Passwörter / Passwort-Verfahren - Prof. Dr. Norbert Pohlmann

Was ist ein Passwort-Verfahren?

Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der Identität des Nutzers. Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich. Passwörter / Passwort-Verfahren ist eine Möglichkeit, eine Authentifizierung der Nutzer umzusetzen.

Passwörter / Passwort-Verfahren sind das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren.

Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine digitale Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet.
Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt.

Das IT-System hat dazu eine Liste von Nutzernamen und Hashwert des mit Zufallszahlen verknüpften Passworts von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.

Die Stärke dieses Authentifizierungsverfahrens beruht letztlich auf der Geheimhaltung und der Qualität des Passwortes. Eine besondere Schwäche bei Passwörter / Passwort-Verfahren ist unter anderem, dass gestohlene Zugänge, die durch Dritte missbraucht werden, von einem IT-System nicht direkt als Angriff erkannt werden können. Aus diesem Grund werden die Passwörter auch nur als Hashwerte gespeichert.

Prinzipielle Angriffsvektoren bei Passwörter / Passwort-Verfahren

Erraten des Passwortes durch Social Engineering oder Ausprobieren (Brute Force-Angriff)

Ein Angreifer kann unterschiedliche Angriffsmethoden durchführen:

• Er kann versuchen, das Passwort mithilfe der Kenntnis des persönlichen Umfelds der entsprechenden Person zu erraten (Fußballfan in Gelsenkirchen=Passwort „Schalke04“).
• Er kann Passwörter, die oft genutzt werden, ausprobieren (Wörterbuchangriff).
• Er kann durch systematisches Durchprobieren aller möglichen Kombinationen (Brute-Force-Angriff) das richtige Passwort ermitteln.

a) Erraten des Passworts durch Social Engineering
Der Angreifer kann mithilfe von Social Engineering das Umfeld einer Person ausspionieren. Er stellt über die sozialen Netzwerke fest, welches Auto die Person fährt, ob sie einen Partner hat und wie der Partner mit Vornamen heißt, welchen Verein (Fußballverein, Handballverein, …) sie gut fndet, wie der Hund und die Katze heißen usw. Aus diesen Umfeld-Informationen überlegt der Angreifer sich ein mögliches Passwort und probiert dieses aus. Die Wahrscheinlichkeit des Erratens des Passworts eines bestimmten Nutzers auf der Basis von Social Engineering ist hoch. Aber auch das direkte Fragen des Nutzers nach seinem Passwort, zum Beispiel mit der Begründung, der Administrator zu sein, gehört zum Social Engineering.

b) Erraten des Passworts durch Ausprobieren
Bei Erraten des Passworts durch Ausprobieren gibt es zwei Varianten, die unterschieden werden

Wörterbuchangriff
Eine Variante des „Erratens des Passworts durch Ausprobieren“ ist der sogenannte Wörterbuchangriff.
Bei einem Wörterbuchangriff oder auch „Dictionary Attack“ wird ein unbekanntes Passwort mithilfe einer vorhandenen Passwortliste ermittelt. In der Passwortliste stehen Passwörter (Wörter, Phrasen, Zeichenketten, …), die oft von Personen genutzt werden. Das sind gängige Wörter (Schalke04, Porsche911, Sabine906090, …), aber auch neu kreierte sinnvolle Buchstabenkombinationen. Für einen Angriff werden alle Passwörter in der Passwörterliste nacheinander automatisch ausprobiert.

Bei dieser Angriffsmethode wird davon ausgegangen, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß viel zu oft der Fall. Die Verwendung einer Passwortliste ist erfolgversprechend, da viele Nutzer im Internet dieselben unsicheren Passwörter verwenden und die Anzahl der möglichen Passwortkandidaten im Vergleich zu einem Brute-Force-Angriff deutlich geringer ist. Häufg werden Passwortlisten verwendet, die aus geklauten/geleakten Datensätzen (Zuordnung von Nutzernamen und Passwörtern) von Online-Plattformen extrahiert werden.
Eine Möglichkeit, einen erfolgreichen Wörterbuchangriff zu verhindern, ist, keine leicht zu erratenden Passwörter zu verwenden. Es wäre zum Beispiel auch möglich zu überprüfen, ob ein ausgewähltes Passwort eines Nutzers in einem bekannten und verfügbaren Wörterbuch steht, das von Angreifern verwendet wird. Wenn ja, muss ein neues Passwort gesucht werden. Aber auch ein Fehlbedienungszähler bei der Eingabe von Passwörtern hilft, die Wahrscheinlichkeit eines erfolgreichen Angriffs deutlich zu verringern. Der Wörterbuchangriff kann gegen unbekannte Passwörter, aber auch gegen unbekannte Nutzernamen durchgeführt werden.

