Ihr Passwort: Das größte Sicherheitsrisiko

„Die menschlichen Beschränkungen, sich an etwas genau zu erinnern, stehen in direktem Konflikt mit den Anforderungen an gute Passwörter“, schrieben Rachna Dhamija und Adrian Perrig, Studenten an der University of California in Berkeley, kürzlich in einem Aufsatz, der sich mit der Möglichkeit eines graphischen Passwortsystems mit dem Namen Deja Vu beschäftigte.

Dhamija und Perrig wie auch andere Forscher versuchen, sich zunutze zu machen, dass User sich an Bilder erinnern können, anstatt Zeichenfolgen auswendig zu lernen. Deja Vu stellt Sammlungen von digitaler Kunst zusammen, aus denen User verschiedene Kombinationen wählen. Dann trainiert das System den User, sich an diese Kombinationen zu erinnern.

Auch Forscher bei Microsoft, Lucent Technologies, an der New York University und an der University of Virginia arbeiten an graphischen Passwörtern.

Solche Systeme haben aber auch ihre Probleme. Obgleich ein solches Passwort willkürlicher ist als eines, dass aus Zeichen besteht, muss das Training an einem geheimen Ort geschehen oder Dritte können die Sequenz der Bilder sehen, aus denen das Passwort besteht. Außerdem sind es dieselben Merkmale, die es für den User einfacher machen, auch die, die es für den nicht so freundlichen Kollegen einfacher machen sie zu kopieren, wenn er ihm über die Schulter schaut, sagt Chris Wysopal, Director of Research and Development der Firma für digitale Sicherheit @Stake.

„Bilder kann man sich einfacher merken, als Tastatur-Passwörter“, sagt Wysopal, und fügt hinzu, dass die Art und Weise, wie diese Passwörter auf dem Computer gespeichert werden, sie gleichzeitig anfälliger für Hacker-Attacken macht.

Während die Forschung sich darauf konzentriert hat, neue Arten von Passwörtern zu entwickeln, versuchen Firmen, das Problem mit Software zu lösen, mit der einziges gutes Passwort alle Dienstleistungen in einem Netzwerk bedient. Dadurch dass User sich nur ein einziges Passwort merken müssen, fällt die Verantwortung für Sicherheit an die Administratoren, die die User zwingen müssen, ein gutes Passwort zu wählen und häufig zu ändern. Dieses System hat natürlich auch Nachteile. Ein Hacker, der einem User ein einziges Passwort abschwatzen kann, hat Zugang zu allem, wozu diese Person Zugang hat. Deswegen haben viele nervöse Firmen eine sogenannte Zweifaktoren-Authentifizierung, wo der zweite Faktor eine Chip-Karte oder Biometrie ist. Für besonders Sicherheitsbewusste gibt es auch Dreifaktoren-Authentifizierung.

„Wenn Sie wirkliche Hochsicherheit wollen“, sagt Evans von der University of Virginia, „dann können die Leute ihren Zugang mit etwas bestätigen, was sie wissen, z.B. einem Passwort, mit etwas, was sie haben, z.B. einer Chip-Karte, und mit etwas, was sie sind, z.B. durch Biometrie.“

Da Fingerabdruck-Scanner und Chip-Karten-Lesegeräte noch nicht allgemein üblich sind, ist solche Technik noch keine sofortige Lösung, sagt Chris Christiansen, eine Analytiker bei der Marktforschungsfirma IDC.

„Es gibt eine große, große Anzahl von Alternativen zu Passwörtern“, sagt er. „Aber niemand denkt, dass Passwörter ganz verschwinden werden.“ Bis bessere Alternativen üblich sind, bleiben die User – und ihre Passwörter – die größte Schwachstelle.

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Ihr Passwort: Das größte Sicherheitsrisiko

Kommentar hinzufügen
  • Am 26. November 2006 um 15:34 von Uwe Liwowski

    Sicherheit??
    Man sollte mal darüber nachdenken, ob es nicht mit einer Chipkarte, deren Aktivierung sofort ein neuer Schlüssel zur Folge hat, getan ist. Mehrere Faktoren sind so möglich:
    1. Die Kompromittierung des Systems/ Netzwerk ist auf das Einloggen zurückzuführen, da nur die Original- Karte oder der Klon der Karte den Zugang erlaubt. Bei Einsatz eines Klons kommt die Originalkarte nicht mehr in das Netz, der Code gibt aufschluß, ab wann ein Klon eingesetzt wurde. Bei Diebstahl ist halt der Tag des Diebstahls ausschlaggebend.
    2. Das Kennwort kann beliebig lang sein – etwa Schillers Glocke mit Rechtscgweibfehlern, ich meine, das sollte reichen, um jedes Programm verzweifeln zu lassen.
    3. Ein ganz einfacher Vergleich: Der Haustürschlüssel ändert sich nie, aber er kann nachgemacht werden. Benutzt man aber jeden Tag ein anderes Schloß – wie lange braucht ein Dieb, um einzubrechen?

    Anstatt also dem Anwender das Feld zu überlassen und zu sagen, merk dir dein Passwort, sollte der Admin den Anwender entmündigen und ihm etwas an die Hand geben, um mit einem Handgriff das Feld der Paßwörter zu öffnen und die Paßwörter fast unmöglich zu merken sind.
    Da Chipkarten mit bis zu einem GB zu haben sind, sollte es schon möglich sein, ein 4KB großes Paßwort zu benutzen, bei den Einlesegeschwindigkeiten der Chipdaten ist das immer noch schneller als von Hand einzugeben bei 14 Bustaben/Zahlen.

    Übrigens: Windows benutzt seid jeher schon 14 Zeichen, jedenfalls bis NT4, ob Windows XP oder 2000 das macht, habe ich noch nicht ausprobiert. Aber warum nur so kurz?

    • Am 20. Januar 2007 um 22:25 von Christian Schuglitsch

      AW: Sicherheit??
      Jedes Auto-Radio läst die ersten 3 Code-Versuche sofort hintereinander zu, bei noch mehr Versuchen gibt es Sperren von 5 und später auch 30 min, danach sogar von einem Tag. Über den Zeitfaktor und eine automatische Administratorbenachrichtigung bei offensichtlichen Bruteforce-Attacken lässt sich schlimmeres verhindern. Allerdings ist für die Dauer der Sperre auch der Administrator ausgesperrt, wobei man auch diverse Hintertürchen einbauen kann. Wenn der 100MBIt-Backbone als Einfallstor herhält und gesperrt wird, kann man noch mit ISDN eine RAS-Einwahl organisieren.Ein Angreifer könnte nur schlecht eine der zulässigen MSNs in der CallerID vorgaukeln, weil man dann das ISDN-Netz manipulieren müsste.
      Für’s Homebanking benutze ich auch kein einfaches PIN/TAN-Verfahren sondern seit 6 Jahren HBCI.
      In den Bankfilialen werden Mäuse mit Fingerabdrucksensor verwendet. Vielleicht ist es relativ einfach, an den Fingerabdruck eines Bankmitarbeiters zu gelangen.
      Bei Ebay ist es sicherlich vorteilhafter bei 10 000 Namen einmal das Passwort "Passwort" einzutippen als bei einem Namen 10 000 Passwörter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *