Passwort

Das WLAN ist für viele zur drahtlosen Schnittstelle zum Internet geworden und wenn man sein Passwort mit niemanden teilt, dann ist das doch auch alles sicher, oder? Wer auf eine Verschlüsselung mit WPA oder WPA2 setzt, der wird durch diesen Artikel eventuell des besseren belehrt, denn wir knacken das WPA-Kennwort eines WLANs.

Das ganze machen wir mit einem kostenlosen Open-Source Tool mit dem Namen Reaver. Dieses kann die meisten WLAN-Router knacken und das WPA oder WPA2-Passwort knacken. Natürlich werden wir auch untersuchen, wie man sich vor einem Angriff vor Reaver schützen kann und sein eigenes WLAN damit gegen solche Angriffe absichert. Natürlich sollte man das Wissen aus diesem Artikel nicht dafür verwenden fremde WLANs zu knacken, denn das ist nicht nur schlecht fürs Karma, sondern meist auch illegal.

Wer ist schuld?
Eins der am häufigsten auftretenden Probleme für Web-Designer ist es dem Benutzer den Zutritt zur Seite zu gewähren ohne Eingabe von Passwort und Login, diesen jedoch trotzdem zu autorisieren.

Einige Beispiele dazu:

• Ein Aktivierungslink für ein Account für einen Benutzer, der sich gerade erst registriert hat.
• Link um das Passwort wiederherzustellen
• Die Rückkehr, bzw. Einladung für einen Benutzer, der lange nicht mehr auf der Seite war.

Für jeden dieser Fälle müssen wir für den Benutzer eine Art Kennung schaffen und diese in die URL einfügen, die mit der Mail an ihn gesendet wird.

Normalerweise sollte diese Kennung folgende Eigenschaften besitzen:

• einmalig
• sicher
• schwer (unmöglich) zu fälschen
• nicht allzu lang

Ich habe eine Reihe von Möglichkeiten gesehen (oder bin auch manchmal selbst dazu übergegangen) die darauf aufbauen in die Datenbank ein zusätzliches Datenfeld, oder eine ganze Tabelle einzufügen, die diese generierten Kennungen zusammen mit zusätzlichen Informationen speichert. Das erlaubt es den Benutzer einzuloggen, wenn er mit dieser Kennung die Seite besuchen will. Diese Kennung bekommt man meist mithilfe einer Hashfunktion.

Tausende Verbraucher setzen sich der Gefahr von Betrug und Identitätsdiebstahl aus, weil die Kürze und Einfachheit ihrer Online Passwörter sie anfällig machen für einfache Brute-Force Attacken.

Das ist die Schlussfolgerung eines neuen Berichts vom Datenschutzexperten Imperva. Es wurde herausgefunden, dass ein Drittel der Leute Passwörter wählt, die aus sechs oder weniger Zeichen bestehen. Während 60% Passwörter nur aus alphanumerischen Zeichen bestehen.