Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.02.1987 - 

Schutz vor Dateneinsicht auf Mikrocomputern:

Password-Sicherung gegen PC-Spione

Seit die DV-Strategen als Endgeräte statt dummer Terminals zunehmend PCs einsetzen, wird Zugriffsschutz auf dem Mikrorechner ein immer wichtigeres Thema. Einige Hersteller bieten dafür bereits Passwordverwaltungs-Software an. Bernd Menne, DV-Leiter der Stadtwerke Düsseldorf, hat einige Produkte auf verschiedenen PCs getestet.

Die ersten MS-DOS Produkte sind Softwaretools; bei Enigma kommt eine Steckkarte hinzu; das fünfte ist ein Hardwareteil, das die Funktion eines elektronischen Schlosses übernimmt. Bezüglich der Software-Lösungen kann man folgende Eigenschaften generell zusammenfassen:

Es handelt sich um Password-Verwaltungen, die in unterschiedlicher Weise den Rechner gegen unbefugte Benutzung schützen sollen. Die drei letzten aus dieser Gruppe stellen zusätzlich eine Benutzerverwaltung bereit. In allen Fällen sind die entscheidenden Verwaltungsinformationen verschlüsselt, so daß ein Auslesen der Passwords nur mit erheblichem Aufwand möglich sein dürfte. Bei jedem Produkt führen Kalt- und Warmstart über das installierte System (hier Harddisk) zur Logon-Prozedur, wobei sich in einem Fall Umgehungsmöglichkeiten herausfinden ließen. Zur Pflege der Benutzerverwaltung ist in allen Fällen ein System-Manager oder Master-User notwendig, der Zugang zu allen Berechtigungen hat sowie die Paßworte vergeben und ändern kann (eine Ausnahme bildet Enigma).

Der Start der Prozeduren wird durch Eintragungen in die Config.- sys- und in die Autoexec.bat-Dateien gewährleistet. Bei PC+Softlock wird allerdings nur ein Treiber geladen und kein Logon verlangt. Ohne Logon werden aber auch keine Zugriffe auf geschätzte Daten freigegeben. Außer bei Safe-Men wird bei allen Produkten Netzwerkfähigkeit in den Beschreibungen zugesagt. Mit der gleichen Ausnahme, wird nach drei Fehl-Logons abgebrochen, und der Start muß neu begonnen werden, zum Teil mit Hilfe eines System-Users. Bei den Produkten, die einen Kryptographie-Algorithmus anbieten, fährt der Verlust der Schlüsselworte zu einem Datenverlust; bei Oculis und Clavis trifft dies generell für alle auf der Harddisk befindlichen Daten zu.

Oculis und Clavis von der IBD GmbH, Frankfurt, kontrollieren den Zugang zur PC-Festplatte. Oculis protokolliert darüber hinaus die Benutzeraktivitäten am Rechner. Beide Produkte unterstützen MS-DOS oder PC-DOS von 2.0 bis 3.1 und IBM-kompatible Festplatten, in der vorliegenden Version bis 20 MB. Der Schutz wird auf der Festplatte mit einer Installationsroutine aufgebracht, mittels derer in jedem Sektor eine Eintragung erfolgt. Zu Beginn der Handlung muß ein Password mit acht Stellen eingegeben werden, das aus allen 255 ASCII-Zeichen zusammengesetzt sein darf.

Für jeden Start wird die Oculis-Startdiskette benötigt; damit wird das Password abgefragt. Die De-Installation erfolgt bei Kenntnis des Passwords mit der gleichen Routine. Ohne diese Startdiskette und das Logon behandelt das System den Rechner wie eine reine Diskettenversion; die Platte ist weder physisch noch logisch ansprechbar.

Da nur ein einziges Password existiert, muß es von jedem Benutzer verwendet werden. Jeder Benutzer kann es auch unabhängig ändern, so daß es zu gegenseitigem Ausschluß von der Benutzung kommen kann.

Bei Oculis kann der System-Manager über ein eigenes Password eine Protokollierung der Aktivitäten einschalten und sie sich im DIF- oder dBase-III-Format, aber auch als kommagetrennte Datei, ausgeben lassen.

In welchem Umfang protokolliert wird, ist optional, kann also auf Befehle, Programme und/oder Dateien eingestellt werden. Als besondere Schutzmaßnahme ist zu werten, daß nach drei Fehl-Logons der Systembetreuer den Rechner neu starten muß. Im Betrieb traten Probleme mit der Parametereingabe, zum Beispiel bei dem "DIR"-Befehl auf, wenn die Protokolldatei einmal aufgerufen worden war. Ansonsten verhielt sich der Rechner einwandfrei. Weitere Ergebnisse des Tests von "Oculis" und "Clavis":

- Zusammen mit MS-Windows ergaben sich keine Schwierigkeiten.

