Aus Linux-Magazin 07/2015

My Passwords unter der Lupe

© Gleb Shabashnyi 123RF

Bei Tests landet My Passwords regelmäßig auf einem vorderen Platz. Eine Analyse fördert jedoch haarsträubende Sicherheitsmängel zu Tage.
My Passwords ist ein alter Bekannter unter den Passwortmanagern. Bereits 2010 kürte das englische “Linux Format Magazine” My Passwords zum Testsieger, knapp fünf Jahre später vergibt das deutsche Linux-Magazin vier Sterne. Grund genug für eine Sicherheitsanalyse.

Metadaten im Klartext

My Passwords [1] speichert die Daten des Nutzers in einer Derby-Datenbank. Apache Derby [2] ist schnell installiert und mit Hilfe des Tools »ij« lässt sich denn auch die Datenbank problemlos öffnen. Bis auf die Passwörter finden sich alle Daten im Klartext.

Das Werkzeug nutzt den Advanced En-cryption Standard (AES) zur Verschlüsselung der Passwörter. Fahrlässig ist dabei die Konstruktion des AES-Schlüssels: Er besteht zu gleichen Teilen aus den ersten acht Zeichen des Master-Passworts! Da es sich dabei in der Regel lediglich um eine leicht zu merkende Folge druckbarer Zeichen handelt, ist der Informationsgehalt (Entropie) des abgeleiteten Schlüssels begrenzt. Üblicherweise nutzt man hier stattdessen ein Verfahren wie PBKDF2 [3] oder Scrypt [4].

Angriff!

Die Passwörter füllt das Tool vor der Verschlüsselung auf, bis ein Vielfaches der AES-Blocklänge erreicht ist. Bei einem Angriff wird nun so lange entschlüsselt, bis ein Klartext gefunden ist, der nur aus druckbaren Zeichen besteht und zudem ein gültiges Padding besitzt.

Mit John the Ripper (JtR, [5]) und dem passenden Plugin kann ein Angreifer sodann gezielt potenzielle Schlüssel ausprobieren. Ein altes Netbook mit AMD-C-70-Prozessor bringt es bei zwei Einträgen auf gut 130000 Passwörter pro Sekunde, ein Intel Core i7 auf mehrere Millionen. Abbildung 1 zeigt eine erfolgreiche Session. Eine solche Brute-Force-Attacke könnte Monate dauern, mit etwas Glück ist sie aber – wie im Beispiel – schon nach 18 Minuten vorbei.

Abbildung 1: Ein erfolgreicher Angriff führte in diesem Beispiel nach 18 Minuten zum Ziel.

Abbildung 1: Ein erfolgreicher Angriff führte in diesem Beispiel nach 18 Minuten zum Ziel.

Infos

  1. My Passwords 2.95: http://mypasswords7.com
  2. Apache Derby: https://db.apache.org/derby/
  3. Password Based Key Derivation Function 2: http://de.wikipedia.org/wiki/PBKDF2
  4. Scrypt: http://www.tarsnap.com/scrypt.html
  5. John the Ripper (JtR): http://www.openwall.com/john/

Der Autor

Karsten Heinze befasst sich bei der Technisat Digital GmbH unter anderem mit der Sicherheit eingebetteter Systeme.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben