Angriffe auf Passwörter

Stand: 31.05.2022

Anwender haben oft ein zwiespältiges Verhältnis zu Passwörtern. Einerseits ist die Notwendigkeit, ein gutes Passwort für wichtige Zugänge zu haben, rational nachvollziehbar. Andererseits ist ein oder sogar mehrere solcher Passwörter ein notwendiges Übel, da man sich diese merken muss und nicht notieren sollte. Oder zumindest in einem gesicherten Passwortspeicher verwalten sollte. Aus Sicherheitsgründen ist man noch dazu angehalten, für jeden Dienst, der eine eigene Authentifizierung erfordert, ein separates Passwort zu haben. Nimmt man dann noch die zahlreichen Zugänge, die man privat für irgendwelche Webseiten hat, kann man schnell auf 50 bis 100 Passwörter kommen.

Dass diese Art der Authentifizierung und Autorisierung nicht die beste ist, ist nicht nur den Softwareentwicklern klar, sondern auch jedem Anwender, der mit dieser Tatsache konfrontiert wird. Leider ist es aber auch so, dass es zur Zeit keine sinnvolle technische Alternative gibt. Biometrische Verfahren sind leicht manipulierbar und kompromittierbar. Dazu muss man sich nur die zahlreichen Meldungen über die erfolgreichen Manipulationen von Fingerabdrucksensoren anschauen. Und wenn jemand die Fingerabdrücke einer Person hat, was macht dann diese Person mit seinen fingerabdruckgesicherten Zugängen? Eine neue Hand kaufen? Wohl kaum. Auch wenn es bequem erscheint und von Herstellern gern propagiert wird, biometrische Verfahren sind nicht zur Autorisierung geeignet. Sie sind lediglich bedingt zur Authentifizierung geeignet, da sie sich noch immer leicht manipulieren lassen.

Exkurs: Authentifizierung oder Autorisierung?

Unter Authentifizierung versteht man ein Merkmal, mit dem die Identität eines Benutzers festgestellt werden kann. Klassisch ist dieses Merkmal der Benutzer- oder Anmeldename. Es kann aber auch ein Fingerabdruck, Irisabtastung oder ähnliches sein.

Bei einer Anmeldung wird geprüft, ob diese Identität im System vorhanden ist. Ist dies der Fall, ist die Person authentifiziert.

Zusätzlich wird von dem Benutzer eine zweite oder dritte Komponente – hier spricht man dann missverständlicher Weise von einer Zwei-Faktor-Authentifizierung – gefordert. Diese Komponente umfasst meistens eine Wissenskomponente, also ein Passwort, oder eine Besitzkomponente, wie zum Beispiel einen Token-Generator. Ist diese zusätzliche Komponente auch korrekt eingeben, ist die Person autorisiert und der Zugang wird gewährt.

Gute Systeme lassen in ihrer Rückmeldung bei einer Authentifizierung oder Autorisierung nicht erkennen, welche Komponente fehlgeschlagen ist.

Passwörter hingegen haben mehrere Vorteile:

  1. Das Verfahren Benutzername und Passwort ist seit Jahrzehnten etabliert. Es ist eines der ersten Verfahren zur Authentifizierung und Autorisierung. D.h., es ist den Anwendern zum größten Teil bekannt und schnell und einfach erklärt, da die Lernkurve flach ist.
  2. Es ist für Softwareentwickler leicht und einfach zu implementieren. Es bedarf nur einer verhältnismäßig kleinen Infrastruktur. Insofern ist es auch günstig zu implementieren.
  3. Für komplexere Szenarien, wie zum Beispiel Single-Sign-On (SSO), gibt es etablierte Techniken und Industriestandards, die man als Hersteller einer Anwendung leicht integrieren kann.
  4. Das Verfahren ist universell einsetzbar. Es kommt in allen erdenklichen Konstellationen zum Einsatz. Selbst die modernsten Webapplikationen, die der letzte Schrei sind, setzten auf ein Jahrzehnte (!) altes Konzept.
Leider ist es aber so, dass dieses Konzept für den Anwender einen nicht immer sofort erkennbaren gravierenden Nachteil hat: Die Sicherheit des Zugangs hängt maßgeblich von der Qualität und der zuverlässigen Verwahrung des Passwortes ab. Und dies obliegt zum größeren Teil dem Anwender. Somit sind die Hersteller und auch die Betreiber von zugangsgesicherten Softwaresystemen außen vor, sofern die Software die Passwörter ausreichend sicher speichert und verifiziert und eine ausreichende Passwortrichtlinie konfigurierbar ist.

Bis eine sinnvolle Alternative gefunden ist und diese sich etabliert hat, werden wir wohl oder übel mit Passwörtern noch eine ganze Weile leben müssen. Im weiteren Verlauf des Artikels wird erläutert, was ein gutes Passwort ausmacht, warum die Länge eines Passwortes wichtig ist, wie Angriffe auf Passwörter funktionieren, was heute mit Konsumentenhardware möglich ist und warum die Art, wie ein Passwort gespeichert wird, entscheidend ist.

Angriff: Phase 1

Zugriff: Die ganze Welt

In der ersten Phase werden die Passwörter, die kompromittiert werden sollen, durch den Angreifer erbeutet. Was hier bevorzugt erbeutet wird und welche technischen Maßnahmen bei der Speicherung der Passwörter sinnvoll sind, lesen sie hier:

Angriff: Phase 2

Zugriff: Die ganze Welt

Die Passwörter wurden durch einen Angreifer erbeutet. Das Kind ist also sozusagen in den Brunnen gefallen. Noch liegen die Passwörter hoffentlich nur in verschlüsselter Form vor. Welche Möglichkeiten der Angreifer nun hat, an den Klartext der Passwörter zu kommen und was ihm das Leben schwer macht, werden in den weiteren Abschnitten erläutert.

Hinweis: Die Webseite wird in den nächsten Monaten erweitert.
Copyright 2022 by ZENDAS ..