Schwache Passwörter beim RIPE.

Im (gedruckten) SPIEGEL 19/2009 findet sich auf Seite 126 folgender Artikel:

Internet
Fahrlässiger Umgang mit Passwörtern

Selbst große Konzerne schützen ihre Websites mit allzu simplen Passwörtern, die sich sogar von Amateuren in Minuten knacken lassen. Dem SPIEGEL liegt eine vertrauliche Liste mit Hunderten von Firmen-Passwörtern vor, die Sebastian Schreiber von der Sicherheitsfirma Syss mit ‘sehr wenig Aufwand’ aus einer Internet-Datenbank des Adressverzeichnisses namens Ripe gefischt hat. Unter den Firmen befinden sich ein Nahrungsmittelriese, eine Bank eine Wirtschaftsberatungsagentur, ein großer Webdienst-Anbieter. Sie alle hätten eine Menge zu verlieren durch einen Hackerangriff. ‘Es wäre ein Leichtes, den Webtraffic dieser firmen illegal abzuwürgen, umzuleiten oder E-Mails heimlich mitzulesen’, sagt Schreiber. Sichere Passwörter sollten aus über einem Dutzend Buchstaben, Zahlen und Sonderzeichen bestehen. Stattdessen wimmelt es in der Ripe-Datenbank von Passwörtern wie ‘adventure’, ‘TestTest’, ‘4664’. Eine große Versicherung vertraut auf ‘beruhigt’, ein Institut für Ernährungssicherheit auf ‘Karotte’, ein Flughafen auf ‘purgatory’ – englisch für Fegefeuer. Doch viele Ertappte reagierten nicht einmal, als sie auf die Nachlässigkeit hingewiesen wurden; und auch die Verwaltung der Ripe-Datenbank hat es trotz mehrerer Nachfragen monatelang versäumt, von den Nutzern bessere Passwörter einzufordern.

Was ist hier los? Sicherheitsloch? Zumindest teilweise, aber fangen wir von vorn an:

Das RIPE ist eine so genannte Regional Internet Registry, die für die Zuteilung und Verwaltung von IP-Netzparametern für die europäische Region zuständig ist. Dazu gehören IP-Adressen, aber auch Routing-Parametern. Traditionell ist es so, dass diese Informationen frei zugänglich sind, das Editieren der dort verzeichneten Einträge jedoch gesichert sind. Dazu gibt es zwei Möglichkeiten: Eine Sicherung mit einem Passwort und einem PGP-Key. Letzteres ist ein absolut sicheres Verfahren, während ersteres deutlich praktischer ist.

Damit der Spaß mit dem Herauslesen von Passwörtern nicht ganz so einfach ist, müssen zu hinterlegende Passwörter einmalverschlüsselt werden. Das bedeutet, dass der Originator des Eintrages sein Passwort nicht in Klartext hinterlegt, sondern zunächst mit einem Einwegverschlüsselungsverfahren bearbeitet – im Falle der RIPE-Datenbank wird das Verfahren MD5 eingesetzt – und dieses Ergebnis dann hinterlegt. Die Einwegverschlüsselung stellt sicher, dass die verschlüsselte Nachricht nicht mehr dechiffriert werden kann.

Der Ansatz ist nun, dass man das Passwort zwar nicht mehr dechiffrieren kann, es aber weiterhin durch einen anderen Ansatz zum Passwortknacken verwundbar ist, nämlich durch Wörterbuchattacken. Wörterbuchattacken basieren darauf, dass man eine ganze Liste von vordefinierten Wörtern schlicht einfach mal durchprobiert, in der Hoffnung, dass jemand ein einfaches Passwort verwendet, das just in dieser Wörterbuchliste vorkommt. Im Falle von einem einwegverschlüsselten Passwort muss lediglich sichergestellt werden, dass auch die Wörterbuchliste die Wörter entsprechend mit dem Einwegverschlüsselungsverfahren chiffriert sind.

Und das dürfte dann auch der Ansatz gewesen sein. Da die RIPE-Datenbank frei zugänglich ist, hat ein findiger Mensch einfach eine Wörterbuchliste genommen, die dort vorkommenden Wörter nach dem gleichen Verfahren einwegverschlüsselt, wie es das RIPE tut und dann einfach nach den Chiffraten in der RIPE-Datenbank gesucht. Äußerst einfach und leider offensichtlich auch hin und wieder wirksam.

Immerhin hat das RIPE reagiert und die Suche nach einwegverschlüsselten Passwörtern insofern erschwert, dass eine Suche nach Sonderzeichen nicht möglich ist, Sonderzeichen aber in den Chiffraten zwingend vorkommen. Sinnvollerweise kann man aber nach wie vor immer nur empfehlen, gänzlich auf die Passwortautorisierung zu verzichten und die PGP-Autorisierung einzusetzen oder zumindest ein hinreichend komplexes und langes Kennwort zu nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *