - eignen sich besonders gut für eine Qualitätsanalyse der eingesetzten Passwörter. Diese lassen sich im Vergleich zu den anderen Passworthashes durch eine Passwort-Cracking-Attacke effizient zurückrechnen.
Cracking-Station
Um die Passworthashes in einer vertretbaren Zeit zu cracken sind normale Computer zu langsam. Man braucht einen Computer mit hoher Rechenleistung. Solche Maschinen sind mit einer oder mehreren leistungsfähigen Grafikkarten ausgestattet, da moderne GPUs besonders effizient Rechenoperationen auf grossen Datenmengen ausführen können. Man kann einen solchen Computer als Cracking-Station bezeichnen.
Erfolgsquote
Unsere Erfahrungen haben gezeigt, dass bei einem Passwort-Cracking-Vorgang bis zu 80 % der Benutzerpasswörter geknackt werden können. Unter diesen Benutzern ist ein beträchtlicher Anteil von Administratoren zu finden, wie auch weitere privilegierte Rollen in der Firma. Solche Benutzeraccounts sind eine wertvolle Beute für den Angreifer, denn mit einem Administrator-Account hat man gute Chancen, sich im internen Netzwerk auszubreiten.
Passwort-Cracking-Servicemodul
Es ist nicht direkt ersichtlich, ob eine interne Passwortrichtlinie Schwächen aufweist und von den Mitarbeitenden eingehalten wird. Mit Hilfe dieses Servicemoduls ist es möglich in Erfahrung zu bringen, ob Benutzerpasswörter die gewünschte Robustheit aufweisen und die aktuelle Passwortrichtlinie von privilegierten Benutzern eingehalten wird.
terreActive verfügt über eine eigene Cracking-Station (mehr dazu unter «Wie baue ich eine Cracking-Maschine»),die für offline Passwort-Cracking-Attacken optimiert wurde. Beim Servicemodul «Passwort-Cracking»geht es darum die Nutzerpasswörter aus den Passworthashes zurückzurechnen.
Ziele
- Das Ziel dieses Servicemoduls ist es, in Erfahrung zu bringen, ob die Mitarbeitenden - darunter Administratoren und weitere privilegierte Benutzer - die interne Passwortrichtlinie einhalten.
- Des Weiteren ist wichtig zu identifizieren, ob die derzeitige Passwortrichtlinie Schwächen aufweist hinsichtlich der Mindestlänge oder Komplexität.
- Somit wird die Qualität der verwendeten Benutzerpasswörter analysiert.
Mehr Infos im CIS Password Policy Guide
Cracking-Vorgang
Der Cracking-Vorgang findet in den Räumlichkeiten des Kunden statt. Die Cracking-Station der terreActive wird dem Kunden für diesen Zeitraum ausgeliehen. Dabei übernimmt terreActive folgende Arbeiten: Das Vorbereiten und Ausführen vom Cracking-Vorgang, die Auswertung von Resultaten, die Erstellung vom Bericht etc. Der Beitrag des Kunden beläuft sich auf den Export der Passworthashes aus der Active Directory sowie das Organisieren der sicheren Räumlichkeit für die Cracking-Station.
Die Cracking-Station wird weder im Kundennetzwerk angeschlossen noch mit dem Internet verbunden. Somit erfolgt der Cracking-Vorgang komplett offline.
Die Auswertung der Ergebnisse erfolgt durch terreActive beim Kunden vor Ort. Dabei wird grosser Wert auf die Vertraulichkeit der verarbeiteten Daten gelegt. Die gecrackten Passwörter werden anonym ausgewertet und betroffene Benutzerkonten werden dokumentiert. Die gecrackten Passwörter werden weder in den Bericht aufgenommen noch dem Kunden zur Verfügung gestellt. Die Resultate des Cracking-Vorgangs sowie die zur Verfügung gestellten Passworthashes werden nach der Auswertung von terreActive so gelöscht, dass sie nicht wieder hergestellt werden können. Zudem wird die entsprechende Festplatte ausgebaut und dem Kunden ausgehändigt.
Tipp: Auf Wunsch bietet terreActive optional einen Vortrag zum Thema sichere Passwörter an. Zur besseren Veranschaulichung der Problematik von Passwörtern wird eine Live-Demonstration durchgeführt, die zeigt, wie ein vermeintlich sicheres Passwort durch unsere Cracking-Station innert kürzester Zeit gecrackt wird.
