Kleiner Exkurs zu PwdHash

Viele User nutzen aus Bequemlichkeit für verschiedene Webseiten im Netz immer wieder dieselbe E-Mail-Adresse und dasselbe Passwort. Wird nun die Datenbank eines Dienstes gehackt, kann sich der Angreifer mit den Zugangsdaten des Users bei anderen Diensten einloggen. In der Praxis werden die Passwörter zwar nicht im Klartext abgespeichert. Doch „schlechte“ Passwörter lassen sich schnell per Brute-Force-Angriff und Rainbow-Tables cracken. Pwdhash ist nun ein simples Verfahren, dass ausgehend aus der Domain des Dienstes und einem Masterpasswort ein individuelles Passwort für jede Webseite errechnet.

Aus der Domain „beispiel.de“ und dem Passwort „ganzgeheim“ wird so am Ende das Kennwort „ISXAKd2f3Bvq“. Ändert man die Domain oder das Passwort, ergibt sich automatisch ein neues Pwdhash-Passwort. Erweiterungen für Chrome und Firefox binden Pwdhash nun quasi nahtlos in die Eingabe von Passwörtern im Browser ein, sodass man kaum mehr Aufwand mit den sicheren Passwörtern hat. Weiterführende Informationen zu Pwdhash findet ihr in einem älteren Artikel von mir hier im Blog. In der Praxis hat sich seit 2006 eigentlich nichts geändert. Lediglich eine Erweiterung für Chrome/Chromium ist hinzugekommen.

Vortrag: Cracking PwdHash

Im Zuge meiner Recherche ist mir zudem der Vortrag „Cracking PwdHash: A Bruteforce Attack on Client-Side Password Hashing“ der an der University of Cambridge angesiedelten Forscher David Llewellyn-Jones and Graham Rymer untergekommen, den die beiden Anfang Dezember im Rahmen der Konferenz Passwords 2016 in Bochum gehalten haben. In knapp 40 Minuten legen die Forscher dar, wie sie am Beispiel von drei umfangreichen Leaks der letzten Jahre Pwdhash-gesicherte Passwörter cracken konnten — ohne dass Pwdhash einen wirklichen Schutz bot. Die Schwachstellen von PwdHash liegen zum einen am Verfahren selbst und zum anderen jedoch auch am User.

Pwdhash nutzt zum Erstellen der gehashten Passwörter lediglich HMAC-MD5 und verzichtet auf ein zusätzliches Salt. Zudem ist das vom User eingegebene Passwort auf real 22 Stellen limitiert und ein paar Eigenarten (etwa dass Passwörter mit einem Kleinbuchstaben am Anfang in einen Hash mit großen Anfangsbuchstaben resultierten, vice versa) erleichtern die Arbeit. Baut man in einen effektiven Passwort-Cracker wie Hashcat nun eine Routine ein, die die per Wörterbuch generierten Passwörter durch Pwdhash jagt, dann lassen sich auf einer nur 65 Cent/h teuren Amazon-EC2-Instanz stolze 2400 MH/s (Million Hashes pro Sekunde) errechnen und somit zu einfach gestrickte Masterpasswörter der User cracken.

Llewellyn-Jones and Rymer haben daher eine erweiterte Version von Pwdhash vorgestellt, die diese Schwachstellen behebt. Der Code ist auf Github zu finden, eine Demo-Implementation analog zur „original“ Pwdhash-Seite gibt es ebenfalls. Der Proof of Concept nutzt PBKDF2-SHA256, erlaubt Passwörter mit mehr als 22 Zeichen und lässt den User ein Salz definieren (das man natürlich auch immer wieder eingeben müsste, was sich jedoch durch Einsatz einer Browsererweiterung mit einer entsprechenden Option vermeiden ließe).

Bis dieser Ansatz bei Pwdhash (und den entsprechenden Browser-Erweiterungen) zum Einsatz kommt — wenn überhaupt — sollte man daher sehr genau darauf achten, dass man ein ordentliches Masterpasswort verwendet. Wer password oder qwertzuiop in Pwdhash als Masterpasswort eingibt, ist nicht sicherer unterwegs, nur weil das an beispielsweise google.de übermittelte Passwort MW7wFvVQST heißt.

Zudem sollte man sich öfters mal auf Have i been pwned oder kurz HIBP umsehen, ob die eigene E-Mail-Adresse in einem öffentlich gewordenen Hack auftaucht. Die Seite hat die Datenbanken von 168 (Stand heute) Webseitenleaks indexiert, sodass man sehr leicht nachprüfen kann, ob die eigene E-Mail-Adresse ins Visier von Hackern geraten sein könnte. Wer möchte, kann seine E-Mail-Adresse auch auf der Webseite registrieren und erhält automatisch eine E-Mail, sobald die Adresse in einem von HIBP indexierten Leak auftaucht.

