AA_opengate_sxc1098143.jpg

© sxc.hu

Tag der offenen Tür

Schwache Passwörter ermitteln und sichere wählen

15.06.2009
Nicht selten verwenden Anwender viel Zeit für das Absichern ihres Rechners und übersehen dabei die größte aller Sicherheitslücken: Schwache Passwörter.

Rechtlicher Hinweis

Die in diesem Artikel beschriebenen Programme dürfen Sie ausschließlich dazu verwenden, um die Sicherheit des eigenen Systems zu prüfen um eventuelle Schwachstellen zu ermitteln. Der Einsatz außerhalb dieses Rahmens verbietet der "Hackerparagraf" (§ 202c BGB).

Ob Mail-Konto, Ebay-Account oder das System-Login: Passwörter sind in der IT-Welt allgegenwärtig und in vielen Fällen unverzichtbar. Doch selbst erfahrene Anwender wählen nur zu oft einfache Passwörter, die es Angreifern ermöglichen, sie durch simples Erraten zu knacken. Ganz vorne in der Rangliste stehen die eigenen Namen und die der Familienangehörigen oder Haustiere, oft auch in Kombination mit Teilen des Geburtsdatums. Welche Konsequenzen ein solch leichtsinniges Handeln nach sich ziehen kann, wissen eine Heerschar von Ebay-und Amazon-Kunden zu berichten, über deren Konten Fremde bestellt oder geboten haben. Abhilfe schafft in erster Linie die Sensibilisierung und Information über dieses Thema.

Passwörter unter Linux

Die meisten modernen Linux-Systeme speichern nicht die Passwörter selbst, sondern die Hashes, also die Quersummen davon, in der Datei /etc/shadow. Je nach verwendeter Distribution kommt MD5, Blowfish oder SHA-256/512 zum Einsatz, um diese zu erzeugen. Welchen Algorithmus Ihr System verwendet, verraten die ersten Zeichen zwischen den $ im Passwort: So zeigt beispielsweise $2a$ an, dass Blowfish verwendet wurde, $1$ steht für MD5, $5$ für SHA-256 und $6$ für SHA-512. Zudem versehen moderne Linux-Systeme die Passwörter mit einem so genannten Salt. Dabei handelt es sich vereinfacht dargestellt um einen zufällig gewählten Wert, der vor dem Erstellen des Hashes an das Klartextpasswort angehängt wird.

Der MD5-Hash des Passworts test ergibt immer den Wert d8e8fca2dc0f896fd7cb4cb0031ba249. Durch das Salt entsteht hingegen immer ein neuer Hash, der Angriffe deutlich erschwert. Das bedeutet im Rückschluss: Würde das System die Passwörter nicht "salzen", könnten entsprechende Programme die Werte mit in Wörterbüchern hinterlegten Strings vergleichen. So muss ein Angreifer Passwort für Passwort auf dem System ausprobieren, was die Verarbeitungszeit wesentlich verlängert. Aber auch das Salt schützt Passwörter nur bedingt davor, dechiffriert zu werden. Darauf spezialisierte Programme prüfen mit verschiedenen Methoden verschiedene Passwörter und ermitteln zu kurze oder zu leichte in Sekundenschnelle.

Allerdings besitzt im laufenden System nur der Benutzer root direkten Zugriff auf die Passwortdatei /etc/shadow. Hat der Angreifer aber lokalen Zugriff auf den Rechner, ist es für ihn in der Regel ein Leichtes, an diese Datei zu gelangen.

Risiko lokaler Zugriff

Die meisten Linux-Systeme stehen lokalen Zugriffen mehr oder weniger schutzlos gegenüber. Oftmals reicht es aus, die Distributionen im Recovery-Mode zu starten, um sämtliche Zugriffsbeschränkungen darauf auszuhebeln. Drücken Sie etwa beim Booten von Ubuntu [Esc], gelangen Sie ins Bootmenü. Wählen Sie darin den zweiten Eintrag Ubuntu (recovery mode), so startet die Distribution im Rettungsmodus. Wählen Sie im erscheinenden Recovery Menu den Eintrag root, öffnet sich eine Root-Shell mit vollem Zugriff auf das System. Sollten Sie das Root-Passwort eines Systems vergessen haben, eignet sich dieser Zugang auch, um es zurückzusetzen: Öffnen Sie mit einem beliebigen Texteditor die Datei /etc/shadow und navigieren Sie zum Eintrag des gewünschten Benutzers. Löschen Sie dann die Zeichenkette nach dem ersten und vor dem zweiten Doppelpunkt. Der nächste Login erfolgt ohne Passwortabfrage.

