Thema: Passwortsicherheit diverses ...

[SiLæncer]

Aufbauend auf Technik aus dem Fraunhofer Institut für Softwaresicherheit SIT bietet die schweizer esiqia den "Passwortsitter"-Dienst an. Das Java-Applet erzeugt selbsttätig starke Passwörter und verschlüsselt sie mit einem vom Benutzer frei wählbaren Master-Kennwort. Nur dieses muss man sich noch merken. Die generierten Passwörter kopiert das Applet bei Bedarf in die Zwischenablage des Rechners, in der sie eine Minute lang zum Übertragen in das entsprechende Feld der Anwendung oder des Webdienstes bereitstehen. Beim Installieren des Applets warnt die Java-Engine zurzeit vor dem ihr unbekannten Zertifikat der Telekom. Ab der nächsten Woche soll es mit einem Verisign-Zertifikat gesichert sein, sodass die Warnung entfallen wird.

Anders als die in aktuellen Browsern vorhandenen Funktionen zum (verschlüsselten) Speichern von Passwörtern erzeugt der Passwortsitter sie bei Bedarf jedesmal neu. Dazu verwendet er Algorithmen auf einem Server, die das Applet bei Bedarf lädt. Die erzeugten Passwörter lassen sich in Grenzen parametrieren, etwa hinsichtlich der Länge. Auf Wunsch erzeugt das Applet in regelmäßigen Abständen neue Kennwörter und ermöglicht ihre lokale verschlüsselte Speicherung. Zur Verschlüsselung verwendet es den AES-Algorithmus.

Zurzeit ist die Nutzung des Dienstes für bis zu fünf Passwörter kostenlos. In einer späteren Version soll der Umweg über das Clipboard wegfallen, indem Browser-Plug-ins das Passwort direkt aus dem Applet in die Webseite übertragen.

http://www.passwortsitter.com/

Quelle : www.heise.de

[SiLæncer]

Eine Sicherheitslücke kann von Antivirenspezialisten und Netzwerkadministratoren nie völlig geschlossen werden: Der Nutzer selbst ist nämlich oft genug das größte Risiko für ein Computersystem. Das zeigt jetzt eine Umfrage zum Thema Geheimhaltung der Avira GmbH. Den Machern der bekannten Sicherheitslösung AntiVir zufolge nehmen es 27,4 Prozent der PC-Nutzer damit nicht so genau und plaudern ihr Passwort aus.
   
Familie kann's wissen

Genau 9.513 Nutzer gaben bei einer Umfrage auf der AntiVir-Website im Mai Auskunft darüber, wie genau sie es mit dem Stillschweigen bewahren nehmen. Immerhin gaben 72,6 Prozent bei dieser Gelegenheit an, ihr Passwort streng geheim zu halten. Der Rest jedoch ist mit seinen Zugangsdaten freizügiger: Besonders innerhalb der Familie gibt es kaum Geheimnisse, 15,2 Prozent teilen ihre Passwörter mit Eltern und Geschwistern. Auch Zettel sind als Geheimnisträger anerkannt, 6,5 Prozent halten ihre Zugangsdaten gern auf Papier fest. Freunde genießen immerhin noch bei 4,1 Prozent der Befragten volles Vertrauen. Kollegen gegenüber verraten hingegen nur 1,6 Prozent ihr Passwort. Dabei würden laut Avira lediglich 3,9 Prozent bei passender Gelegenheit an fremden Rechnern spionieren.

Netz mit doppeltem Boden

"Die Umfrage zeigt, dass die Schwachstelle im Sicherheitskonzept immer noch der Mensch ist. Denn die aktuellste Software und das beste Passwort samt regelmäßiger Änderung helfen nicht, wenn die Leute ihre Zugangsdaten nicht für sich behalten", sagt Avira-Gründer und Geschäftsführer Tjark Auerbach. Seiner Ansicht nach sind sich viele Nutzer der Gefahr gar nicht bewusst, die von einem solchen Verhalten ausgeht, vor allem im Beruf. Um auf Nummer Sicher zu gehen, sollten Auerbach zufolge die Mitarbeiter regelmäßig geschult werden. Zusätzlich könne auch eine Hardware-Authentisierung eingesetzt werden, sodass Nutzer nur Zugang erhalten, wenn sie das Passwort kennen und beispielsweise ihr Fingerabdruck für die Identifikation gescannt wird. Durch ein solches "Netz mit doppeltem Boden" werde das Sicherheitssystem erheblich verstärkt", so Auerbach weiter.

Quelle : www.onlinekosten.de

[SiLæncer]

Lange Passwörter müssen nicht unbedingt sicherer als kurze sein - denn wenn Sprüche oder Sätze zur Authentifizierung genutzt werden, können Passwortknacker entsprechende Regeln für die Entschlüsselung anwenden. Das belegt eine Studie (PDF) der in Pittsburgh, USA, gelegenen Carnegie Mellon Universität. Das Forscherteam untersuchte rund 1.430 Passwörter einer bereits publizierten Studie und konnte mit einem selbst erschaffenem Algorithmus, angelehnt an grammatikalische Regeln, rund 10 Prozent mehr Passwörter knacken als gängige Tools.

Die Forscher untersuchten in welcher Weise Passwörter generiert werden und kamen zu dem Ergebnis, dass an Sätze angelehnte Passwörter zumeist aus mehreren kurzen Wörtern oder einigen längeren bestehen. So werden etwa Zwei- und Dreiwort-Phrasen wie "compromisedemail" oder "thosedamnhackers" verwendet. Nutzer greifen zu diesen Sprüchen, um gut zu erinnernde Passwörter mit mindestens 16 Zeichen zu erhalten, da die Mindestzeichenzahl für mehr Passwortsicherheit kontinuierlich erhöht wird.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Deloitte weist Anbieter und Nutzer von Internetdiensten darauf hin, dass sie den Umgang mit Passwörtern nicht auf die leichte Schulter nehmen sollten. Selbst jene Passwörter, welche die Ratschläge von Sicherheitsexperten beherzigen (mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und andere Zeichen), werden durch die Verhaltensmuster der Nutzer unsicher.

Deloitte, ein „globales Netzwerk rechtlich selbstständiger und unabhängiger Unternehmen“, hat sich mit der Frage beschäftigt, wie sicher unsere Passwörter sind, und die Ergebnisse samt Ratschlägen für einen sicheren Umgang mit Passwörtern (PW) veröffentlicht. Es stellt sich heraus, dass selbst die PW, die vom Nutzer nach den von Sicherheitsexperten empfohlenen Richtlinien erstellt werden, bei weitem nicht so sicher sind, wie oft geglaubt wird. Wie Hacker an fremde Daten kommen, erklärt Deloitte in der vorliegenden Mitteilung.

Deloitte sagt voraus, dass 2013 mehr als 90 Prozent der nutzergenerierten PW anfällig für Hackerattacken sein werden. Zu geringer Schutz der PW kann zu Verlusten von Milliarden Dollar führen und dazu, dass das Vertrauen in Internet-Transaktionen verlorengeht, außerdem fügt ein Mangel an PW-Schutz dem Ruf von Unternehmen, die zum Opfer von Hackerangriffen werden, erheblichen Schaden zu. Die Wichtigkeit der Absicherung durch PW steigt, doch Unternehmen, bei denen es um sensible Daten geht, werden wohl bald auf zusätzliche Formen der Identifikation zurückgreifen.

Jahrelang hieß es, ein PW sollte mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben enthalten sowie mindestens eine Ziffer und ein nicht alphanumerisches Zeichen. Ein nach diesen Regeln definiertes PW galt als relativ stark und für heikle Abläufe wie Banking oder E-Commerce als sicher. Wie stark sind solche PW wirklich? Es stehen auf der Standardtastatur 94 Zeichen zur Verfügung, für ein PW mit acht Stellen ergeben sich 6,1 Quadrillionen (das sind sechsmal 1015) Kombinationsmöglichkeiten. Selbst mit einem relativ schnellen Computer würde es laut Deloitte etwa ein Jahr lang dauern, alle Möglichkeiten auszuprobieren. Selbst um an Kreditkartendaten heranzukommen, würde man diesen Aufwand nicht betreiben. Es gibt jedoch eine Reihe von Faktoren, die mit dem menschlichen Verhalten und mit dem technologischen Wandel zu tun haben, die ein stark geglaubtes PW angreifbar machen:

Je mehr Zeichen man vergibt, desto schwieriger ist es, sich die Zeichenfolge zu merken. Deshalb wenden viele Nutzer Tricks an: Es werden Wörter verwendet, Ziffern werden in einer bestimmten Reihenfolge eingesetzt (beispielsweise Geburtsdaten), meist werden die Wörter am Beginn und die Ziffern am Ende platziert. Dazu kommt die Tatsache, dass man sich mehrere PW nicht so gut merkt wie einige wenige, was zur Folge hat, dass Nutzer oft ein PW für mehrere Zugänge oder Abläufe einsetzen. Bei durchschnittlich 26 verschiedenen PW-Erfordernissen werden diese von durchschnittlich nur fünf unterschiedlichen PW abgedeckt, so Deloitte. Die nicht nach dem Zufallsprinzip erfolgende Definition von PW macht diese leichter angreifbar. Hinzu kommt, dass die Bandbreite an PW auf mobilen Geräten nicht ausgenützt wird, PW auf diesen sind meist schwächer als auf PCs.

Als Vorsichtsmaßnahme schlägt Deloitte vor, PW und Usernamen auch in Verwaltungsdateien niemals unverschlüsselt aufzubewahren. Des Weiteren macht es das stärkste PW angreifbar, wenn die Hinweisfragen darauf zu einfach lösbar sind. Nutzer sollten sich angewöhnen, längere PW zu verwenden und diese jeweils wirklich nur einem Vorgang zuzuteilen. In Anbetracht der Situation ist es vorstellbar, dass sich eine auf mehreren Faktoren basierende Identifikation durchsetzt, welche beispielsweise zusätzlich zum PW Irisscan, Fingerabdruck oder Handynummer abfragt. Diese zusätzlichen Informationen stehen selbst Hackern, die PW und Username ausspioniert haben, nicht zur Verfügung.

Quelle : www.gulli.com

[SiLæncer]

Um mehr oder weniger wichtige Themen immer wieder einmal ins Bewusstsein zu rücken, werden ihnen gelegentlich eigene Tage gewidmet. Heute sind die Passwörter dran, die beharrlich ein zentraler Faktor in der Sicherheit von Web-Anwendungen bleiben - und in dieser Funktion von den Nutzern beharrlich unterschätzt werden.

Kaum eine Woche vergeht inzwischen, in der nicht Nachrichten darüber die Runde machen, wie Angreifer entweder zu schwache Passwörter zu wichtigen Konten erraten haben, sie durch Malware auslesen konnten oder gleich ganze Datenbanken mit Kennungen entführten. Im Zusammenhang damit appellieren Sicherheits-Experten seit vielen Jahren an die Anwender, möglichst sichere - heißt: schwer zu erratende - Zeichenfolgen zu verwenden.

Mit mäßigem Erfolg. Immer wieder zeigen Statistiken, dass zahlreiche Nutzer sich nicht gerade bemühen, Angreifern das Leben schwer zu machen. So wird häufig auf Kennungen zurückgegriffen, die durch einfachste Wörterbuch-Attacken binnen Sekunden überwunden werden - und dies dann vielleicht noch über die Zugangsschranken einer großen Zahl von Web-Angeboten hinweg.

Um die Situation nach und nach zu verbessern, hat man sich inzwischen so Einiges an Tricks einfallen lassen. Dies begann beispielsweise damit, dass den Nutzern Vorgaben gemacht werden. Ampeln versuchen anzuzeigen, wie komplex ein Passwort ist und einige Dienste lassen gar keine Kennungen zu, in denen nicht Großbuchstaben, Zahlen und Sonderzeichen miteinander kombiniert sind und vor deren Eingabe der Nutzer bei Vollmond dreimal um eine seltene Blume lief.

Einen effektiveren Schutz stellen da schon verschiedene Passwort-Manager dar. Diese verwalten in vielen Fällen nicht nur die Passwörter des Nutzers in einem verschlüsselten Tresor - sondern bieten auch die Möglichkeit an, Kennungen automatisch generieren zu lassen. Als Passwörter kommen dann recht lange und zufällig generierte Zeichenfolgen zum Einsatz.

Alternativen gesucht

Seit einiger Zeit werden aber auch verschiedene Ansätze verfolgt, Passwörter komplett durch bessere Verfahren zu ersetzen. Eine Zeitlang dachte man, dass hier biometrische Merkmale wie Fingerabdrücke ein guter Weg sind. Das stellte sich aber als Sackgasse heraus, da die entsprechenden Verfahren recht einfach ausgehebelt werden können. Inzwischen konzentriert man sich auf komplexere Methoden, bei denen beispielsweise kleinste Eigenheiten im Nutzungsverhalten und in den Bewegungen der Anwender genutzt werden, um eine Authentifizierung zu ermöglichen.

Quelle : http://winfuture.de

[SiLæncer]

Die jetzt aufgetauchten Dropbox-Passwörter sind anscheinend echt; ein Test verrät, ob das eigene dabei war. Wer in den letzten Jahren sein Passwort für den Cloud-Speicherdienst nicht geändert hat, sollte das schleunigst tun.

Die kürzlich aufgetauchten Dropbox-Passwörter sind offenbar echt, wie Selbst-Tests von Betroffenen zeigen. Mitte 2012 waren Dropbox rund 68 Millionen Passwörter abhanden gekommen. Zum Glück hatte der Cloud-Dienstbetreiber die Passwörter nur als Hashes gespeichert.

Da jedoch etwa die Hälfte nur als einfacher SHA1-Hash mit Salt gesichert ist, besteht trotzdem eine realistische Gefahr, dass auch gute Passwörter geknackt werden. SHA-1-Hashes lassen sich so schnell berechnen, dass Cracker selbst gute Passwörter recht einfach knacken können (siehe dazu Die Passwortknacker; Ein Blick hinter die Kulissen der Cracker). Die andere Hälfte wurde mit bcrypt gesichert, was den State-of-the-Art markiert und das Knacken von halbwegs guten Passwörtern weitgehend aussichtslos, weil immens zeitraubend gestaltet.

Der ganze Artikel

Quelle : www.heise.de