Passwörter

Question 1

Passwörter

Answer 1

• Authentifizierung über Wissen (geheimes Wort, Phrase)
• häufig in Kombination mit kryptographischen Verfahren (Passwort als symmetrischer Schlüssel oder schützt privaten Schlüssel)

Question 2

Funktionsweise Passwörter

Answer 2

1) Nutzer sendet Identität und Passwort

2) Computer sucht Identität und vergleicht Passwort in DB

Question 3

Probleme mit Passwörtern

Answer 3

• Passwort erschnüffeln (mitlesen im Netzwerk, Speichermedien kompromittieren)
• Passwort erraten oder knacken
• Faktor Mensch (einfach, auf Zetteln)

Question 4

Passwörter: Grundlegende Schutzmaßnahmen

Answer 4

• nie im Klartext kommunizieren oder speichern
• nicht leicht zu erraten
• Technik soll menschlichen Faktor ausgleichen

Question 5

One-Way Function (OWF)

Answer 5

• y = OWF(x) effizient berechenbar und unmöglich x zu bestimmen
• kryptographische Hash-Funktionen
• Message Authentication Codes (MACs) werden auch als Hash-Funktionen mit Schlüssel (Keyed Hash Functions) bezeichnet

Question 6

Passwortverwaltung und -überprüfung

Answer 6

• OWF (Passwort) oder MAC (Passwort, Konstante) im System gespeichert
• Überprüfung: Eingabepasswort (Konstante) vs. Passwort (Konstante)

Question 7

Wörterbuchangriff

Answer 7

• für alle Wörterbucheinträge w OWF(w) berechnen und in Rainbow Table speichern, dann abgleichen

Question 8

Salt

Answer 8

• Passwörter vor Hashen erweitern
• Salt zufällig oder Tageszeit-abhängig
• Speichern des Paares (Salt, OWF (Passwort | Salt)]
• erhöhter Speicher- und Rechenaufwand bei Wörterbuchangriff

Question 9

Wie gelangen Angreifer an Passwörter?

Answer 9

• Social Engineering (Überredung)
• Shoulder surfing (Sichtkontakt)
• Keylogger (auch Software, mobile Endgeräte)
• Abhören im Netz (Sniffer)
• Trojaner (Login-Programm, Rootkit)
• systematisches Raten (online, offline) -> cracking, grinding

Question 10

Brute Force

Answer 10

• Aufzählen des Suchraums
• Ratewahrscheinlichkeit p = (L * R) / A^M
  L = Lebensdauer; R = Passwortvergleichsrate; A = Alphabetgröße; M = Passwortlänge

Question 11

Passwörter erraten Online

Answer 11

Online: nutzt Login-Methode des Zielsystems –> nicht vollständig verhinderbar, Angreifer kann verlangsamt werden (inkrementelles Back-off, Verbindung kappen)

Question 12

Passwörter erraten Offline

Answer 12

Simuliert das Authentisierungsverfahren des Zielsystems. Benötigt Passwort-Hashes des Zielsystems –> Durch Schutz der Authentisierungsdaten zu verhindern, Angreifer verlangsamen durch Vergrößerung des Suchraums

Question 13

Proaktive Maßnahmen Passwortsicherheit

Answer 13

• technische Regeln durchsetzen (Länge, Ziffern..)
• Passwortalterung
• Inkrementelles Back-off nach falscher Eingabe
• Konto blockieren nach x falschen Passwörtern

Question 14

Reaktive Maßnahmen Passwortsicherheit

Answer 14

• Regelmäßig Passwörter der Nutzer auf Stärke prüfen / brechen

Question 15

Phishing

Answer 15

• Passwortdiebstahl über vorgetäuschte Login-Seiten oder Formulare
• Mischform aus Social-Engineering und technischen Tricksereien

Question 16

Angriffsmethoden Phishing

Answer 16

• über Email
• Verwendung von Unicode Zeichen in internationalen Domain-Namen
• Ausnutzen von offenen Redirects der angegriffenen Seite
• Vortäuschen eines eigenen URL-Balkens

Question 17

Gegenmaßnahmen Phishing

Answer 17

• Browser-Plugins / Built-in Browser Warnungen
• Zwei-Faktor-Authentifizierung
• Gesundes Misstrauen (URL checken)