- Unter "THE1-DIR" kann die verschlüsselte Datei mit Verwaltungsinformationen anzeigbar, allerdings nicht lesbar gemacht werden.

- Das Programm Fastback konnte die verschlüsselte Datei nicht lesen und mußte die Datensicherung abbrechen.

- Die Tests wurden auf einem IBM AT 02 durchgeführt, da sich bei anderen Rechnern Probleme mit größeren Platten oder mit MS-DOS 3.2 ergaben.

- Der Verlust des Passwords zieht den Verlust aller gespeicherten Informationen nach sich, so daß sich eine ständige Auslagerung empfiehlt.

PC+Softlock von der PCPlus GmbH, München, ist eine Benutzerverwaltung über Namen und Password. Ein Master-User richtet die Benutzer (maximal zehn) ein, vergibt oder ändert das Password und vergibt so die Zugriffsberechtigung oder widerruft sie. Er kann zwar das vom Benutzer vergebene Password nicht einsehen, kann es aber jederzeit überschreiben. Die Benutzer können ihre Passwords auch selbst verändern. Für die Arbeit mit geschützten Dateien muß das Password zunächst angemeldet werden. Der "Permit"-Befehl des Masters erlaubt dann den Zugriff auf Programme oder Systembefehle.

Dateien, welche ein Benutzer erstellt, gehören automatisch ihm, können aber anderen über "Permit"-Befehle zugänglich gemacht werden. Bei der Vergabe einer solchen Berechtigung kann unterschieden werden nach "Nur-Lasen", "system" oder "Lesen/Schreiben". Dieser Punkt ist bei der Installation der Systemdateien wie config.sys, command.com und autoexec.-bat, besonders wichtig, um eine Penetration durch einen Systemstart ohne PC+Softlock zu verhindern. Waren diese Dateien richtig schreibgeschützt und verborgen, so war eine unbefugte Löschug, Kopie oder Veränderung nicht möglich. Dies gilt sinngemäß für alle Benutzerfiles.

Dateien, auf die der Zugriff nicht erlaubt ist, werden bei allen Befehlen, mit denen sie angesprochen werden, als nicht vorhanden angegeben. Die Anzeigesperre konnte allerdings im Test mit Hilfe von "1DIR" aus dem Hause Bourbaki umgangen werden; zugegriffen werden konnte auf die Files aber auch weiterhin nicht. Mit dem "Attrib"-Befehl oder den Möglichkeiten anderer Programme wurde in einem Fall bei versuchtem "Copy" und dem Attribut "Lesen/Schreiben" die File-Allocation-Table zerstört. Die Zugriffsbeschränkungen wurden auch unter anderen Produkte voll durchgehalten.

Weitere Ergebnisse des Tests von "PC+Softlock":

- Die Password-Verwaltung wird durch den Benutzer und den Master-User vorgenommen. Ein Einblick durch Dritte ist durch Kryptographierung der Verwaltungsinformationen unmöglich gemacht.

- Eine Kriptographierung von Benutzerdaten ist laut Angabe nicht möglich.

- Nach drei Fehl-Logons wird die Sitzung abgebrochen; sie kann aber durch Warmstart wieder neu begonnen werden.

- Eine Protokollierung findet nicht statt.

- In der Demoversion waren, Subdirectories nicht anzeigbar. Auf dem Commodore PC40 konnten nach dem Laden des Treibers keine Disketten formatiert werden.

- Die Bedienung des Systems wird über default eingestellte Werte erleichtert. Es stehen standardmäßig zur Verfügung:

"SL (login)" für Login mit User-Namen und Password, "SL logout" zum Abmelden;

"SL liste" - für Benutzer: nur Master-User, für Dateien: alle User;

"SL paasw" - Master-User: alle Passwords, User: eigenes Password;

"SL permit" zur Vergabe von Zugriffen/Dateiattributen und

"SL user" für die Einrichtung von Usern (nur Master),

Die Kommandos können um Parameter, zum Beispiel bei Login um den Namen und das Password, ergänzt werden. Das geht auch mit Batch-Dateien; hierbei wird allerdings das Password angezeigt.

- PC+Softlock gibt zahlreiche Fehlermeldungen aus, die in einem Glossary gut beschrieben sind.