Brute-Force-Angriff bei Passwörter / Passwort-Verfahren
Eine weitere Variante des „Erratens des Passworts durch Ausprobieren“ ist der sogenannte Brute-Force-Angriff. Bei diesem Angriff probiert der Angreifer jede mögliche Kombination eines Passworts einfach aus. Alle Kombinationen von möglichen Passrörtern werden nacheinander automatisch ausprobiert, bis das richtige Passwort gefunden ist. Diese Verfahren führen immer zum Erfolg, wenn nicht die Anzahl der möglichen Kombinationen, die ausprobiert werden müssen, zu groß sind und daher praktisch nicht in einer angemessenen Zeit umgesetzt werden kann. Daher sollte die Anzahl der möglichen Zeichen des verwendeten Alphabets so groß wie möglich sein und das Passwort eine bestimmte Länge haben, damit dieser Angriff nicht erfolgreich umgesetzt werden kann. Auch hier hilft ein Fehlbedienungszähler bei der Eingabe von Passwörtern, den Angriff zu verhindern.

Sicherheitsmerkmal: Verwendetes Alphabet und die Länge von Passwörtern

Die Anzahl der möglichen unterschiedlichen Zeichen des verwendeten Alphabets definiert die nutzbaren Zeichen in einem Element. In der Tabelle sind es 10, 62 oder 86 Zeichen. Die Länge des Passworts beschreibt die Anzahl der Elemente, die ausgewählt genutzt werden, wie 6, 8 oder 10. Die Anzahl der möglichen Kombinationen beschreibt die Komplexität der vollständigen Suche.

Hinweis:
Es wird davon ausgegangen, dass 1 Mio. Versuche in der Sekunde umgesetzt werden können. Diese Tabelle zeigt deutlich, dass sowohl die Länge des Passworts sowie die Anzahl der möglichen Zeichen des verwendeten Alphabets eine wichtige Rolle bei der Verhinderung eines Passwortangriffs spielen. Außerdem spielt es eine Rolle, ob ein einfaches IT-System für einen Passwort-Angriff verwendet wird, der Webservice von Amazon dafür angemietet und genutzt wird oder die NSA mit spezieller Hardware diesen Angriff durchführt.

Sicherheitsmechanismus: Passwortregeln

Im Folgenden werden Passwortregeln aufgestellt, die helfen, die Wahrscheinlichkeit von erfolgreichen Angriffen zu reduzieren:

• Das Passwort nirgends notieren und niemandem mitteilen
  (Verhinderung eines Social-Engineering-Angriffs)
  
  
• Das Passwort darf nur dem Nutzer bekannt sein
  (Verhinderung, dass jemand anders mit dem Passwort zugreifen kann)
  
  
• Mindestlänge: zehn Stellen, besser zwölf Stellen
  (Verhinderung des Brute-Force-Angriffs – mehr Kombinationen – rechnerische Sicherheit)
  
  
• Es sollen Klein- und Großbuchstaben in Kombination mit Zahlen und Sonderzeichen verwendet werden
  (Verhinderung des Brute-Force-Angriffs – mehr Kombinationen – rechnerische Sicherheit)
  
  
• Die verwendeten Zeichen sollen auf den ersten Blick eine sinnlose Zusammensetzung sein (Verhinderung des Wörterbuchangriffs)
  
  
• Ein Passwort nur für einen Dienst verwenden
  (Verhinderung, dass der Diebstahl eines Passworts die Sicherheit aller IT-Dienste betrifft)
  
  
• In angemessenen Zeitabständen ändern – ein sehr gutes Passwort ist besser als häufiges ändern
  (Verhinderung des Brute-Force-Angriffs/Social-Engineering-Angriffs)
  

Obwohl die Passwortregeln im Prinzip allen Nutzern bekannt sein sollten, werden immer noch schlechte Passwörter verwendet. Hier sind die „Top Ten“ deutscher Passwörter aus dem Jahre 2023, die alle sehr leicht über Wörterbuchangriffe geknackt werden können.
Das Hasso-Plattner-Institut (HPI) ermittelt jedes Jahr die Top Ten der deutschen Passwörter.

