Passwort geschützt?

Erschreckend! Für die Arbeit muss ich mich grad in einen vista-laptop reinhacken, dessen BesitzerIn (um sowohl kryptisch als auch gegendert zu bleiben…) das Admin-Passwort geändert hat und es geich darauf vergessen hat…blöd!

So erschreckend das ist, es war nicht jenes „erschreckend“, welches ich eingangs meinte. Nein, dieses bezieht sich auf die (Un-)Sicherheit unserer Computer. Für einen XP-Rechner, braucht man zum hacken vielleicht eine halbe Stunde (wenn man keinerlei Software außer einem Webbrowser und Brenn-Software hat): ophcrack live-cd von sourceforge runterladen, brennen, CD in den Gesprerrten Computer einlegen, von CD booten, slax (von ophcrack) laufen lassen, Passwort merken und voila! und das ganze kostet….24€…für den Internet Anschluss! Beängstigend!

Vista ist da, was das Logon-Passwort anbelangt schon ein Fortschritt. Auf nicht extra verschlüsselte Daten kommt man sowieso per knoppix (ein bios kennwort hilft da auch nicht viel). Trotzdem ist es relativ leicht, ein vista passwort ohne jegliches wissen um den Besitzer zu knacken. Will man weiter ophcrack verwenden (was doch schon sehr bequem und angenehm ist) muss man jetzt aber um die 120€ auf den virtuellen Tisch legen – für sogenante NTLM-Rainbow-Tables. NTLM ist hier das neue Format, in dem Passwörter unter Windows abgespeichert werden. Ist man bereit umzusteigen, auf CAin&Abel z.B., kann man sich Rainbow-Tables von freerainbowtables.com runterladen – gratis wie die domain bereits vermuten lässt.

Die Tatsache aber, dassMircosoft (sick!) die Passwörter dermaßen unsicher verschlüsselt (im Vergleich zu z.B. OpenBsd – Bcrypt) lässt schon so einiges vermuten. Vielleicht hat mich auch dieser Artikel etwas überempfindlich gemacht…In ihm geht es grundsätzlich darum, dass das National Institute of Standards and Technology (NIST) in einem neuen Standard ganz offensichtlich ein security-backdoor belassen haben. Passwörter wie sie SimpleLite, Enigmail oder andere RSA/PGP/GPG/…-Programme verwenden gewinnen ihre Sicherheit größtenteils durch das erschaffen von Random Numbers. Da ein Computer aber niemals zufällige Zahlenfolgen kreiren kann, gibt es Verfahren, die Deterministic Random Bit Generators, die scheinbar zufällige – und somit sichere – Zeichenfolgen erstellen. Bei den nun eingeführten Verfahren wird ein Satz von bestimmten Zahlen vorrausgesetzt. Das Problem dabei ist, dass es prinzipiell möglich ist, mithilfe dieser Zahlen jeden der darauf basierenden Codes zu knacken.

Auch der jüngste Skandal rund um das „Anonyme“ Netzwerk TOR (siehe hier) lässt die Frage aufkommen, wie sicher man tatsächlich ist – selbst wenn man mit den Verschiedensten privacy-Programmen (wie ich selbst) arbeitet. Wichtig ist es heute woh, sich nicht auf ein einzelnes Programm oder System zu verlassen, sondern sich durch verschiedenste VErfahren abzusichern. Auch glaube ich, dass F2F-Netzwerke und deren Geschwister eine immer bedeutsamere Rolle in der Zukunft spielen werden. Es geht also nicht mehr bloß der Verschlüsseln der Daten via Code, sondern auch wieder stärker um das Verstecken der Kommunikation als solches (auch wenn das für die Kryptographische Gemeinschaft wohl ein schwerer Schlag und unangenehme Erkentnis ist…)

______

Dieser Artikel soll kein Anleitung zum illegalen Knacken von Passwörtern sein. Die gegebene Information dient nur zu Aufklärungszwecken.

  1. 25. November 2007
    Trackback from : Passwörter her! « vorblog

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: