Passwörter / Passwort-Verfahren - Prof. Dr. Norbert Pohlmann

Passwörter / Passwort-Verfahren

Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der Identität des Nutzers. Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich. Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet. Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt. Das IT-System hat dazu eine Liste von Nutzernamen und Hashwert des mit Zufallszahlen verknüpften Passworts von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.
Die Stärke dieses Authentifizierungsverfahrens beruht letztlich auf der Geheimhaltung und der Qualität des Passwortes. Eine besondere Schwäche des Passwortverfahrens ist unter anderem, dass gestohlene Zugänge, die durch Dritte missbraucht werden, von einem IT-System nicht direkt als Angriff erkannt werden können. Aus diesem Grund werden die Passwörter auch nur als Hashwerte gespeichert.

Die prinzipiellen Angriffsvektoren bei der Authentifizierung mittels Passwort sind

1. Erraten des Passwortes durch Social Engineering oder Ausprobieren (Brute Force-Angriff)
   
   Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor: Passwortregeln, Fehlbedienungszähler, …
   
   
   
2. Abfangen von Nutzername und Passwort während der Eingabe oder Übertragung
   
   Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor:
   Verschlüsselung (SSL/TLS, SSH, …)
   
   
   
3. Entwenden der Liste von Nutzernamen und Passwörtern auf dem IT-System
   
   Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor:
   Passwort-Hash-Verfahren (mit Salt und Pepper), …
   Siehe auch: One-Way-Hashfunktionen
   

Weitere Angriffsvektoren bei Passwortverfahren:

• Keylogger
• Phishing
• Spear-Phishing / Whaling
• über die Schulter schauen („Shoulder Surfing“)
• mit Social Engineering Nutzer motivieren, Passwörter zu nennen
• ein bekanntes Passwort auf einem anderen IT-System ausprobieren
• Sicherheitsfragen / Reset-Mechanismus / Passwort Recovery
  
  
  

Weitere Informationen zum Begriff “Passwörter / Passwort-Verfahren”:

Vorlesung: „Identifikation und Authentifikation“

Artikel: „Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authentifizierung für ein gesundes Eco-System”

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)