Passwörter / Passwort-Verfahren - Prof. Dr. Norbert Pohlmann

Was ist ein Passwort-Verfahren?

Passwörter / Passwort-Verfahren
Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der Identität des Nutzers. Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich.

Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren.

Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine digitale Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet. Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt. Das IT-System hat dazu eine Liste von Nutzernamen und Hashwert des mit Zufallszahlen verknüpften Passworts von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.

Die Stärke dieses Authentifizierungsverfahrens beruht letztlich auf der Geheimhaltung und der Qualität des Passwortes. Eine besondere Schwäche des Passwortverfahrens ist unter anderem, dass gestohlene Zugänge, die durch Dritte missbraucht werden, von einem IT-System nicht direkt als Angriff erkannt werden können. Aus diesem Grund werden die Passwörter auch nur als Hashwerte gespeichert.

Prinzipiellen Angriffsvektoren bei der Authentifizierung mittels Passwort

1. Erraten des Passwortes durch Social Engineering oder Ausprobieren (Brute Force-Angriff)
   
   Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor: Passwortregeln, Fehlbedienungszähler, …
   
   
   
2. Abfangen von Nutzername und Passwort während der Eingabe oder Übertragung
   
   Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor:
   Verschlüsselung (SSL/TLS, SSH, …)
   
   
   
3. Entwenden der Liste von Nutzernamen und Passwörtern auf dem IT-System
   
   Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor:
   Passwort-Hash-Verfahren (mit Salt und Pepper), …
   Siehe auch: One-Way-Hashfunktionen
   
   

Weitere Angriffsvektoren bei Passwortverfahren

• Keylogger
• Phishing
• Spear-Phishing / Whaling
• über die Schulter schauen („Shoulder Surfing“)
• mit Social Engineering Nutzer motivieren, Passwörter zu nennen
• ein bekanntes Passwort auf einem anderen IT-System ausprobieren
• Sicherheitsfragen / Reset-Mechanismus / Passwort Recovery
  
  
  

Weitere Informationen zum Begriff “Passwörter / Passwort-Verfahren”

Vorlesung: „Identifikation und Authentifikation“

Artikel:
„Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authentifizierung für ein gesundes Eco-System”

„Risikobasierte und adaptive Authentifizierung“

“Risiko von unsicheren Internet-Technologien“

„Vertrauen – ein elementarer Aspekt der digitalen Zukunft“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

• Sicher im Internet: Tipps und Tricks für das digitale Leben
• Der IT-Sicherheitsleitfaden
• Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Summary

Article Name

Passwörter / Passwort-Verfahren

Description

Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Der Nutzer weist beim Zugriff auf das IT-System die Echtheit seiner Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo