Passwort-Checks der RBG

Die RBG-Systemgruppe führt zur Gewährleistung einer sicheren IT-Umgebung automatisierte Prüfungen von Passwörtern durch. Dieser Artikel dient dazu, das angewandte Verfahren zu beschreiben.

Wie prüft die RBG-Systemgruppe, ob ein Passwort unsicher ist?

Die erste Stufe der Prüfung passiert, wenn ein Benutzer sein Passwort auf ucentral setzt. Hier wird eine gewisse Mindestlänge geprüft und darauf geachtet, dass auch Ziffern und/oder Sonderzeichen vorkommen. Ab einer gewissen Länge ist es auch erlaubt, nur Buchstaben zu verwenden.

Das lässt aber noch einige wichtige Schwachstellen übrig:

• Alte Passwörter (also von Nutzern, die seit vielen Jahren hier sind) wurden nie auf ucentral überprüft. Ebenso können wir die Checks nicht wiederholen, wenn in einigen Jahren aufgrund der technischen Weiterentwicklung schärfere Qualitätsrichtlinien erforderlich sind.
• Passwörter wie "michael.1990", "hauptstrasse-17a" oder "blink182" können zwar die Bedingungen mit Mindestlänge und Ziffern erfüllen, sind aber trotzdem äußerst leicht von Angreifern zu erraten.

Aus diesem Grunde ist die Erst-Prüfung auf ucentral nicht ausreichend. Es ist also nötig, dass wir die bei uns gespeicherten Passwörter immer wieder auf Sicherheit prüfen. Dies ist natürlich nicht trivial, da wir Benutzerpasswörter aus Sicherheitsgründen nicht im Klartext (also unverschlüsselt) speichern.

Die geprüften Passwörter liegen ausschließlich als Hash vor. In unseren Checks wird versucht, ein Passwort zu finden, dessen Hash dem gespeicherten Passwort-Hash entspricht.

Das Verfahren versucht Passwörter mit unterschiedlichen Verfahren zu erraten:

• Regelbasiertes Raten anhand von Nutzerdaten
• Wortlisten
• Brute Force

Regelbasiertes Raten anhand von Nutzerdaten

Passwörter, die aus einer Kombination von Informationen bestehen, die dem Nutzer eindeutig zugeordnet werden können, gelten als anfällig und entsprechend unsicher. Deshalb wird geprüft, ob ein Passwort eine Zusammensetzung aus Vorname, Nachname, Geburtsdatum oder Login-Name des Nutzers besteht.

Wortlisten

Wortlisten und sogenannte Common Credentials sind Sammlungen von verbreiteten und häufig besonders schwachen Passwörtern und von Passwörtern, die nach einem IT-Angriff veröffentlicht wurden. Das eigene Passwort sollte auf keinen Fall in einer solchen Sammlung auftauchen. Um dies sicherzustellen, verwendet die RBG-Systemgruppe öffentlich zugängliche Wortlisten um Passwörter zu erraten.

Brute Forcen

Um Passwörter mit einer nicht ausreichenden Länge zu identifizieren, wird zusätzlich versucht Passwörter bis zu einer gewissen Länge per Brute Force zu erraten. Das bedeutet, dass alle möglichen Kombinationen von Zeichen durchprobiert werden.

Kennt die RBG-Systemgruppe jetzt mein Passwort?

Nein! Für das durchgeführte Verfahren werden nur die Hashs von Passwörtern verwendet. Passwörter, die zu einem geknackten Hash führen, werden sofort gelöscht. Die einzige Information, die gespeichert wird, ist, dass das Passwort eines Benutzers erraten werden konnte.

Risiken durch Passwort-Hashs, deren Format nicht dem Stand der Technik entsprechen.

Neben der Sicherheit des Passworts wird auch das Hashverfahren und das Format in dem der Hash gespeichtert wird geprüft.
Bei Passwörtern die über Jahre nicht geändert wurden, besteht die Möglichkeit, das diese in einem Format gespeicht sind, welches mittlerweile, gemäß dem Stand der Technik, nicht mehr als sicher gilt.
Auch in diesen Fällen wird ein Passwort als nicht sicher eingestuft.

Warum tut die RBG-Systemgruppe das?

Die Sicherheit unserer gemeinschaftlich genutzten IT-Landschaft basiert nicht zuletzt auf der Sicherheit unserer Nutzerkonten. Immer wieder kommt es durch gestohlene Passwörter zu ungewünschten Zwischenfällen, wie dem Versenden von Spam oder dem Auftauchen von RBG-Kennungen auf Listen geknackter Passwörter.

Die Passwort-Checks dienen außerdem dazu, die betroffenen Nutzer vor dem Verwenden zu schwacher Passwörter zu schützen.