1.5.1.1 Passwörter im Klartext

Passwörter und Benutzerkennungen zur Authentifizierung von Anwendern werden von einigen älteren Protokollen im Klartext übertragen. Diese Protokolle, zu denen FTPFile Transfer Protocol, Telnet, SMTPSimple Mail Transfer Protocol, POP3/IMAP, HTTPHyperText Transfer Protocol, wenn eine Authentifizierung erforderlich ist, und SNMPv1/SNMPv2 gehören, sollten daher nicht mehr oder nicht mehr ungeschützt eingesetzt werden.

Telnet sollte generell verboten werden und stattdessen nur noch SSHSecure Shell (Secure Shell) eingesetzt werden. Bei anderen (SMTP, POP3, IMAP, HTTP) sollte eine Kombination mit SSLSecure Sockets Layer/TLSTransport Layer Security durchgeführt werden.

SNMPSimple Network Management Protocol wird häufig benutzt, um Router und Switches im Netzwerk zu administrieren. Häufig wird dabei SNMPv1 oder SNMPv2 eingesetzt, das zwar einen sog. "Community String" als eine Art Passwort für alle kennt, der jedoch im Klartext übertragen wird. Häufig werden auch die Default-Einstellungen (typischerweise Community String "private" für Schreibzugriffe und Community String "public" für Lesezugriffe) beibehalten. Mit SNMPv3 wurde eine gutes Sicherheitskonzept eingeführt, welches jedoch verwaltet und auch von den Endgeräten unterstützt werden muss.

Neben der Übertragung von Passwörtern im Klartext stellt auch die Speicherung von Passwörtern im Klartext eine große Gefahr dar. Passwörter sollten daher nicht im Klartext, sondern als Hash-Werte abgelegt werden. Außerdem sollten "Salt" und "Pepper", bei der Speicherung von Passwörtern genutzt werden.

Aber auch bei Passwörtern, die als Hashes gespeichert werden, gibt es Angriffsmöglichkeiten, insbesondere wenn das Passwort im Klartext in einem Wörterbuch zu finden war. Hier können sog. Rainbow Tables genutzt werden, in den für viele mögliche Klartextpassworte die Hashes abgelegt sind. Solche Rainbow Tables findet man z.B. unter freerainbowtables.com und MD5 Passwort, Tools dazu heißen DistrRTgen oder Rainbow Crack.