Erkenntnisse
Das Servicemodul Passwort-Cracking bringt Licht ins Dunkel und beantwortet Ihnen folgende Fragen:
- Wird die aktuelle Passwortrichtlinie von den Mitarbeitenden eingehalten?
- Weisst die aktuelle Passwortrichtlinie Schwächen auf?
- Wie gross ist das Risiko, dass ein Benutzerkonto eines Mitarbeiters kompromittiert werden kann?
- Wo gibt es Verbesserungspotenzial?
Tipps und Tricks - Versuchs mal hiermit!
Um sich gegen Passwort-Cracking-Attacken zu schützen, empfiehlt es sich möglichst starke Passwörter zu wählen. Theoretisch ganz einfach - das Passwort soll eine gewisse Komplexität aufweisen, lang sein und möglichst zufällig gewählt werden, sodass es weder einem Muster folgt, noch in einem Wörterbuch zu finden ist. In der Praxis führt dies aber dazu, dass sich Benutzer die Passwörter nicht mehr merken können und daher einfache Passwörter verwenden.
Im Nachfolgenden werden ein paar Tipps und Tricks vorgestellt, wie man ein starkes Passwort wählt und es sich auch merken kann.
Abkürzungen von ganzen Sätzen
Es wird ein langer Satz gebildet, den man sich gut merken kann. Nun werden nur die ersten Buchstaben jedes Wortes verwendet. Es ist zu empfehlen, mindestens zwei Sonderzeichen und zwei Ziffern einzubauen, um die Komplexität und somit die Robustheit des Passworts zu erhöhen. Die Grossbuchstaben, Zahlen und Sonderzeichen sollen nicht am Anfang oder am Schluss gewählt werden (somit können geläufige Muster effektiv umgangen werden). Zudem ist zu empfehlen, eine Passwortlänge von mindestens 14 Zeichen einzuhalten.
Hierzu ein Beispiel: Ich gehe heute Abend um 20:50 Uhr ins Kino, da ich morgen frei habe
Daraus ergibt sich folgendes Passwort: IghAu20:50UiK,dimfh
Auf diese Art und Weise ist es möglich sich kryptische Passwörter besser zu merken. Viel Spass bei der nächsten Passwortwahl!
Wörterkombinationen gespickt mit Sonderzeichen
Bei diesem Ansatz gilt folgendes Motto: «Länge schlägt Komplexität». Wie schon der Name sagt geht es hier um ein langes Passwort, welches sich aus mehreren Wörtern zusammensetzt. Das Passwort soll aus mindestens fünf Wörtern bestehen. Dabei ist es wichtig, dass einzelne Wörter nicht aus derselben Kategorie (Farben, Namen, Jahreszeiten, Tiere, Länder, Spielzeuge, Pflanzen, Berufe, Fahrzeuge, Elektrogeräte, Sportarten usw.) kommen. Zudem soll der eigene Vor- und Nachname nicht im Passwort vorkommen. Ferner empfiehlt sich ein Passwort aus mehreren Wortarten wie Substantiv, Verb, Adjektiv etc. zusammenzusetzen.
Hierzu ein paar Beispiele:
- Apfel_Leuchten_Eilig_Xaver_Acht
- TrinkenAnnaNeugierigJammernAnheben
- Diesel-Eigenschaft-November-Innerhalb-Speichern
Lange Passwörter sind besonders robust und in der Praxis schwer zu knacken, da sie eine ordentliche Länge aufweisen. Solche Passwörter sind schwer zu merken, daher empfiehlt sich eine Gedächtnisstütze. Hierbei werden die ersten Buchstaben jedes Wortes verwendet und somit eine Abbreviatur dargestellt.
Abbreviatur für oben genannte Passwörter wären ALEXA, TANJA und DENIS.
Zusätzlich sollten Massnahmen getroffen werden, die es einem Angreifer so schwer wie möglich machen die Passworthashes innerhalb des Firmennetzwerkes abzugreifen. Hierzu sind präventive Schutzmassnahmen umzusetzen, die von den verwendeten Netzwerkprotokollen und Systemen abhängen und somit sehr kundenspezifisch sind. terreActive kann Sie durch eine Standortbestimmung unterstützen, bei der Sicherheitsrisiken speziell auf exponierte Hashes betrachtet werden. Heute noch für mehr Sicherheit sorgen, einfach mal anfragen.