Forscher des Fraunhofer-Instituts für Sichere Informationstechnologien (SIT) haben eine Passwort-Software entwickelt, die dem User Zugang zu all seinen Diensten gewährt, wobei dieser sich dafür lediglich ein Masterpasswort benötigt. „Die dienstspezifischen Zugangskennwörter werden vom Passwort-Sitter aus dem Hauptpasswort und dem Service, bei dem man sich einloggen will, errechnet. Somit muss man sich nurmehr ein einziges Passwort merken“, erläutert Markus Schneider, Wissenschaftler am SIT.
Passwort-Sitter funktioniert ohne Installation oder zusätzliche Hardware. Das Programm speichert auch keine Passwörter, weder im Klartext noch verschlüsselt, sondern errechnet diese jedes Mal auf ein Neues. Die Software kann entweder lokal auf der Harddisk des Rechners gespeichert oder online als signiertes Applet ausgeführt werden. „Der Vorteil dabei ist, dass man seine Kennwörter bei jedem beliebigen Rechner parat hat“, so Schneider. Für die notwendige Sicherheit sorgt ein speziell entwickeltes Verfahren, das auf moderner Verschlüsselungstechnologie basiert.
Die Software eignet sich besonders für den Einsatz in Unternehmen, denn Passwortprobleme verursachen 30 bis 50 Prozent der Helpdeskkosten. Die Software steigert zudem die Sicherheit, da sie ausschließlich starke Passwörter erzeugt. „Oft wird für viele verschiedene Dienste nur ein Kennwort benutzt, das zumeist auch noch leicht zu knacken ist, beispielsweise der Name des Ehepartners oder des Haustiers“, meint Schneider. Die Möglichkeit der flexiblen Einstellung der Sicherheitsstufe ermöglicht auch die Berücksichtigung verschiedener Passwortrichtlinien.
Neueste Kommentare
8 Kommentare zu Fraunhofer-Institut entwickelt neues Passwort-Management
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Was soll daran so sicher sein?
Was soll an diesem Programm so sicher sein?
Ich nehme sowieso an, dass es nicht viel mehr als eine simple Hashfunktion ist.
Das Problem ist wohl, dass ich immer noch genau ein Passwort habe und mit diesem kriegt der Angreifer genauso zutritt, wenn er es herausfindet. Realistisch betrachtet habe ich dann genauso wieder ein Passwort für alle Dienste.
Und dann ändert sich der Dienstname…
Sofern der Dienstname nicht innerhalb des Passwort-Tools mitgespeichert wird, wird das dann lustig, wenn sich der URL ändert, oder eben der "Dienstname", was auch immer das ist.
Ansonsten seh ich das Problem auch darin, dass man bei manchen Diensten regelmäßig sein Passwort ändern sollte und sich das wohl schwierig gestaltet.
Und auch spannend wird es, wenn es welche schaffen, anhand mehrerer berechneter Passwörter auf den eigentlichen Schlüssel zu schließen. Hat man diesen hat man quasi zu allen möglichen Diensten des Opfers Zugang…
Grüße,
-mARKUS
Gar nicht stark
Ich glaube nicht, dass die Kombination aus PLZ und Ort eine starke Verschlüsselung ist. Vielleicht schon, wenn Sie versuchen dies durch reines Ausprobieren aller Zahlen- und Buchstabenkombinationen zu knacken. Aber eine Art Dictionary-Hack, in dem Sie alle deutschen Orte durchprobieren und das noch mit der (naheliegenden) PLZ (ob alt oder neu, ob vorne oder hinten dran mit oder ohne Bindestrich) kombinieren, ist dann überhaupt nicht mehr stark!
AW: Gar nicht stark
Gaaanz schlechte Idee. Man sollte NICHTS als Kennwort verwenden, was mit einem selbst in Verbindung gebracht werden kann. Der Wohnort gehört wohl ganz klar dazu.
Bei eBay z.B. sind Benutzername und Wohnort für den anderen Geschäftspartner nach der Transaktion natürlich sichtbar.
Von Arbeitskollegen weiß ich meist auch, wo sie wohnen.
Gut sind aber zufallsgenerierte Paßwörter, die abwechselnd Konsonanten und Vokale aneinander reihen. Hier ein paar Beispiele:
orugubat, ebiwirom, epodakul
So was kann man sich relativ leicht merken. Das läßt sich auch ganz einfach in Perl programmieren. Seinen Benutzern eine solche Funktionalität, natürlich mit frei wählbarer Wortlänge, zur Verfügung zu stellen, DAS würde ich "missionarisch" nennen. Aber doch nicht solche schlechten Scherze wie den Wohnort.
AW: AW: Gar nicht stark
Was ist daran denn stark??
keine Sonderzeichen, keine Groß-Kleinschreibung etc.
Die besten Passwörter, die man sich auch noch merken kann, sind die wo man sich einen Satz ausdenkt und von jedem Wort den Anfangsbuchstaben nimmt und dann noch diverse Zeichen durch Sonderzeichen ersetzt.
Beispiel: Atombomben können einem an einem sonnigen Tag durchaus die Laune verderben!
Ergibt z.B. AkeaesTddLv!
Dann noch ein paar Ersetzungen: Ak343$TddLv!
und schon hat man ein einigermaßen gutes Passwort.
sichere Paßwörter
Mit etwas Hirn lassen sich sehr starke Paßwörter "erfinden". Fast schon missionarisch bete ich in Seminaren folgenden Tip vor:
5000-Köln; 2000-Hamburg; 1000-Berlin; 7777-Salem; 2900-Oldenburg oder auch
1234-Hinterdugelhapfing
5000 war früher die Postleitzahl von Köln. Fast jeder kennt noch die alten PLZ seiner Heimatstadt, nächstgelegenen Großstadt. Wenn man eine solche Kombination schafft, dann hat man ein leicht merkbares und sicheres Paßwort. Zumindestens behauptet dies auch der Paßwort-Check von http://www.datenschutz.ch
Das o.a. Paßwort wäre in ….
Gemäss unserer Analyse kann es wie folgt gefunden werden:
Anzahl benötigte Versuche: 196’984’075’042’541’696
Ungefähre Zeit für Suche: 12’493 Jahr(e) (bei 500’000 Tests/Sekunde)
knackbar. Was meinen Sie dazu?
bei 1234-Hinterdugelhapfing (bayerischer Phantasieort)
Ihr Passwort ist stark.
Gemäss unserer Analyse kann es wie folgt gefunden werden:
Anzahl benötigte Versuche: 1’066’909’726’789’494’658’087’169’167’992’667’165’532’409
Ungefähre Zeit für Suche: 67’662’971’003’899’965’632’113’721’968 Jahr(e) (bei 500’000 Tests/Sekunde)
Nebenbei bemerkt, mein Paßwort ist für mich einfach kapierbar und etwas komplexer – wird aber nicht verraten. Na klar!
Gruß Klaus Christen
Sonderzeichen? Und wenn ein Passwort zu ändern ist?
Wird eines der Passwörter geknackt, dann lässt es sich nicht individuell ändern. Also im Fall der Fälle eine Passwort-Änder-Dich-Session für alle Dienste?
Außerdem fordern manche Dienste Sonderzeichen im Passwort, andere verbieten diese…
Ist dieser Artikel so unvollständig oder ist das System noch nicht so ganz ausgereift? Ein Link zur Original-Info wäre wirklich hilfreich!
Wo ist der Link?
Da ist der Link: http://www.passwordsitter.de/