Stefans Home

Vor knapp zwei Wochen wurde phpbb.com gehackt - und rund 20000 Passwörter der User im Netz veröffentlicht. Bei Darkreading gibt es nun einen Artikel, der die Stärke der gewählten Passwörter analysiert - sehr interessant ist auch der Vergleich zum Vorfall vor anderthalb Jahren, bei dem über eine Phishing-Seite MySpace-Passwörter gesammelt und analysiert wurden. Meine damalige Aussage bezüglich der Stärke der selbst gewählten Passwörter ("ich persönlich deutlich schlimmeres vermutet") muß ich wohl relativieren: Ein Teil der Stärke rührt wohl von den Zwangsmaßnahmen von MySpace her, die eine Passwortlänge von 6-10 Zeichen und mindestens ein Sonderzeichen erzwingen. phpbb.com tat dies nicht, und prompt sieht die Quote schlechter aus.

Ein gutes Passwort ist eines, das weder von Menschen noch durch systematisches Probieren herauszufinden ist. "Systematisches Probieren" wird typischerweise mit Passwort-Brute-Force-Knackern wie John the Ripper automatisiert, welche unter anderem eine Dictionary Attack implementieren. Diese benötigt als Grundlage Wortlisten (Dictionaries), welche dann nach bestimmten Regeln variiert werden. CeWL ist ein Tool, um solche Listen aus Webseiten zu generieren.

Auf dieser Seite wurden mehrere "10-Ten"-Passwortlisten zusammengestellt - und resümiert mit der rhetorischen Frage, wieso sich Leute überhaupt noch wundern, weshalb ihr Blog "geknackt" wird. Ich weiß nicht genau, woher diese Listen kommen - vor anderthalb Jahren gab es eine Analyse über MySpace-Passwörter, die über eine Phishing-Seite gesammelt wurden; hier waren die Ergebnisse längst nicht so dramatisch.

Eigentlich eine pfiffige Idee: Eingabe der PIN am Geldautomat durch Eye-Tracking (Paper befindet sich hier) statt durch Tastatureingabe. Das verhindert den Blick über die Schulter, verräterische Fingerabdrücke auf dem mit Haarspray präparierten Tastenfeld, etc. - aber leider nicht den PIN-Diebstahl.

Paßwort von einem Mitarbeiter benötigt? Kein Problem - Anrufen und Fragen genügt in rund 60% der Fälle - das ergab eine telefonische Stichprobe bei der US-Steuerbehörde. Vom kleinen Angestellten bis hinauf ins Management war alles dabei :-)

Für jedes Forum, jeden Onlineshop, ... muß man sich einen Account anlegen, bevor man loslegen kann. Was aber tun mit den dutzenden Passwörtern, die benötigt werden? Auf der einen Seite sollte man Paßwörter nicht aufschreiben (jemand könnte den Zettel finden); ein Paßwort-Safe-Programm ist mitunter umständlich und nicht immer greifbar; letzteres gilt auch für den gesicherten Paßwortspeicher der Browser. Ein Standardpaßwort, das man überall verwendet, kann aber ebenso fatale Folgen haben - einmal herausgefunden, öffnet es die (Mißbrauchs-)Pforte zu vielen Seiten; dabei muß das Paßwort nicht unbedingt "clientseitig" durch einen Blick über die Schulter oder systematisches Ausprobieren kompromittiert werden: Ebenso kann ein böswilliger Webseitenanbieter das Kennwort auslesen - oder aber es fällt einem Angreifer in die Hände, der sich Zugang zum Server der Webseite verschafft hat.
Eine mögliche Abhilfe schaffen Passwort-Hasher wie Stanford PwdHash oder Password Hasher.

Eben kam auf der Mailingliste Full Disclosure eine große Mail hereingeflattert. Ihr Inhalt: Eine Textdatei mit über 56.000 E-Mails und zugehörigen Paßwörtern, angeblich für MySpace.
Herkunft, Authentizität und Frische sind noch unklar - möglicherweise stammen sie von einer schlecht gemachten MySpace-Phishing-Seite (so wie in dieser Geschichte).

Bruce Schneier schreibt in seinem Blog über Choosing secure Passwords - wie finde ich ein gutes Paßwort. Kein neues Thema, aber noch immer ein leidiges. Interessant ist der Artikel dennoch: Er betrachtet die "Gegenseite", nämlich die Funktionsweise von sehr effizienten Paßwort-Knackern.

Es wird nicht nur nach Banken- sondern auch nach sonstigen Paßwörtern gephisht - unter anderem auch nach Paßwörtern bei MySpace, wobei die Phisher so dilletantisch waren und die gesammelten Daten für alle lesbar in einem browseable directory ablegten...
...was die Möglichkeit zu einer (nicht ganz repräsentativen) Statistik zur Paßwortsicherheit gab :) Was ich bemerkenswert finde: Leute, die auf Phishingmails hereinfallen, würde man wohl sicher kein ausgeprägtes Sicherheitsbewußtsein zusprechen. Die auf der Seite gelisteten häufigsten Paßwörter (23 Stück) machen trotzdem nur ein knappes Prozent (189 von ca. 20000) der gesamten Liste aus. Der Löwenanteil der Leute benutzt Paßwörter mit mindestens sieben Zeichen Länge, und über drei viertel variierten entweder Groß-/Kleinschreibung oder mischten Buchstaben und Zahlen.
Alles in allem hätte ich persönlich deutlich schlimmeres vermutet.