Das Nerdhorn und Passwörter

Einhorn03

Identifikation beschreibt die zweifelsfreie Verknüpfung von einer digitalen Identität mit einer Entität, wie natürliche Person, System oder Prozess. Ohne eine sichere Identifikation kann es keine zuverlässige Authentifizierung geben. Hierfür wird ein mindest zweistufiger Prozess verwendet, bestehend aus Personalisierung und Identifikation. Dadurch erhält man eine digitale Identität, die mit Informationen, wie z.B. Authentifizierungsmechanismus verknüpft ist. Authentifizierung ist üblicherweise über Wissen, wie ein Passwort, Besitz, beispielsweise ein Hardware-Token, oder eine persönliche Eigenschaft, auch Biometrie genannt, möglich. Daniel Miessler erklärt auf seinem Blog, wie gut welche  Authentifizierungsmechanismen sind. Passwort schneidet dabei schlecht ab.

Aber was ist überhaupt ein Passwort? Ein Passwort ist eine Zeichenfolge, wofür meist Buchstaben, Ziffern und Sonderzeichen verwendet werden dürfen. Eines der einfachsten Verfahren ist ein gemeinsam bekanntes Passwort, auch Shared Secret genannt. Hierdurch können mehrere Personen auf einen Dienst mit denselben Daten zugreifen. Üblicher für den Heimanwender sind persönliche Passwörter, die nur der Person selbst bekannt sein sollten. Zudem gibt es so genannte Einmalpasswörter, wie beim Online-Banking häufig eingesetzt. Diese können nur einmal eingesetzt werden.

Die Passwörter werden beim Dienstebetreiber seit längerem laut Stand der Technik nicht mehr im Klartext gespeichert. Stattdessen wird aus dem Passwort ein kryptographischer Hash berechnet. Will der Nutzer nun sich authentifizieren, wird zum eingegebenen Passwort wieder der Hash berechnet und mit dem gespeicherten Wert verglichen. Der Vorteil vom kryptographischen Hash ist, dass das Passwort daraus nicht in realistischer Zeit zurückberechnet werden kann – jedenfalls wenn aktuelle Verfahren eingesetzt werden. Es gibt jedoch Tabellen bzw. Datenbanken, so genannte Rainbow Tables, die bekannte Passwörter und deren Hashes anzeigen. Um das Nachschauen zu erschweren, wird noch ein Zufallswert, der sogenannte Salt, angehängt. Teils wird zudem Pepper eingesetzt. Nun kann ein Angreifer, wenn er in den Besitz des gehashten Passwortes gelangt, noch Brute Force, also das systematische Probieren aller Möglichkeiten, einsetzen, um das Passwort zu erraten. Daher ist es wichtig, ein möglichst sicheres Passwort zu wählen.

Ein sicheres Passwort hat eine große Entropie, also verschiedene Arten von Zeichen (große und kleine Buchstaben, Ziffern, Sonderzeichen). In der Praxis wird häufig vor allem auf die Länge des Passwortes abgezielt. Die Mindestlänge eines Passwortes hängt häufig vom Verwendungszweck ab. Aber was ist neben Brute Force am Passwort schwierig? Damit ein Passwort sicher ist, muss es geheim bleiben und nicht leicht zu erraten sein. Geheim ist es nicht mehr, wenn es z.B. durch einen erfolgreichen Phishing-Angriff in falsche Hände gelangt. Außerdem muss man auf die Sicherheitsmaßnahmen des Betreibers vertrauen. Der Mensch ist gerne faul. Bei Passwörtern heißt es, dass viele Nutzer ein und dasselbe Passwort für viele Dienste einsetzen oder es nur leicht variieren. Ein Angreifer, der eines dieser Passwörter erbeutet, kann sich damit bei vielen Diensten einloggen.