Twitter, Jabbern und Skypen mit der WebOS Messaging App

Die in WebOS eingebaute Messaging-App finde von der Bedienung her gar nicht mal so schlecht. Allerdings kann man nur wenig Konto-Typen hinzufügen, nach AIM, Google, Skype und Yahoo ist Schluss. Unverständlich, wenn man bedenkt dass Google Talk ja nichts anderes als Jabber aka XMPP ist. Für Leute, die also einen richtigen Multimessenger brauchen um bspw. ihren eigenen Jabber-Account zu nutzen oder MSN vermissen, ist die eingebaute App also nicht ausreichend.

Von der Couch aus mit WordPress bloggen

Die aus dem App Catalog installierte offizielle WordPress-App finde ich ziemlich genial. Sie nutzt die praktischen Slider und das Benachrichtigungssystem von WebOS klasse aus. Von daher hat sich die Investition in das Tablet für mich als Blogger auf jeden Fall schonmal gelohnt. Ich bekomme jetzt viel schneller eure Kommentare mit und kann auch mal spontan über das Tablett antworten. Komplette Beiträge zu schreiben wäre natürlich auch möglich, doch das tue ich mir dann über die Bildschirmtastatur lieber nicht an.

Alle gängigen Radio-Stationen mit radio.de hören

Mit radio.de könnt ihr bequem zig Radiostationen aus aller Welt über das Tablet hören. Natürlich sind auch alle gängigen deutschen Sender mit von der Partie. Über einen Account in der App, könnte man sich einzelne Stationen als Favoriten ablegen, was ohne einen Account leider nicht möglich ist. Diesen „Accountzwang“ finde ich persönlich ein bisschen dämlich, doch über die Suche hat man schnell den gewünschten Sender gefunden.

Individuelle und sichere Passwörter mit PwdHash

Der Mensch ist ein faules Gewohnheitstier, von daher benutzt er gerne im Netz immer wieder ein und das selbe Passwort. Diese Faulheit machen sich dann auch die pösen Puben zu nutze, haben sie einmal eine gültige Kombination aus Accountname und Passwort, probieren sie diese auf anderen Seiten aus und werden nicht selten mit Erfolg belohnt. Von daher nutze ich persönlich schon lange pro Webseite ein individuelles Passwort wobei mir dabei PwdHash mächtig hilft. Neben Plugins für Chrome und Firefox, gibt es auch Apps für Android und eben auch WebOS.

Bequem TED Talks unter WebOS ansehen

TED Talks sind kurze Präsentationen über „Ideen, die es wert sind verbreitet zu werden“. Die Reden sind oft kurzweilig, interessant und manchmal auch spannend. Auf jeden Fall ist die App lohnenswert, da über sie die Talks bequem über das Tablet angesehen werden können.

Cloudspeicher mit box.net

Den Cloud-Speicherdienst Box.net hatte ich schonmal in einmal bei meinen erste Erfahrungen mit dem HP Touchpad und WebOS erwähnt. Besitzer eines Touchpad bekommen bei box.net aktuell noch einen Deal, so dass sie lebenslang einen kostenlosen Account mit 50GB Speicherplatz bekommen. Eigentlich ein ganz nettes Angebot, dass man dank WebDAV auch gut unter Linux nutzen kann.

Twittern und Denten mit Spaz HD

Ich dente und twittere ja bekanntlich unter @chrissss bzw. ChrisZwischert, von daher ist es mir wichtig dass „mein“ Twitter-Client eben kein reiner Twitter-Client ist, sondern auch mit Identi.ca umgehen kann. Spaz HD ist so ein Kandidat, man kann mehrere Accounts bei Twitter, Identi.ca oder auch beliebigen Status.net Installation einrichten. Der Client ist nicht gerade eine Rakete, doch man kann mehrere Timelines anzeigen lassen, diese beliebig anordnen und von der Bedienung her ist er toll gestaltet.

Mit dem KalemSoft Media Player alle gängigen Video-Formate abspielen

Noch ein kritischer Punkt bei WebOS ist das Abspielen von Multimedia-Inhalten. WebOS unterstützt von Haus aus nur H.264 und MPEG4/H.263 zum Decodieren von Inhalten. Man kann also nicht einach Videos auf das Gerät laden und mit dem WebOS Mediaplayer abspielen, da die benötigten Codecs fehlen. Man muss daher also entweder die Videos mit Handbrake für das Touchpad aufbereiten, oder man greift eben zu einem Player der schon automatisch alles Nötige mitbringt.

