Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Schönes Beispiel, wie wichtig sichere Passwörter sind

Schönes Beispiel, wie wichtig sichere Passwörter sind

Marcel_75@work
Marcel_75@work05.07.1114:40
Habe gerade mit John the Ripper (Jumbo Patch) getestet, wie lange er bei einem relativ einfachen Benutzer-Passwort (sicher1) aktuell benötigt, es zu knacken:

1. GUID ermittlen:

dscl localhost -read /Search/Users/test | grep GeneratedUID | cut -c15-

0FB547B8-1FEC-4621-9604-FBEB50CB3A21

2. SHA1 hash extrahieren

sudo cat /var/db/shadow/hash/0FB547B8-1FEC-4621-9604-FBEB50CB3A21 | cut -c169-216

AB24FE9FF609BF24E18C7838BF6F64ECF0C67BF75692E51B

3. Eine Textdatei mit dem Usernamen und dem Hashwert erstellen und "john" darauf los lassen:

/Users/Shared/John_TEST/run/john /Users/Shared/sha1.txt

Loaded 1 password hash (Mac OS X 10.4+ salted SHA-1 [32/64])
sicher1 (test)
guesses: 1 time: 0:00:04:32 (3) c/s: 2575K trying: sicher1


Es brauchte wie man sieht nicht einmal 5 Minuten!

Wie ich finde ein sehr schönes Beispiel um zu zeigen, dass man auf jeden Fall Passwörter mit einer Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern benutzen sollte!
0

Kommentare

Marcel_75@work
Marcel_75@work05.07.1115:40
PS: Eventuell wäre auch noch wichtig zu wissen, dass das Auslesen der GUID und die Ermittlung des dazugehörigen SHA1 hash auch im SingleUserMode möglich ist, der Befehl muss nur leicht abgewandelt werden!

dscl localonly -read /Local/Default/Users/test GeneratedUID | cut -c15-
0
Krisse05.07.1115:56
Hast Du das einfach im Terminal eingegeben oder hast Du dafür noch ein zusätzliches Programm oder so gebraucht?

Ich halte es so, dass ich einen Kennwortstamm aus den von Dir genannten Groß- und Kleinbuchstaben und Ziffern habe, welcher durch einen individuellen Code für die unterschiedlichen Dienste ergänzt wird. Auf Sonderzeichen habe ich verzichtet, weil ich verhindern wollte, dass ich meinen Kennwortstamm irgendwann bei einer Seite mal nicht verwenden kann, weil das oder die Sonderzeichen nciht unterstützt werden. Und bei der Masse an Diensten, die sich so ansammeln hielt ich das für sehr wahrscheinlich.

Ciao Krisse
0
_mäuschen
_mäuschen05.07.1116:19

Das ging ja schnell

john test.ash
Loaded 1 password hash (Mac OS X 10.4+ salted SHA-1 [32/32])
test23 ( ? )
guesses: 1 time: 0:00:00:01 (3) c/s: 356762 trying: test23


Aber an meinem Admin Passwort arbeitet john nun schon über eine Stunde
und wer weiss wie lange das noch dauert.

0
Duck Dodgers05.07.1116:51
Interessant und hoffe, dass nun einige Ihr Passwort ändern Werde es mal ausprobieren, ob er meins findet ... ich bezweifle es
0
julesdiangelo
julesdiangelo05.07.1117:09
Wichtig ist noch zu erwähnen, dass man bei jedem Dienst auch wirklich ein anderes Passwort haben sollte.

Gibt genug Shops die z.B. abchecken ob das Email/Paypal Passwort das gleiche ist wie das des Shops.
Ob absichtlich oder gehackt sei dahingestellt.

Ein Merksatz mit einer Veränderlichen für den Dienst, davon jeweils die Anfangsbuchstaben.
Ersetzungen wie
nicht #
ein 1
ein ! am Ende

Und schon hat man ein tolles Passwort, für welches man sich genau einen Satz merken muss und an einer Stelle einfach den Anfangsbuchstaben des Dienstes bei dem man sich gerade einloggen will einsetzt.


Bsp:

Das ist ein superduper Passwort für xxx !

Di1sPfM!