1. 123456789
2. 12345678
3. hallo
4. 1234567890
5. 1234567
6. Password
7. password1
8. target123
9. iloveyou
10. gwerty123

Sicherheitsmechanismus: Fehlbedienungszähler
Gegen Brute-Force-Attacken hilft eine Limitierung bei der Eingabe der Passwörter. Echte Nutzer geben ihr Passwort in der Regel spätestens im dritten Versuch richtig ein. Nach einem dritten Fehlversuch sollten IT-Systeme eine Pause vor der nächsten Eingabe erzwingen. Diese kann zunächst wenige Sekunden betragen, sollte aber immer länger werden. Nach einer unrealistischen Zahl von falsch eingegebenen
Passwörtern sollte der Zugang gesperrt werden.

Sicherheitsmechanismus: Passwörter überprüfen
Immer dann, wenn ein Passwort erstellt wird, werden als erstes die Passwortregeln überprüft. Danach wird zusätzlich noch ein Wörterbuchangriff durchgeführt, da auch Passwörter, die alle Regeln erfüllen, trotzdem in einem Wörterbuch gespeichert sein können und daher ein erfolgreicher Angriff durchgeführt werden kann.

Abfangen von Nutzername / Passwort während der Eingabe / Übertragung

Bei diesem Angriff versucht der Angreifer, das Passwort während der Übertragung im Klartext mitzulesen. Dies ist prinzipiell immer dann möglich, wenn das Passwort von dem IT-System des Zugreifenden zu einem IT-System, auf dem der Zugriff stattfnden soll, über ein Kommunikationsnetz übertragen werden muss.

Aus diesem Grund darf ein Passwort nie im Klartext übertragen werden, weil sonst der Angreifer dieses mitlesen und missbräuchlich verwenden kann. Der Angreifer kann das Mitlesen im Klartext an Übertragungsleitungen und Routern im Gebäude oder im Internet umsetzen. Eine weitere Möglichkeit ist ein sogenannter Man-in-the-Middle-Angriff. Der Angreifer steht dabei physisch oder logisch zwischen den beiden Kommunikationspartnern und hat die vollständige Kontrolle über den Datenverkehr und kann die Passwörter mitlesen. Auch dieser Angriff muss erkannt und verhindert werden.

Sicherheitsmechanismus: Verschlüsselung
Um das Mitlesen der Passwörter zu verhindern, wird die Kommunikation zwischen dem IT-System des zugreifenden Nutzers und des IT-Systems, auf dem der Zugriff stattfnden soll, SSL/TLS verschlüsselt.
Die SSL/TLS-Verschlüsselung sorgt zum einen für die Verifzierung der richtigen Domäne, das heißt, der Nutzer kann mithilfe des Domänen-Zertifkats einer Webseite sicher überprüfen, auf welche Webseite er zugreift „Transport Layer Security (TLS) / Secure Socket Layer (SSL)“.
Durch die dynamische Verschlüsselung kann verhindert werden, dass das Passwort im Klartext gelesen werden kann. Eine weitere Möglichkeit für den Schutz eines Remote-Zugriffs ist die Nutzung
von Secure Shell (SSH).

Entwenden der Liste von Nutzernamen und Passwörtern auf dem IT-System

Bei diesem Angriff hat der Angreifer die Möglichkeit, auf die Liste von Nutzernamen und Passwörtern auf dem IT-System zuzugreifen. Danach kann er sich mit jedem Nutzernamen und dem entsprechenden Passwort erfolgreich anmelden. Wenn der Angreifer die Liste kennt, kann er sofort die entsprechenden
Nutzerzugriffe erlangen. Wenn zum Beispiel Amazon die Passwörter in einer derartigen Liste speichern würde und Angreifer Zugriff darauf erlangen würden, wäre der mögliche Schaden sehr hoch. Aus diesem Grund werden die Passwörter nie im Klartext auf dem IT-System gespeichert

Sicherheitsmechanismen gegen diesen prinzipiellen Angriffsvektor:
Passwort-Hash-Verfahren (mit Salt und Pepper), …
Siehe auch: One-Way-Hashfunktionen

Weitere Angriffsvektoren bei Passwörter / Passwort-Verfahren

Keylogger

Eine Keylogger-Funktion in Malware speichert alle Informationen, die über die Tastatur vom Nutzer/Opfer in das eigene IT-System eingegeben werden. Diese Informationen sind hauptsächlich Nutzernamen und Passwörter. In regelmäßigen Abständen werden vom Keylogger die gespeicherten Informationen in Drop-Zonen im Internet abgelegt. Drop-Zonen sind Speicherbereiche von nutzbaren Servern im Internet, von denen sich die Angreifer die Nutzernahmen und Passwörter unentdeckt holen können und damit Angriffe auf die entsprechenden Dienste im Internet durchführen.