Plus One Button

Der +1 Button von Google macht zusammen mit Google+ ja so langsam Sinn. Präferierte Seiten werden so in den eigenen Suchergebnissen priorisiert. Allerdings bauen viele Webseiten solch einen Button gar nicht ein. Ist ja auch nicht weiter schlimm und bei weitem keine Pflicht für Webmaster. Aber wer als Besucher einer Webseite diese seine Bekannten empfehlen möchte, der kann mit dem Add-On auch beliebige Seiten +1en… Plus One Button im Chrome Webstore

AdBlock bzw. Adblock Plus

Ohne einen Adblocker macht das WWW leider keinen Spaß, bei mir wichtigen Webseiten deaktivierte ich ihn zwar gezielt, doch allzuviele Seiten nerven leider mit großformatigen Anzeigen, die den Inhalt verdecken usw. Chrome hatte leider lange keinen brauchbaren Adblocker, doch mit AdBlock und Adblock Plus (Vom Macher der gleichnamigen Firefox-Erweiterung) gibt es mittlerweile zwei brauchbare Kandidaten… Adblock bzw. Adblock Plus

Bit.ly

Wer in den Kurznachrichtennetzwerken Twitter oder Identi.ca unterwegs ist, der ist drauf angewiesen Links zu kürzen. Ich nutze dafür schon länger den Dienst von Bitly, mittlerweile auch mit einer eigenen Domain. Die von Bitly selber vertriebene Erweiterung bettet sich zum einen in das Kontextmenü beim Klick auf Links, sowie in das Menü als Icon ein. So kann man schnell Links per Bitly kürzen und bei Bedarf über den Button direkt als Twitter-Nachricht rausschicken… Bit.ly

Chromify-OSD

Diese Erweiterung ist speziell etwas für Linuxer. Über sie werden HTML5-Benachrichtigungen von Webseiten zum Benachrichtigungsdienst der Desktopumgebung umgeleitet. So wird man dann beispielsweise beim Eintreffen von Mails oder Chats in Gmail über diesen Event per Desktop-Benachrichtigung benachrichtigt. Im Screenshot seht ihr als Beispiel GNOME3, natürlich klappt das auch mit Alternativen wie Notify-OSD aus Ubuntus Unity-Shell…Chromify-OSD

RSS Subscription Extension

Irgendwie versuchen die Browser-Hersteller RSS-Feeds zu verstecken. Früher zeigte z.B. Firefox beim Besuch einer Webseite das typische RSS-Icon in der Browserzeile an. Mittlerweile muss man bei Firefox wie auch bei Chrome/Chromium selber auf der Seite nach einem Link zum Feed suchen. Mit der Erweiterung RSS Subscription Extension kommt man wieder zurück zum bewährten Verhalten, bietet eine Webseite Feeds an, so erscheint das Icon in der Adressleiste, über das man den Feed dann gleich in Google Reader, oder anderen webbasierten Feedreadern, abonnieren kann… RSS Subscription Extension

Hover Zoom

Diese Erweiterung ist ziemlich praktisch, wenn man öfters mal nach Bildern im Netz sucht. Sobald man über ein verlinktes Bild mit der Maus fährt, legt es sich in Originalgröße über die Seite. Besonders praktisch ist dies natürlich bei sozialen Netzwerken, sprich Facebook, Google+ und Co. Dort wird im Stream ja meist nur eine kleine Vorschau dargestellt, so kann man das komplette Bild ansehen, ohne die aktuelle Seite zu verlassen oder das Bild in einem neuen Tab zu öffnen… Hover Zoom

PwdHash port beta

PwdHash ist eine Erweiterung, auf die ich bei keinen Browser verzichten kann. Mit PwdHash lassen sich sichere, individuelle Passwörter für Webseiten erzeugen, ohne dass man auf einen aufwändigen Passwort-Manager zurückgreifen muss. PwdHash habe ich schon früher mit Firefox benutzt, daher kommt mir die Chrome-Variante recht gelegen. Und natürlich gibts auch eine Lösung für Androiden… PwdHash