Das wäre das Passwort für MTN

Di1sPfP!

Das wäre das Passwort für Paypal.

Di1sPfR!

Das wäre das Passwort für den Root-Account.

In diesem Fall sind es nur 8 Zeichen, aber ich würd gern wissen, wie lang John dafür benötigt.
„bin paranoid, wer noch?“
0
snowman-x05.07.1117:27
coole idee
0
Mr. Fuchs
Mr. Fuchs05.07.1117:38
Bei meinen 21 Stellen kann der John lange knobeln...
0
Marcel_75@work
Marcel_75@work05.07.1119:01
Krisse
Hast Du das einfach im Terminal eingegeben oder hast Du dafür noch ein zusätzliches Programm oder so gebraucht?

Das Auslesen der GUID und die Ermittlung des SHA1 Hash funktioniert mit Mac OS X Bordmitteln.

Das knacken des Passwortes kann dann auf einem beliebigen Rechner erfolgen, das einzige was man da dann noch benötigt ist ein Tool wie "jack" (siehe Link ganz oben).

0
WALL*E
WALL*E05.07.1119:24
julesdiangelo

Den Spaß an solchen Systemen verderben einem nur die Anbieter, die eine Obergrenze für die PW-Länge haben wie bsp. Adobe (12 Zeichen) oder Skype (20 Zeichen). Was zur Hölle soll das?!
0
_mäuschen
_mäuschen05.07.1119:26

Erstaunlich was ein x ausmachen kann (s.o.)

john test.ash
Loaded 1 password hash (Mac OS X 10.4+ salted SHA-1 [32/32])
test23x ( ? )
guesses: 1 time: 0:02:52:32 (3) c/s: 1265K trying: test23x

0
sadf432f05.07.1119:37
Auf die Gefahr hin, dass ich was nicht verstanden habe:

Für den SHA1 Hash muss ich doch das Passwort eingeben, welches ich rausfinden möchte, oder?

Oder kann ich den Schritt auch an einem anderen Rechner machen?
0
blackadder
blackadder05.07.1119:39
Sonderzeichen, zumindest auf der Tastatur die über den Ziffern, wäre auch nicht schlecht, nur leider werden diese gerade von den Seiten die besonders auf Sicherheit achten sollten nämlich Versicherungen und Banken meistens nicht erlaubt. Ärgert mich immer wieder.
0
Marcel_75@work
Marcel_75@work05.07.1119:46
Marcel_75@work
Das knacken des Passwortes kann dann auf einem beliebigen Rechner erfolgen, das einzige was man da dann noch benötigt ist ein Tool wie "jack" (siehe Link ganz oben).

Ob das wirklich auf einem anderen Rechner funktioniert, muss ich zugegebenermaßen erst noch einmal überprüfen, war eventuell ein Schnellschuss...

0
Marcel_75@work
Marcel_75@work05.07.1123:08
Marcel_75@work
Marcel_75@work
Das knacken des Passwortes kann dann auf einem beliebigen Rechner erfolgen, das einzige was man da dann noch benötigt ist ein Tool wie "jack" (siehe Link ganz oben).

Ob das wirklich auf einem anderen Rechner funktioniert, muss ich zugegebenermaßen erst noch einmal überprüfen, war eventuell ein Schnellschuss...

Ok, habe das jetzt noch einmal überprüft: Man kann, wenn man erst einmal den Benutzernamen und den dazugehörigen SHA1 Hash hat, auf einem beliebigen anderen Rechner in aller Seelenruhe das Passwort knacken lassen.

0
sadf432f05.07.1123:29
Aber wie komme ich denn an den Hash, wenn ich dafür sudo brauche?
0
julesdiangelo
julesdiangelo05.07.1123:40
Single User Mode
„bin paranoid, wer noch?“
0
sierkb06.07.1100:22
Thematisch passend dazu auch:

Dave Dribin: How Mac OS X Implements Password Authentication, Part 2
Dave Dribin: How Mac OS X Implements Password Authentication, Part 1

heise security: Cracker-Bremse
Passwörter unknackbar speichern , Druck-Version:
0
Marcel_75@work
Marcel_75@work06.07.1111:04
smfoo
Aber wie komme ich denn an den Hash, wenn ich dafür sudo brauche?

Nicht missverstehen, so lange ein Angreifer nicht mindestens Administrator-Rechte erlangt (und damit bekommt er ja über sudo leicht auch root-Rechte), kommt er nicht an die SHA-1 Hashwerte, da das Verzeichniss "shadow" natürlich entsprechend geschützt ist.

Aber natürlich gibt es immer wieder Sicherheitslücken, bei denen z.B. ein "privilege escalation" genau das ermöglicht …

Außerdem müsste diese Sicherheitslücke dann aber auch noch "von außen" (also per Internet bzw. Netzwerk) ausnutzbar sein, damit es wirklich gefährlich wird.

Vielleicht hat ja jemand hier im Forum den Überblick, ob es seit 10.0.0 überhaupt schon einmal eine Lücke in Mac OS X gab, die ermöglichte, remote root-Rechte zu erlangen? Dazu muss man fairerweise aber auch noch die Angriffsvektoren "Flashplayer-PlugIn", "Browser" (z.B. Firefox oder Chrome) etc. im Auge haben.

Gefährlich ist eben, wie ja auch julesdiangelo schon anmerkte, der SingleUserMode!

In dem Zusammenhang sollte man überdenken, ob man dem Schlüsselbund nicht lieber ein Passwort unabhängig vom Anmelde-Passwort des Benutzers gibt!

@sierkb: Kenne den heise-Artikel, wenn ich mich recht entsinne, müssten solche Techniken aber wenn schon von Apple in das System implementiert werden, oder irre ich mich?

War auf alle Fälle überrascht, wie einfach sich das Passwort (trotz salt) knacken lässt …
0
Marcel_75@work
Marcel_75@work16.08.1110:41
Für 10.7 Lion gibt es übrigens auch ein interessantes Tool - DaveGrohl:

Es kann auch den Hash extrahieren, so dass man alternative Tools wie oben genanntes John the Ripper nutzen kann.
0
Marcel_75@work
Marcel_75@work16.08.1110:57
PS: Natürlich kann man auch in Lion den Hash-Wert direkt im Terminal extrahieren (als root bzw. per sudo):

dscl . -read /Users/<Username> ShadowHashData | cut -f9-25 -d" " | cut -f3 -d ":" | tr -d ' '
0
SPmaniac
SPmaniac16.08.1112:33
0
fluppy
fluppy16.08.1112:51
SPmaniac, gut zu wissen, danke.
0
Sascha77
Sascha7716.08.1113:17
SPmaniac, genau darauf wollte ich auch gerade hinweisen!

Zeigt schön, dass diese ganzen kryptischen Sonderzeichen im Kampf gegen automatische Passworträuber kaum was bringen. Aber man selbst kann sie sich kaum merken!

Was zählt, ist einfach die Anzahl der Zeichen-Kombinationsmöglichkeiten. Also besser eine längere Aneinanderreihung von normalen Wörtern, die man gut im Kopf behält.
0
Marcel_75@work
Marcel_75@work16.08.1113:49
In dem Zusammenhang sei auch auf diesen Artikel verwiesen:
0
Marcel_75@work
Marcel_75@work16.08.1115:06
Und eine kontroverse Diskussion zum Thema gibt es dank dieser Seite …
0
Marcel_75@work
Marcel_75@work22.08.1117:39
MacMark hat übrigens vor wenigen Tagen einen interessanten Artikel zum Passware Kit Forensic veröffentlicht:



Bei mir ist das Passwort im 8.59 GB großen RAM dump file sogar mehr als 30 mal vorhanden …

Da kann man eigentlich nur hoffen, dass Apple das Problem auch wirklich ernst nimmt und das möglichst zeitnah fixt.

0
Marcel_75@work
Marcel_75@work16.03.1211:19
Marcel_75@work
Wie ich finde ein sehr schönes Beispiel um zu zeigen, dass man auf jeden Fall Passwörter mit einer Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern benutzen sollte!

Vielleicht sollte man an dieser Stelle noch einmal ergänzen, dass vor allem auch die Länge des Passwortes einen entscheidenden Einfluss auf die Sicherheit hat.

0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.