Förderjahr 2017 / Stipendien Call #12 / ProjektID: 2180 / Projekt: Automatisierte Generierung von personenbezogenen Passwortlisten
Das Thema war seit Sommer gefunden und die Ideen nicht enden wollend, aber eine große Frage blieb: Wo soll ich nur anfangen?
Nach einem unglaublich bereichernden netidee Open Source Community Camp 2017 mit unzähligen fachlichen Gesprächen und Ratschlägen von Wissenschafterinnen und Wissenschaftern mit deutlich mehr Erfahrung stand schnell fest, dass der erste Schritt “Recherche” lauten muss.
Doch machen wir kurz einen Schritt zurück und führen uns das Problem vor Augen, das mit dieser Diplomarbeit bearbeitet werden soll.
Das Problem
IT-Forensikerinnen und IT-Forensiker sehen sich durch die steigende Nutzung von Kryptographie verstärkt vor das Problem gestellt, die Beweise auf sichergestellten Datenträgern nicht auswerten zu können, da diese vom Besitzer verschlüsselt wurden. Um diese für die Aufklärung des Falles wichtigen Informationen wieder zugänglich zu machen, besteht oft keine andere Möglichkeit als das unbekannte Passwort zu erraten, was eine äußerst rechen- und damit zeitintensive Aufgabe bildet. Eine Alternative zu diesen Brute-Force-Attacken stellen Passwortlisten dar, die viele verschiedene relativ simple und damit unsichere Passwörter einbeziehen. In Kombination mit personenbezogenen Begriffen wie Namen, Orten oder Jahreszahlen, kann das durch die Arbeit entstandene Tool ein mächtiges Werkzeug für die IT-Forensik bilden.
Wie ist dein Passwort aufgebaut?
Bevor also fleißig nach persönlichen Informationen in sozialen Netzwerken gesucht werden kann, muss einmal herausgefunden werden, wonach wir eigentlich suchen. Diese Frage stellt sich ganz automatisch, wenn wir Überlegungen darüber anstellen, wie unsere Passwörter aufgebaut sind. Bestimmt hat jede und jeder eigene Strategien und Methoden, von denen manche sicherer und manche nicht so sicher sind. Im Grunde genommen lassen sich diese Herangehensweisen aber in etwa vier Kategorien einteilen:
Verwendung von Standardwörtern
Ein “Standardwort” ist in diesem Fall die deutsche Übersetzung des Fachbegriffs “Dictionary Word”, also einem Wort, das in einem Wörterbuch zu finden ist (z.B. “Roboter”). In weiterer Folge können diese Wörterbücher auch auf eine Person zugeschnitten sein. Sie enthalten dann also Wörter, die normalerweise nicht in normalen Wörterbüchern zu finden sind, wie etwa ausgefallenerHaustiernamen.
Substitutionen und/oder Ergänzungen
Dabei werden einzelne Zeichen durch ähnlich aussehende Zeichen (o/0, A/4, i/! usw.) ersetzt und/oder zusätzliche Zeichen an das Wort angehängt (z.B. “R0b0ter1337). Diese Methode wird oft gewählt, um ein Standardwort scheinbar sicherer zu machen.
Mnemonik
Mnemonik ist eine Methode, bei der lange leicht merkbare Sätze, wie zum Beispiel Sprichwörter, auf die Anfangsbuchstaben ihrer Wörter reduziert werden. Ein Beispiel für ein so erstelltes Passwort ist “WuptGoT,uw||ud”, das auf dem Satz “When you play the game of thrones, you win or you die.” aus der Serie “Game of Thrones” beruht. Das “y” von “you” wurde hierbei durch ein “u” ersetzt, da dies phonetisch betrachtet substituierbar ist. Zusätzlich wurde der Beistrich als Sonderzeichen eingefügt und das “or” durch einen doppelten senkrechten Strich ersetzt, da dies in vielen Programmiersprachen (z.B. Java, C, Perl, …) als ein logisches “Oder” interpretiert wird.
Zufallspasswörter
Wie sich noch in den folgenden Blogposts herausstellen wird, ist das sicherste Passwort jenes, das nicht einmal die Besitzerin oder der Besitzer selbst kennt. Wie soll das funktionieren? Mit der Unterstützung von Programmen die Passwörter verwalten - sogenannten Passwortmanagern. Dabei muss nur ein Masterpasswort gewählt werden, mit dem alle anderen Passwörter entschlüsselt werden können. Da an sie kein Anspruch auf leichte Merkbarkeit gestellt wird, können diese daher zufällig generiert werden und aus sehr vielen Zeichen bestehen.
Sonstige Strategien
Neben den oben erwähnten oft verwendeten Methoden Passwörter zu wählen, wurden bisher auch zwei ausgefallene unter die Lupe genommen. Eine davon beruht darauf, Emojis in Passwörter einzubeziehen oder diese gänzlich aus ihnen bestehen zu lassen.
Diese Erkenntnisse über den Aufbau von Passwörtern werden im Verlauf der Arbeit dazu genutzt, aus gesammelten personenbezogenen Wörtern mögliche Passwörter zu generieren.
Die ersten Schritte sind gesetzt! Wie sicher diese Methoden sind, wird sich in den nächsten Wochen herausstellen. Ich freue mich bereits darauf, weitere Aspekte dieses spannenden Themas zu erkunden und hoffe, dass ihr mich laufend dabei begleiten werdet!