SourceKit

Diese Erweiterung habe ich schon vor einiger Zeit einmal vorgestellt. ChromeKit ist ein Editor für Dropbox, mit dem man Texte direkt in der eigenen Dropbox bearbeiten kann. Ich finde das recht praktisch, da ich öfters mal auf verschiedenen Rechner arbeite, auf denen ich nicht den Dropbox-Client installieren möchte. Mit einem portablen Chrome auf einem USB-Stick kann man dann dennoch schnell seine Notizen machen und sie synchron halten… SourceKit

Vanilla Cookie Manager

Der Cookie Manager ist ebenfalls ein für mich essentielles Add-On. Wenn man eine Weile im Netz ist, dann fängt man sich Unmengen von Cookies ein. Chrome/Chromium hat zwar ähnlich wie der Firefox die Option Cookies beim Beenden des Browsers komplett zu löschen, doch es gibt mehrere Webseiten deren Cookies ich behalten möchte. Der Cookie Manager für Chrome verfügt nun über eine Liste an Domains, deren Cookies beim Beenden des Browser erhalten bleiben, alle anderen werden gelöscht… Vanilla Cookie Manager

Doch das Fehlen von mir wichtigen Erweiterungen hindert mich von Anfang an Chromium als echte Alternative zu Firefox zu betrachten. Das für mich wichtigste Add-On PwdHash, über das sich sichere und individuelle Passwörter in Webseiten eingeben lassen, fehlt mir doch merklich.

Kleiner Abstecher: PwdHash ist eine Methode individuelle und sichere Passwörter für Webseiten zu Generieren und Einzugeben, ohne dass man sich dabei komplizierte Passwörter merken müsste. Ich persönlich möchte ohne PwdHash gar nicht mehr auskommen. Weitere Informationen findet ihr im Beitrag: Sichere Passwörter für Webseiten mit PwdHash.

Seit einer Weile gibt es nun schon eine PwdHash-Erweiterung für Chromium, doch bislang war es mir nicht gelungen, sie fest in den Browser einzubinden. Die Erweiterung war immer nach einem Neustart des Browsers weg. Die permanente Installation ist eigentlich recht einfach. Man lädt das Archiv herunter, entpackt die TAR-GZ-Datei [1] und startet Chrome bzw. Chromium. Dort gibt man chrome://extensions als URL ein [2] und klickt auf Pack extension [3]. Im darauf folgenden Dialog muss man nun nur noch den Pfad zum vorhin entpackten Ordner angeben.

Dadurch wird im selben Verzeichnis eine Datei namens pwdhash-chrome.crx erzeugt. Dies ist die fertig verpackte Erweiterung. Nun gibt man in die Adresszeile von Chromium einfach einen Backslash \ ein und hangelt sich bis zur pwdhash-chrome.crx durch. Ein Klick auf die Datei installiert die Erweiterung. Das Vorgehen ist unter Windows identisch, allerdings kommt Ihr dort über die Eingabe von beispielsweise C: auf die Festplatte.

Kleiner Hinweis für Freunde des Fensters… Die aktuelle offizielle Version von Google Chrome besitzt noch keine Möglichkeit diese Erweiterung zu verwenden. Ihr braucht die Entwicklungsversion von Chrome, sprich Chromium. Geht daher auf dev.chromium.org und klickt unter Subscribing to a channel auf den Link zum Dev channel. Darüber wird dann Google Chrome zu Chromium aktualisiert.

Wer bis hierhin durchgehalten hat und keine Lust hat das Erweiterungs-Paket selber zu generieren, der kann die von mir erstellte Datei nutzen. Klickt einfach diesen Download an pwdhash-chrome.crx und schon wird PwdHash für Chrome/Chromium installiert.

Wer diesen Ratschlag beherzigt, muss sich heutzutage mitunter ein Dutzend oder noch mehr unterschiedliche Kennwörter merken – und hat unter Umständen schnell den Überblick verloren. Hilfe bieten Soft- und Hardware-Lösungen. Sie verwalten die verschiedenen Passwörter. Fraunhofer etwa bietet den, allerdings kostenpflichtigen, “ Password-Sitter“ an. Der Nutzer identifiziert sich bei den Lösungen über einen Fingerabdruck-Sensor oder ein einziges Master-Passwort. „Das Master-Passwort kann dann ruhig besonders lang und kompliziert sein. Man muss sich dann ja nur noch dieses eine merken.“

Schon vor über zwei Jahren hatte ich PwdHash empfohlen, für das es auch ein Firefox-Plugin gibt. Wäre schön, wenn freie quelloffene nicht-kommerzielle Dienste in den Redaktionen deutscher Zeitschriften ankommen würden und nicht immer wieder proprietärer Kram empfohlen würde…

Dann mach ich mal wieder Werbung für PwdHash: PwdHash bietet die Möglichkeit auf einfachem Weg für jede Webseite einmalige und sichere – weil mit Zahlen und Sonderzeichen versehene – Passwörter bequem, transparent, plattformübergreifend und zur Not ohne zusätzliche Software zu benutzen. Mehr dazu in diesem Artikel.

