Abo
  • Services:
Anzeige
Dan Kaminsky sieht das Internet als ganzes bedroht.
Dan Kaminsky sieht das Internet als ganzes bedroht. (Bild: Hanno Böck)

Sichere Passwörter sind schlecht zu merken

Anzeige

Neben den Entropieproblemen von Zufallszahlengeneratoren sieht Kaminsky aber noch ein weiteres ungelöstes Entropieproblem: Den Menschen vor dem Computer. Menschen können sich sichere Passwörter in aller Regel nicht merken, deshalb neigen sie fast immer dazu, unsichere Passwörter zu nutzen, die nur wenige Bit an Entropie haben. Die Programmierer machen es sich leicht: Sie schieben die Aufgabe, sich ein Passwort auszudenken, auf den Nutzer ab, damit können sie am Ende sagen, dass die Wahl eines schlechten Passworts durch den Nutzer nicht ihre Schuld ist.

Kaminsky bat Ryan Castellucci auf die Vortragsbühne, um ein Alternativkonzept zu Passwörtern vorzustellen. Castellucci hat ein Verfahren entwickelt, bei dem der Anwender sich statt Passwörtern einfache Sätze merken soll. Das System korrigiert dabei automatisch Tippfehler und Fehler in der Reihenfolge. Menschen seien eher in der Lage, sich solche Wortkombinationen zu merken.

Neben den Problemen mit Zufallszahlen und Entropie hat Kaminsky in seinem Vortrag weitere Sicherheitsprobleme im Internet angesprochen, die seiner Ansicht nach zur Zeit so dramatisch sind, dass sie die Existenz des Netzes als ganzes in Frage stellen könnten.

Zero-Day-Lücken in Browsern

Die Hersteller von Browsern kämpfen mit einer nicht endenden Serie von Zero-Day-Sicherheitslücken, die auf die Speicherverwaltung zurückzuführen sind. Meist handelt es sich um sogenannte Use-after-Free-Probleme: Ein Speicherbereich, der vorher durch ein Objekt genutzt wurde, wird von einem anderen Teil des Browsers ausgelesen und ausgewertet. Während Chrome und Microsoft bereits grundsätzliche Gegenmaßnahmen ergriffen hätten, sei die Speicherverwaltung von Firefox zur Zeit am problematischsten. Gemeinsam mit dem Informatikprofessor Emery Berger plant Kaminsky, eine verbesserte Speicherverwaltung für Firefox zu entwickeln. Zunächst könnte diese dann in Spezialanwendungen wie dem Tor-Browser oder der auf Sicherheit optimierten Tails-Distribution genutzt werden. Es werde allerdings laut Kaminsky schwierig, die Firefox-Entwickler davon zu überzeugen, sich von ihrer bisherigen sehr performant arbeitenden Speicherverwaltung zu verabschieden.

DDoS-Angriffe bedrohen das Internet

Als weiteres großes Problem sieht Kaminsky Denial-of-Service-Angriffe, die DNS-Server und andere Protokolle zur Verstärkung nutzen. Netzwerkprotokolle, die auf UDP basieren, schicken Antworten an gefälschte Pakete. Die Pakete enthalten als Absender-IP-Adresse die Adresse des Opfers. Für die Betreiber dieser Server ist nicht zu erkennen, dass es sich um gefälschte Pakete handelt. Eine Lösung des Problems ist ein Routingprotokoll namens BCP38. Allerdings hilft das nur, wenn ein Großteil der Netzwerke im Internet BCP38 einsetzt. Als schnelle Maßnahme sollten Betreiber von DNS-Servern die Funktion Response-Rate-Limiting (RRL) einschalten. Neben DNS gibt es weitere Protokolle, die für derartige Reflection-Angriffe anfällig sind, zuletzt wurde etwa NTP hierfür ausgenutzt.

Kaminsky erinnert sein Publikum daran, dass das Internet nicht der erste Versuch gewesen sei, ein weltweit vernetztes System wie das Internet zu schaffen. Es sei nur niemand vorher damit erfolgreich gewesen. Der Grund des Erfolges des Internets sei seine Offenheit. Wenn das Netz erhalten werden soll, müssten die wichtigen Sicherheitsprobleme gelöst werden, die es bedrohen. Das Internet habe in vielen Branchen für Disruptionen und Verwerfungen gesorgt. "Wir müssen davon ausgehen, dass viele ein Interesse daran haben, die Funktion des Internets zu stören", so Kaminsky.

 Dan Kaminsky: Sichere Zufallszahlen zum Standard machen

eye home zur Startseite
__destruct() 18. Aug 2014

Ich habe gerade danach gegoolet, wo diese Methode verwendet wird. Dabei habe ich...

Casandro 11. Aug 2014

Der Grund warum es unsicheren und sicheren Zufall auf heutigen Computer gibt ist, weil...



Anzeige

Stellenmarkt
  1. Werner Sobek Group GmbH, Stuttgart
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. MEMMERT GmbH + Co. KG, Schwabach (Metropolregion Nürnberg)
  4. Syna GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...
  2. 11,18€ + 5,00€ Versand
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

  1. Re: Machen wir doch mal die Probe aufs Exempel

    ML82 | 21:33

  2. Re: Siri und diktieren

    Stereo | 21:29

  3. Re: Also so eine art Amerikanischer IS Verschnitt...

    SanderK | 21:21

  4. Re: Akito Thunder 2 + Macbook

    Mixermachine | 21:13

  5. Re: Spulenfiepen!?

    strike | 21:10


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel