Passwörter stellen die Basis für Zugänge zu Diensten dar. Nicht selten sind die Zugänge aber ganze Firmennetzwerke. Aus diesem Grund sollte die Wahl des Passwortes sehr gut überlegt sein und nach Möglichkeit sollten andere Methoden wie Smart Cards oder wenigstens Zertifikate benutzt werden, um die Sicherheit zu erhöhen.
Trotzdem werden auch Heutzutage sehr viele Zugänge durch Passwörter geschützt und da muss man sich raus helfen. Deswegen versuche ich im weiteren Lösungsansätze und ihre Tücken zu beschreiben.
Erster Lösungsansatz:
Heute können Passwörter mit einer Länge von 5 Zeichen in wenigen Minuten geknackt werden und mit der steigenden Rechenleistung müssen die Passwörter immer länger werden. Das hilft natürlich dem Benutzer nur wenig sich Passwörter zu merken. Wenn der Name der Frau, Tochter, Sohn, Mutter oder Schwiegermutter zu kurz wird, dann kommt oft eine Kombination der genannten Punkte zustande. Oft werden auch Geburtstage von nahen Menschen als Passwörter benutzt. Hier lässt nicht nur die Länge der Passwörter, als auch die Komplexität zu wünschen übrig. Dazu benötigt es oft nicht mal eines schneller Rechners, als ein bisschen raten und die nahe stehenden Personen kennen. Oft führen Passwortattacken zum Erfolg, da Nutzer sich einfache Begriffe als Passwörter aussuchen.
Damit fallen lange Passwörter ohne weitere Komplexitätsbedingungen als steigernde Sicherheitsmaßnahmen kaum ins Gewicht.
Zweiter Lösungsansatz:
Der zweite Ansatz besteht darin nicht nur wie im ersten Ansatz die Länge, sondern zusätzlich die Komplexität der Passwörter mit Zahlen zu erhöhen. Dadurch wird der Suchraum für Wörterbuch Attacken schwierig und für Bruteforce Attacken deutlich komplexer, weil der Suchraum sind durch die Zahlen vergrößert. Allerdings hilft es oft nicht gegen „schlechte Kombinationen“ wie z.B. Name der Frau/Freundin + Geburtstag. Nur wenige und nicht wirklich geheime Informationen helfen dem Angreifer auch dieses komplexer wirkende Passwort zu knacken.
Dritter Lösungsansatz:
Im dritten Ansatz sollten nicht nur lange Passwörter, sondern Zahlen und Sonderzeichen erzwungen werden. Zusätzlich soll eine Mindestanzahl an Zahlen und Sonderzeichen vorgeschrieben werden. Solch ein komplexes Passwort wird viele Wörterbuch und Bruteforce Attacken erschweren. Davon ausgenommen sind „glänzend“ gewählte Passwörter wie „1ch_b1n_sup3r“ oder ähnliche Kombinationen, wenn sie auch jetzt deutlich schwerer zu erraten sind.
Das größere Problem ist die große Unzufriedenheit der Benutzer, weil sie sich oft für viele verschiedene Dienste (privat und beruflich) Passwörter merken müssen. Auch der Administrator gewinnt damit keine Freunde unter den Nutzern, wenn er auch oft wenig für diese Regelungen kann.
Aber komplexe Passwörter lassen nicht nur Admins, sondern auch Nutzer ruhiger schlafen, weil sie auch die Verantwortung für ihre Handlungen tragen müssen. Damit gehen wir zum vierten und meiner Ansicht nach im Moment den vernünftigsten Weg, bis es endlich vertrauenswürdige „Signle Sign On“ Systeme existieren, die uns von dieser Komplexität befreien.
Vierter Lösungsansatz:
Da komplexe und lange Passwörter zwangsweise gefordert werden, sollte auch ein vernünftiger Kompromiss gefunden werden, der dem Benutzer das Merken der vielen langen Passwörter abnimmt und ihm damit vor allem das regelmäßige Ändern der Passwörter erleichtert. Als Basisschutz für diesen Passwortspeicher nehmen wir ein komplexes und langes Passwort, welches die anderen Passwörter schützen soll. Der Nutzer speichert die Passwörter in einem sicheren Speicher, aus dem er die Passwörter bei Bedarf mit Hilfe des Master Passwortes auslesen kann.
Sicherung des Passwortspeichers:
Der Speicher für Passwörter stellt aber gleichzeitig ein hohes Sicherheitsrisiko dar, da in ihm alle Passwörter und damit alle Zugänge gespeichert sind. Oft sind in solchen Speichern auch Kreditkarten Nummern und Zugänge zu Bankkonten hinterlegt.
Wegen Bequemlichkeit und da viele ihr Mobiltelefon fast immer bei sich tragen, gewinnt das Handy als Passwortspeicher an Bedeutung. Da das Handy klein, leicht und immer mitgeführt wird, stellt es auch ein gutes Diebesgut dar. Aber auch Implementierungsfehler in der Firmware, Software oder Betriebssystem können das Auslesen der verschlüsselten Datei mit den Passwörtern ermöglichen.
Da die Sicherheit der mobilen Geräte kaum beeinflusst werden kann, sollte bei einem Diebstahl der Daten, dem Dieb so wenig wie möglich Informationen preisgegeben werden. Auch wenn der Angreifer das Passwort nicht kennt, so wird er es versuchen zu knacken.
Ist der Inhalt einfach nur verschlüsselt, so kann davon ausgegangen werden, dass nach endlicher Zeit die Verschlüsselung geknackt werden kann und damit die Passwörter in falsche Händer geraten.
Um dieses Problem zu lösen, haben die Forscher des Fraunhofer Instituts Sichere Informationstechnologie sich eine Lösung einfallen lassen. Für den Mobile Sitter wird ein Master Passwort erstellt, welches die Passwörter gegen Angriffe schützt, in dem es bei beliebiger Eingabe Passwörter liefert. Damit ist das Raten von Passwörter kaum möglich, da der Angreifer immer ein Ergebnis erhält und dadurch nicht auf das richtige Masterpasswort schließen kann. Der Benutzer erhält bei der richtigen Eingabe aber seine Passwörter zu sehen. Ein Bild hilft ihm als Erkennungsmerkmal, dass er auch wirklich das richtige Passwort eingegeben hat.
Als einziges Manko ist die Möglichkeit des Ändern der Passwörter bei beliebiger Eingabe zu sehen. Aber auch dieser Nachteil ist wichtig für die Sicherheit, da der Angreifer unter keinen Umständen erfahren soll, dass er das richtige Passwort eingegeben hat. Allerdings sollte keiner sein Handy mit Passwörtern jemand anders geben und eine Export-Möglichkeit rettet die gespeicherten Informationen auch bei unfreiwilligen Änderungen.
Erhöhte Sicherheit mit dem Mobile Sitter:
Besonders sicherheitsbewusste Nutzer können die Sicherheit noch weiter erhöhen, in dem sie verschiedene Passwörter mit verschiedenen Master Passwörtern speichern und damit gleichzeitig eine Art „Gruppierung“ der Passwörter nach Sicherheitsstufe und Einsatz sicherstellen können. Erhält de Angreifer den verschlüsselten Speicher und ein Passwort, so bleiben wenigstens die anderen Passwörter geheim, da sie mit einem anderen Passwort verschlüsselt wurden.
Wer sich für den Mobile Sitter oder andere ähnliche Systeme interessiert, den verweise ich auf die Herstellerseiten. Dort sind auch die Verschlüsselungsverfahren und mögliche Geräte für die Nutzung aufgelistet. Der Mobile Sitter gilt hierbei als Beispiel für ein Produktklasse und verhilft zu deutlich mehr Sicherheit im Vergleich zu Passwortspeicher Systemen mit einer möglichen Eingabe für das Master Passwort.
Damit das Generieren der Passwörter auch wirklich sicher ist, empfehle ich die folgende Seite, auf der auch der Algorithmus für die Generierung erklärt ist: https://www.grc.com/passwords.htm
Quellen und Links zusammengefasst:
Über Kritik oder Anregungen zu diesem und anderen Beiträgen würde ich mich sehr freuen.