Aber was tun? Ein sicheres Passwort enthält Sonderzeichen, unterscheidet Groß- und Kleinschreibung ist garantiert in keinem Wörterbuch vertreten, doch 0aJ/4%(hGs$df“Y! kann sich niemand merken. Eine gute Möglichkeit sind die Anfangsbuchstaben der Wörter eines längeren Satzes zu nutzen. Also aus „Hinter den sieben Bergen sind die sieben Zwerge“ das Passwort „Hd7Bsd7Z“ zu bilden.

Doch auch hier stellt sich wieder das Problem, möchte man für jede Webseite ein eigenes Passwort nutzen hat man gegen die inflationäre Vergrößerung des eigenen Passwort-Pools zu kämpfen. Schließlich benutzt man doch immer wieder das eigene „sichere“ Passwort auf unterschiedlichen Webseiten und setzt sich der Gefahr aus, dass ein schwarzes Schaf unter den Webseitenbetreibern, das übermittelte Passwort in Klartext abspeichert und somit ein für möglicherweise weitere Webseiten gültiges Passwort besitzt.

Hier setzt die Open-Source Lösung PwdHash der Mitarbeiter Blake Ross, Dan Boneh und John Mitchell des Stanford Security Lab an. PwdHash ist eine Erweiterung für Internetbrowser wie Firefox, die das für eine Internetseite eingegebene Passwort zusammen mit der zugehörigen Domain automatisch in einen Hash-Code verwandelt.

Wie soll das Ganze nun funktionieren? Der User installiert das Plugin in seinen Browser und surft auf die die gewünschte Webseite (z.B. http://www.geheim.de), dort legt er sich einen neuen Account an, drückt jedoch vor der Eingabe des Passwortes „F2“ bzw. setzt vor das eigentliche Passwort zwei „@“ Zeichen.

Dies sagt dem Plugin, dass das eingegebene Kennwort als Hash übermittelt werden soll, woraufhin es aus der Domain „www.geheim.de“ und dem Passwort „ganzgeheim“ das für diese Kombination absolut einmalige Passwort „EBLc2MnbBd2y“ generiert und übermittelt.

Will man sich später wieder auf der Webseite einloggen muss man nicht dieses komplizierte Passwort eingeben, sondern drückt vor der Eingabe des Passwortes wieder „F2“ bzw gibt „@@ganzgeheim“ als Passwort an, was wieder PwdHash veranlasst den Hash zu übermitteln.

Möchte man existierenden Accounts mit besseren Passwörtern versehen, so loggt man sich einfach mit den bekannten Daten ein und ändert das Passwort, wobei man die schon genannten Methoden „F2“ bzw. „@@“ für das neue Passwort nutzt. Nach der Änderung ist das Hash-Passwort aktiv.

Sitz man also an einem Rechner auf dem ein Browser mit der PwdHash-Erweiterung installiert ist, muss man sich nur ein (oder natürlich auch mehrere) Passwörter merken, die als Grundlage für die Hash-Codes verwendet, nicht jedoch kryptische Zeichenfolgen. Man hat also ohne ein Quentchen Komfort zu verlieren, ein Höchstmaß an Sicherheit!

• A) Passwörter wie EBLc2MnbBd2y, die nur durch extreme Gewalt (sprich Rechenzeit) zu knacken sind
• B) Für jede Webseite ein eigenes Passwort

Was aber wenn man am Arbeitsplatz oder an der Universität in einem Rechnerpool sitzt und die Erweiterung nicht installieren kann? Für diesen Fall wurde die Webseite www.pwdhash.com eingerichtet.

Auf dieser Seite läuft ein JavaScript, in das man die gewünschte Webseite und das Passwort eingeben kann und so den Hash-Code erhält. Dieses Script läuft lokal auf dem Rechner des User, d.h. die Daten werden nicht an den Webserver übermittelt.

Aktuell berichtet der Heise-Newsticker über den kommerziellen Dienst passwordsitter.com. Von einem kommerziellen Dienst, der eine Closed-Source Lösung anbietet, kann man nur dringend abraten. Als Nutzer hat man keine Kontrolle was mit den eingegebenen Daten passiert. Daher sollte man solche Dienste auf keinen Fall nutzen.