Den Zugriff auf lokale Dateien erlaubt auch Grub dank der integrierten Shell, die Sie mit [C] am Boot-Prompt öffnen. Tippen Sie beispielsweise cat /etc/shadow (Abbildung 1), erscheint der Inhalt der Passwortdatei wie in einem normalen Terminal. Der Angreifer muss entsprechend nur noch den gewünschten Passwort-String abschreiben, um ihn danach mit Passwortcrackern zu bearbeiten.

Abbildung 1: Die in Grub integrierte Shell ermöglicht schon vor dem Booten den Zugriff auf lokale Dateien.

Um das zu verhindern, bietet Grub einen Passwortschutz. Der tritt jedoch nicht beim Booten des Systems in Erscheinung, sondern erfordert lediglich eine Authentifizierung beim Ändern der Bootoptionen oder Öffnen der Grub-Shell. Um ihn einzurichten geben Sie in der Konsole grub-md5-crypt und danach das gewünschte Passwort ein. Daraufhin erscheint der generierte Passwort-Hash. Öffnen Sie jetzt die Grub-Konfigurationsdatei /boot/grub/menu.lst und ergänzen Sie die globale Sektion um den Eintrag password --md5 "verschlüsseltes Passwort", beispielsweise password --md5 $1$cGuo0/$4zZYZ0jzrOFt.hAzBkinr0.

Dieser Schutz lässt sich jedoch relativ leicht umgehen, indem Sie eine Live-Distribution wie Knoppix oder Slax auf dem Rechner starten. Hier hilft der wesentlich effizientere Schutz, das System mit DM-Crypt zu verschlüsseln. Dieses nicht ganz trivialen Themas nimmt sich der Artikel "Geheime Niederschrift" unserer Schwesterzeitschrift Linux-Magazin in Ausgabe 08/2005 an [1]. Eine einfachere Methode besteht darin, das BIOS mit einem Passwort zu versehen und Wechseldatenträger als Bootmedien zu deaktivieren.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Sichere Passwörter wählen und auf ihre Qualität prüfen
    Bei der Wahl einer Passworts stellt der eigene Vorname keine gute Wahl dar, speziell wenn man Michael oder Jennifer heißt: Diese Namen zählen zu den 25 weltweit am häufigsten genutzten Credentials. Wesentlich bessere Passwörter erzeugen Sie mit einem Hilfsprogramm – und prüfen sie damit gleich auch noch auf ihre Qualität.
  • Benutzer und Gruppen auf der Befehlszeile verwalten
    Lernen Sie Dateien und Befehle kennen, mit deren Hilfe Sie Benutzer- und Gruppen-Konten hinzufügen, verändern und entfernen.
  • useradd, usermod, userdel
    Viele Wege führen zu einem neuen Benutzer-Account auf Ihrem Linux-Rechner – entweder editieren Sie alle Konfigurationsdateien von Hand oder benutzen ein grafisches Tool der eigenen Distribution (YaST, userdrake oder redhat-config-users). In dieser Zu-Befehl-Folge begeben wir uns auf die Admin-Seite des Linux-Lebens und zeigen Hintergründe, Tricks und Werkzeuge der Benutzerverwaltung auf der Kommandozeile.
  • Benutzerverwaltung
    Linux ist ein Multiuser-System: Mehrere Benutzer nutzen gleichzeitig den selben Rechner, und für verschiedene Aufgaben richtet man separate Accounts ein. Diese Zu-Befehl-Folge stellt die Kommandos für die Zugangsverwaltung vor.
  • Linux-Livesystem als Passwort-Sniffer für TrueCrypt
    Joanna Rutokowska ist in Sicherheitskreisen kein unbeschriebenes Blatt. Ihre neueste Arbeit heißt Evil Maid und arbeitet als Passwortschnüffler für Systeme mit TrueCrypt-Verschlüsselung.
Kommentare
Link fehlerhaft
Der Schlüsselmacher (unangemeldet), Montag, 15. Juni 2009 14:12:34
Ein/Ausklappen

Toller Beitrag, allerdings fehlt beim sechsten Link das "t" von ".net".
Gruss
keymaker ;-)


Bewertung: 88 Punkte bei 17 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Link fehlerhaft
Marcel Hilzinger, Dienstag, 16. Juni 2009 13:07:05
Ein/Ausklappen

Danke, korrigiert.


Bewertung: 115 Punkte bei 18 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.