Abo
  • Services:
Anzeige
Dan Kaminsky sieht das Internet als ganzes bedroht.
Dan Kaminsky sieht das Internet als ganzes bedroht. (Bild: Hanno Böck)

Sichere Passwörter sind schlecht zu merken

Anzeige

Neben den Entropieproblemen von Zufallszahlengeneratoren sieht Kaminsky aber noch ein weiteres ungelöstes Entropieproblem: Den Menschen vor dem Computer. Menschen können sich sichere Passwörter in aller Regel nicht merken, deshalb neigen sie fast immer dazu, unsichere Passwörter zu nutzen, die nur wenige Bit an Entropie haben. Die Programmierer machen es sich leicht: Sie schieben die Aufgabe, sich ein Passwort auszudenken, auf den Nutzer ab, damit können sie am Ende sagen, dass die Wahl eines schlechten Passworts durch den Nutzer nicht ihre Schuld ist.

Kaminsky bat Ryan Castellucci auf die Vortragsbühne, um ein Alternativkonzept zu Passwörtern vorzustellen. Castellucci hat ein Verfahren entwickelt, bei dem der Anwender sich statt Passwörtern einfache Sätze merken soll. Das System korrigiert dabei automatisch Tippfehler und Fehler in der Reihenfolge. Menschen seien eher in der Lage, sich solche Wortkombinationen zu merken.

Neben den Problemen mit Zufallszahlen und Entropie hat Kaminsky in seinem Vortrag weitere Sicherheitsprobleme im Internet angesprochen, die seiner Ansicht nach zur Zeit so dramatisch sind, dass sie die Existenz des Netzes als ganzes in Frage stellen könnten.

Zero-Day-Lücken in Browsern

Die Hersteller von Browsern kämpfen mit einer nicht endenden Serie von Zero-Day-Sicherheitslücken, die auf die Speicherverwaltung zurückzuführen sind. Meist handelt es sich um sogenannte Use-after-Free-Probleme: Ein Speicherbereich, der vorher durch ein Objekt genutzt wurde, wird von einem anderen Teil des Browsers ausgelesen und ausgewertet. Während Chrome und Microsoft bereits grundsätzliche Gegenmaßnahmen ergriffen hätten, sei die Speicherverwaltung von Firefox zur Zeit am problematischsten. Gemeinsam mit dem Informatikprofessor Emery Berger plant Kaminsky, eine verbesserte Speicherverwaltung für Firefox zu entwickeln. Zunächst könnte diese dann in Spezialanwendungen wie dem Tor-Browser oder der auf Sicherheit optimierten Tails-Distribution genutzt werden. Es werde allerdings laut Kaminsky schwierig, die Firefox-Entwickler davon zu überzeugen, sich von ihrer bisherigen sehr performant arbeitenden Speicherverwaltung zu verabschieden.

DDoS-Angriffe bedrohen das Internet

Als weiteres großes Problem sieht Kaminsky Denial-of-Service-Angriffe, die DNS-Server und andere Protokolle zur Verstärkung nutzen. Netzwerkprotokolle, die auf UDP basieren, schicken Antworten an gefälschte Pakete. Die Pakete enthalten als Absender-IP-Adresse die Adresse des Opfers. Für die Betreiber dieser Server ist nicht zu erkennen, dass es sich um gefälschte Pakete handelt. Eine Lösung des Problems ist ein Routingprotokoll namens BCP38. Allerdings hilft das nur, wenn ein Großteil der Netzwerke im Internet BCP38 einsetzt. Als schnelle Maßnahme sollten Betreiber von DNS-Servern die Funktion Response-Rate-Limiting (RRL) einschalten. Neben DNS gibt es weitere Protokolle, die für derartige Reflection-Angriffe anfällig sind, zuletzt wurde etwa NTP hierfür ausgenutzt.

Kaminsky erinnert sein Publikum daran, dass das Internet nicht der erste Versuch gewesen sei, ein weltweit vernetztes System wie das Internet zu schaffen. Es sei nur niemand vorher damit erfolgreich gewesen. Der Grund des Erfolges des Internets sei seine Offenheit. Wenn das Netz erhalten werden soll, müssten die wichtigen Sicherheitsprobleme gelöst werden, die es bedrohen. Das Internet habe in vielen Branchen für Disruptionen und Verwerfungen gesorgt. "Wir müssen davon ausgehen, dass viele ein Interesse daran haben, die Funktion des Internets zu stören", so Kaminsky.

 Dan Kaminsky: Sichere Zufallszahlen zum Standard machen

eye home zur Startseite
__destruct() 18. Aug 2014

Ich habe gerade danach gegoolet, wo diese Methode verwendet wird. Dabei habe ich...

Casandro 11. Aug 2014

Der Grund warum es unsicheren und sicheren Zufall auf heutigen Computer gibt ist, weil...



Anzeige

Stellenmarkt
  1. eins energie in sachsen GmbH & Co. KG, Chemnitz
  2. Software-Schmiede Vogler & Hauke GmbH, Neckarsulm
  3. Daimler AG, Affalterbach
  4. MCM Klosterfrau Vertriebsgesellschaft mbH, Köln


Anzeige
Spiele-Angebote
  1. 14,99€
  2. (-40%) 29,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  2. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  3. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  4. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  5. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  6. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  7. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  8. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen

  9. Rule 41

    Das FBI darf jetzt weltweit hacken

  10. Breath of the Wild

    Spekulationen über spielbare Zelda



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Erinnert an diesen neuen US-Tarnkappen...

    turageo | 23:21

  2. Re: Willkommen im Neuland

    My1 | 23:20

  3. Re: Rom Berlin 18h 39min

    Jossele | 23:15

  4. Re: Zugangsdaten weitergeben?

    mackes | 23:14

  5. Re: Vielleicht ist die Luft einfach raus?

    Compufreak345 | 23:13


  1. 18:27

  2. 18:01

  3. 17:46

  4. 17:19

  5. 16:37

  6. 16:03

  7. 15:34

  8. 15:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel