1727874

Das bessere Passwort

20.05.2013 | 16:09 Uhr |

In den letzten zwei Jahren sind Millionen von Benutzernamen mit zugehörigen Passwörtern gestohlen und im Internet veröffentlicht worden. Damit Ihr Passwort künftig besser geschützt ist, müssen die Anbieter von Online-Diensten genauso reagieren wie jeder Anwender selber.

Die Tricks der Passwort-Diebe sind sind teils einfach, wenn sie etwa per Brute-Force-Attacke ein Kennwort knacken, teils sehr raffiniert, etwa wenn sie in hoch gesicherte Datenbanken bei Dienste-Anbietern einbrechen. Welche Tricks die Hacker drauf haben, erfahren Sie in diesem Beitrag . Hier lesen Sie, was die Dienste-Anbieter verbessern müssen und was Sie selbst besser machen können.

So schützen Sie Ihr Passwort besser

Pflichten der Anbieter: An erster Stelle sollten die Anbieter von passwortgeschützten Diensten mehr Sicherheitsfunktionen in ihre Server integrieren. Das beginnt mit einem Verbot, Passwörter im Klartext zu speichern. Stattdessen darf er nur den Hashwert eines Passwortes in seiner Datenbank ablegen. Der Hashwert ist eine neue Zeichenkombination, die sich immer wieder gleich aus dem originalen Passwort erzeugen lässt. Also jedes Mal dann, wenn sich der Anwender bei dem Dienst mit seinem Passwort einloggen möchte, wir der Hashwert berechnet und mit dem gespeicherten Wert in der Datenbank verglichen. Umgekehrt funktioniert das aber nicht: Aus dem Hashwert lässt sich das Passwort nicht berechnen.

Allerdings hat ist auch der Hashwert nicht völlig sicher. Zwar lässt sich aus ihm das Passwort nicht berechnen, aber in sogenannten Rainbow-Tables steht zu vielen Hashwerten das dazugehörige Passwort.

Doch auch gegen Rainbow-Tables können sich die Dienste-Anbieter schützen. Dafür müssen sie das Passwort um eine länger zufällige Zeichenfolge ergänzen. Man spricht hier von gesalzenen Passwörtern. Gute Anbieter sollten noch weiter Tricks anwenden, etwa zum Salzen der Kennwörter auch die Pfeffer-Technick verwenden. Infos zu dieser Technik finden Sie über www.pcwelt.de/bcvo.

Musteranalyse: Wie Kreditkartenunternehmen die Nutzung einer Karte schon seit langen analysieren, und bei auffälligen Mustern Abbuchungen stoppen, so sollten auch wichtige Dienste-Anbieter analysiert, mit welchem Gerät sich ein Kunde wann und wo anmeldet. Scheint etwas merkwürdig, sollte der Dienst ein weiteres Passwort fordern. Dieses könnte etwa bei der Anmeldung bekannt gegeben haben.

Solche Zusatzpasswörter sind allerdings nicht ganz unproblematisch. Im Zweifelsfall hat es der Anwender längst vergessen und dann keine Chance das Konto wieder freizuschalten. Besser funktioniert hier die Zwei-Faktoren-Authentifizierung.

Zwei-Faktoren-Authentifizierung : Bei dieser Methode meldet sich der Nutzer bei einem Dienst mit zwei Dingen an: etwas, was er weiß (das Passwort) und etwas, was er hat (etwa ein Hardware-Token oder ein Smartphone). Diese Methode ist sehr effektiv, um Hacker den Zugang zu einem Konto zu erschweren. Denn selbst wenn er den Nutzernamen und das Passwort stehlen konnte, wird er meist nicht im besitzt des Hardware-Teils sein.

Bisher bieten allerdings erst wenige Online-Dienste diese Methode an, etwa Paypal und Google. Doch das könnte sich bald ändern, denn mit der nun schon recht hohen Verbreitung von Smartphones besitzen viel Nutzer einen zweiten Faktor für die Anmeldung. Es fehlt nur noch eine App des Dienste-Anbieters. Diese liefert dann für die Anmeldung einen Code aus, den nur dieses eine Handy generieren kann.

Biometrie: Die Authentifizierung per Fingerabdruck, Irisscan oder Stimmerkennung wird immer wieder mal als heißer Kandidat für eine sichere Anmeldung gehandelt. Allerdings haben diese Verfahren zwei entscheidende Nachteile: Erstens funktionieren sie nur an Rechnern mit besonderer Hardware, etwa dem Fingerabdruckscanner. Zweitens sind diese Merkmale nicht austauschbar. Was ist, wenn sich Datendiebe Ihren Fingerabdruck zu eigen gemacht haben? Dafür benötigen sie nicht unbedingt tatsächlich Ihren Daumen. Einen Nachbildung auf Grundlage Ihres Fingerabdrucks genügt. Ist das geschehen, können Sie sich sinnvollerweise nie wieder bei einem Dienst registrieren, der eine Anmeldung per Fingerabdruck verlangt.

Speziallösungen: Psylock war ein Projekt, bei dem die Authentifizierung eines Nutzers über seine Art zu Tippen funktionierte. Dabei wurde sowohl die Tippgeschwindigkeit, der Tipprhythmus und das Korrekturverhalten analysiert und als Muster gespeichert.

Die Firma Biometry dagegen bietet eine Software, die Sie über eine Kombination aus Gesichts- und Stimmerkennung authentifiziert.

Beide Lösungen leiden aber an denselben Problemen wie die reine biometrische Erkennung: Es ist besondere Hardware oder zumindest Zusatz-Software nötig und die Merkmale lassen sich unter Umständen kopieren.

0 Kommentare zu diesem Artikel
1727874