Angriffe auf Passwörter
Stand: 31.05.2022
Anwender haben oft ein zwiespältiges Verhältnis zu Passwörtern. Einerseits ist die Notwendigkeit, ein gutes Passwort für wichtige Zugänge zu haben, rational nachvollziehbar. Andererseits ist ein oder sogar mehrere solcher Passwörter ein notwendiges Übel, da man sich diese merken muss und nicht notieren sollte. Oder zumindest in einem gesicherten Passwortspeicher verwalten sollte. Aus Sicherheitsgründen ist man noch dazu angehalten, für jeden Dienst, der eine eigene Authentifizierung erfordert, ein separates Passwort zu haben. Nimmt man dann noch die zahlreichen Zugänge, die man privat für irgendwelche Webseiten hat, kann man schnell auf 50 bis 100 Passwörter kommen.
Dass diese Art der Authentifizierung und Autorisierung nicht die beste ist, ist nicht nur den Softwareentwicklern klar, sondern auch jedem Anwender, der mit dieser Tatsache konfrontiert wird. Leider ist es aber auch so, dass es zur Zeit keine sinnvolle technische Alternative gibt. Biometrische Verfahren sind leicht manipulierbar und kompromittierbar. Dazu muss man sich nur die zahlreichen Meldungen über die erfolgreichen Manipulationen von Fingerabdrucksensoren anschauen. Und wenn jemand die Fingerabdrücke einer Person hat, was macht dann diese Person mit seinen fingerabdruckgesicherten Zugängen? Eine neue Hand kaufen? Wohl kaum. Auch wenn es bequem erscheint und von Herstellern gern propagiert wird, biometrische Verfahren sind nicht zur Autorisierung geeignet. Sie sind lediglich bedingt zur Authentifizierung geeignet, da sie sich noch immer leicht manipulieren lassen.
Unter Authentifizierung versteht man ein Merkmal, mit dem die Identität eines Benutzers festgestellt werden kann. Klassisch ist dieses Merkmal der Benutzer- oder Anmeldename. Es kann aber auch ein Fingerabdruck, Irisabtastung oder ähnliches sein.
Bei einer Anmeldung wird geprüft, ob diese Identität im System vorhanden ist. Ist dies der Fall, ist die Person authentifiziert.
Zusätzlich wird von dem Benutzer eine zweite oder dritte Komponente – hier spricht man dann missverständlicher Weise von einer Zwei-Faktor-Authentifizierung – gefordert. Diese Komponente umfasst meistens eine Wissenskomponente, also ein Passwort, oder eine Besitzkomponente, wie zum Beispiel einen Token-Generator. Ist diese zusätzliche Komponente auch korrekt eingeben, ist die Person autorisiert und der Zugang wird gewährt.
Gute Systeme lassen in ihrer Rückmeldung bei einer Authentifizierung oder Autorisierung nicht erkennen, welche Komponente fehlgeschlagen ist.
Passwörter hingegen haben mehrere Vorteile:
- Das Verfahren Benutzername und Passwort ist seit Jahrzehnten etabliert. Es ist eines der ersten Verfahren zur Authentifizierung und Autorisierung. D.h., es ist den Anwendern zum größten Teil bekannt und schnell und einfach erklärt, da die Lernkurve flach ist.
- Es ist für Softwareentwickler leicht und einfach zu implementieren. Es bedarf nur einer verhältnismäßig kleinen Infrastruktur. Insofern ist es auch günstig zu implementieren.
- Für komplexere Szenarien, wie zum Beispiel Single-Sign-On (SSO), gibt es etablierte Techniken und Industriestandards, die man als Hersteller einer Anwendung leicht integrieren kann.
- Das Verfahren ist universell einsetzbar. Es kommt in allen erdenklichen Konstellationen zum Einsatz. Selbst die modernsten Webapplikationen, die der letzte Schrei sind, setzten auf ein Jahrzehnte (!) altes Konzept.
Bis eine sinnvolle Alternative gefunden ist und diese sich etabliert hat, werden wir wohl oder übel mit Passwörtern noch eine ganze Weile leben müssen. Im weiteren Verlauf des Artikels wird erläutert, was ein gutes Passwort ausmacht, warum die Länge eines Passwortes wichtig ist, wie Angriffe auf Passwörter funktionieren, was heute mit Konsumentenhardware möglich ist und warum die Art, wie ein Passwort gespeichert wird, entscheidend ist.
Angriff: Phase 1
In der ersten Phase werden die Passwörter, die kompromittiert werden sollen, durch den Angreifer erbeutet. Was hier bevorzugt erbeutet wird und welche technischen Maßnahmen bei der Speicherung der Passwörter sinnvoll sind, lesen sie hier:
Angriff: Phase 2
Die Passwörter wurden durch einen Angreifer erbeutet. Das Kind ist also sozusagen in den Brunnen gefallen. Noch liegen die Passwörter hoffentlich nur in verschlüsselter Form vor. Welche Möglichkeiten der Angreifer nun hat, an den Klartext der Passwörter zu kommen und was ihm das Leben schwer macht, werden in den weiteren Abschnitten erläutert.
- Angriff: Phase 2 - Möglichkeit 1: Rohe Gewalt (Brute Force Attack)
- Angriff: Phase 2 - Möglichkeit 2: Wörterbuchangriff