Phishing

Mit einem Phishing-Angriff wird versucht, an persönliche Daten eines Opfers zu gelangen und damit Identitätsdiebstahl zu begehen. Siehe: Phishing

Spear-Phishing / Whaling

Beim Spear-Phishing werden die Opfer sorgfältig recherchiert und ausgewählt und erhalten E-Mails, die auf sie persönlich zugeschnitten sind und viel glaubwürdiger wirken. Siehe: Spear-Phishing / Whaling

Über die Schulter schauen („Shoulder Surfing“)

Vielen Nutzern ist nicht bewusst, wie einfach die Einsicht in oder das Erlangen von vertraulichen Informationen, wie Passwörtern in öffentlichen Bereichen (beispielsweise im Flugzeug, im Zug oder im Café), sein kann. Es reicht zum Teil schon, wenn der Interessierte einen Blick über die Schulter wagt. Das Beobachten der Eingabe eines Passworts ist für geübte Angreifer eine gute Möglichkeit, an Passwörter zu kommen.


Mit Social Engineering Nutzer motivieren, Passwörter zu nennen
Mithilfe von Social Engineering werden Menschen so beeinflusst, dass sie Passwörter freiwillig nennen. „Social Engineers“ spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen, wie Autoritätshörigkeit, aus, um an Passwörter zu gelangen. Häufig dient Social Engineering oder auch Social Hacking dem Eindringen in ein fremdes IT-System, um vertrauliche Daten einzusehen und/oder Aktionen auslösen zu können.

Ein bekanntes Passwort auf einem anderen IT-System ausprobieren

Falls ein Angreifer Nutzername und Passwort von einer Person besitzt, kann er versuchen, mit diesen Informationen weitere Zugänge zu anderen IT-Systemen zu erlangen. Nutzername und Passwort können zum Beispiel aus einem anderen Angriff auf einen anderen Dienst erlangt oder im Darknet gekauft werden. Hintergrund dieser Vorgehensweise ist, dass viele Nutzer den gleichen Nutzernamen und das gleiche Passwort für verschiedene Zugänge nutzen.

Beispiel eines speziellen Angriffs, um an Nutzernamen und Passwörter zu gelangen: Angreifer können eine einfache und unbedeutende Webseite zur Verfügung stellen, bei der sich Nutzer mit Nutzername und Passwort anmelden müssen. Wenn die Nutzer das gleiche Passwort für andere, wichtige Dienste nutzen, kann ein Angreifer das gestohlene Passwort für einen Angriff auf einen wichtigen Dienst verwenden.

Sicherheitsfragen / Reset-Mechanismus / Passwort Recovery
„Passwort vergessen“-Funktionen erlauben, ein Passwort zurückzusetzen. Eine oft genutzte Variante ist, Fragen, zu denen vorher Antworten hinterlegt worden sind, zu beantworten. Wenn die Frage richtig beantwortet ist, wird das Passwort zurückgesetzt, der Nutzer bekommt die Gelegenheit, ein neues Passwort einzugeben.

Typische Fragen sind:

• Wie lautet der Name Ihres ersten Haustieres?
• Welche war Ihre erste Telefonnummer?
• In welcher Stadt sind Sie geboren?

Da diese Fragen mithilfe von Social Engeneering und sozialen Netzwerken leicht beantwortet werden können, ist dieses Verfahren nicht besonders sicher. 

Weitere Informationen zum Begriff “Passwörter / Passwort-Verfahren”:

„Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung“

„Sichere Authentifizierung im Internet – Mit der SmartCard durch den Passwort-Jungel“

„Sichere Authentisierung im Internet – OpenID trifft elektronischen Personalausweis“

„Die Gefahr aus dem Internet“

„Risikobasierte und adaptive Authentifizierung“

„Wiederaufbau – Verschlüsselung als Mittel gegen die Überwachung“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Security: Kann es Sicherheit im Netz geben?“

„Cyber-Sicherheit vor dem Hintergrund von Krisensituationen“

„Cyber-Sicherheitslage – Cyber-Sicherheitsstrategien“

„Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“

„Vertrauenswürdigkeits-Plattform“

Summary

Article Name

Passwörter / Passwort-Verfahren

Description

Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Der Nutzer weist beim Zugriff auf das IT-System die Echtheit seiner Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo