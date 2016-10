Benutzerfreundlichkeit trotz komplexer Passwörter

Cyberkriminelle können heutzutage sehr einfach Hash-Werte abgreifen und Passwörter damit in kürzester Zeit auslesen. Abhilfe schafft ein neues kryptographisches Protokoll, das die Passwort-Verifikation auf mehrere Server aufteilt. Diese dezentrale Speicherung verringert das Risiko des Datenklaus drastisch. Der Beitrag zeigt, wie die Gratwanderung zwischen komplexen Passwörtern und hoher Benutzerfreundlichkeit gelingt, ohne dabei an Sicherheit einzusparen.

Eine Dezentralisierung der Hashwert-Berechnung könnte die Sicherheit von Passwörtern deutlich erhöhen.

Sichere Passwörter zu verwenden, war nie wichtiger als heute und wird auch zukünftig kaum an Relevanz verlieren. Allerdings entwickeln sich die Suche und vor allem die Verwaltung von passenden Kennwörtern für viele Nutzer inzwischen zu einer großen Herausforderung. Angriffe auf Server und Webapplikationen kommen heute fast täglich vor – damit einher gehen Ratschläge an User zu längeren, komplexeren Chiffren, die im Idealfall in regelmäßigen und kurzfristigen Abständen geändert werden sollten. Das sorgt nicht selten für Überforderung und führt so gleichzeitig zu einer falschen beziehungsweise unsicheren Nutzung.



Nutzer ohne ausreichende Schutzmaßnahmen

Das suggerierte Bild ist deutlich: Die Verantwortung zum Schutz der Zugangsdaten liegt in der öffentlichen Wahrnehmung klar auf der Seite des Nutzers. Allerdings zeigen Brute-Force Angriffe der jüngeren Vergangenheit oder das Auftauchen von LinkedIn Nutzerdaten-Hash-Listen, dass auch komplizierte Passwortkombinationen mittlerweile keinen vollkommenen Schutz der Zugangsdaten bieten. Egal, wie komplex ein Kennwort ist, dank der heute verfügbaren, hohen Rechenleistung können Cyberkriminelle Hash-Werte abgreifen und durch die Abfrage vieler Zeichenkombinationen Passwörter in vergleichsweise kurzer Zeit auslesen.

Das hebelt viele Sicherheitsmaßnahmen, die Nutzern zur Verfügung stehen, aus und ihnen sind beim Schutz ihrer Daten die Hände gebunden. Das Ansehen des Passworts als wichtiges Sicherheits-Tool ist dadurch mittlerweile deutlich geschwächt und Nutzer sehen Kennwörter heute als kompliziertes aber notwendiges Übel bei der Verwendung von Online-Diensten, das allerdings keinen 100-prozentigen Schutz garantiert.



Anbieter von Online-Diensten unter Zugzwang

Im Umkehrschluss müssen sich die Anforderungen also nicht beziehungsweise nicht nur an die Nutzer von Online-Diensten, sondern auch an die Authentifizierungssysteme selbst erhöhen. Unternehmen – respektive Betreiber von Online-Diensten mit passwortgeschützten Zugängen – sollten an der Herausforderung ansetzen, wie Kennwörter generell gespeichert werden.



Bisher werden Hash-Listen in der Regel mit einem individuellen Schlüssel, der auf einem zentralen Server hinterlegt ist, abgespeichert. Dadurch wird validiert, ob das individuell eingegebene Passwort mit den hinterlegten Nutzerdaten übereinstimmt. Diesen Server können Kriminelle allerdings vergleichsweise leicht kompromittieren und Hash-Werte mittels Brute-Force Verfahren auslesen. Der Leak von Hash-Listen ist einen Schritt weiter gedacht, also gleichbedeutend mit dem Verlust des Passwort-Schutzes.



Dezentrale Speicherung als Schlüssel

Abhilfe könnte in Zukunft ein neu entwickeltes kryptographischen Protokoll zur Passwort-Verifizierung schaffen, das IBM Research - Zürich auf der 2. ACM SIGSAC Conference on Computer and Communications Security (CCS) im Oktober vergangenen Jahres vorstellte. Kern der Betrachtung von IBM Research ist die Dezentralisierung der Hashwert-Berechnung auf mehrere Server. Das neu generierte Protokoll teilt die Passwort-Verifikation auf mehrere Server jeweils mit einem starken kryptographischen Schlüssel auf. Das Kennwort befindet sich also nicht nur auf dem Rechner des Nutzers, sondern ist auf mehrere Quellen verteilt.



Die Verifizierung der Daten verläuft bei der Eingabe über eine gleichzeitige Anfrage an alle beteiligten Server, die über Schlüsselfragmente verfügen. Auf die Anfrage folgt die Prüfung der einzelnen Server auf Echtheit. Verläuft dieser Test positiv, werden die einzelnen Schlüsselfragmente bereitgestellt. Im letzten Schritt wird validiert, ob die individuellen Anmeldedaten in Kombination mit dem jeweiligen Passwort beziehungsweise Schlüssel übereinstimmen und der Nutzer erhält bei Korrektheit Zugang zu seinen individuellen Daten.



Mit lediglich einer einzigen Elliptische-Kurven-Skalarmultiplikation pro Authentifizierung und pro Server stellt sich der Ansatz von IBM Research bisher als hocheffizient heraus. Die Ergon Informatik AG hat das Protokoll darüber hinaus innerhalb eines eigenen Pilotprojekts bereits durch einen Lösungsanbieter aus dem Bereich IT-Sicherheit für Webapplikationen, erfolgreich auf seine Wirksamkeit hin getestet.



Erhöhte Datensicherheit und Entlastung für Nutzer

Eine Kennwort-Attacke auf einen einzelnen Server lässt sich kaum verhindern – die dezentrale Speicherung von Passwörtern verringert allerdings das Risiko drastisch, dass Daten ausgelesen werden können. Schließlich müsste in diesem Fall mehrere Server simultan angegriffen bzw. Datenbanken kompromittiert werden. Der Angreifer einer Passwortdatenbank erhält bei einer klassischen Attacke keinerlei Informationen, mithilfe derer er Passwörter beziehungsweise Nutzerdaten auslesen könnte.



Nutzer von Online-Diensten ziehen aus der dezentralen Speicherung unter anderem den Vorteil der gesteigerten Sicherheit ihrer Daten ziehen. Zusätzlich dazu verringern sich die Anforderungen an die Komplexität der Kennungen. Zwar bleibt es in dem Fall trotzdem ratsam, auf Kombinationen aus Sonderzeichen und Buchstaben zu setzen, allerdings wären damit die Zeiten passé, in denen nur mehrstellige und komplexe Kennwörter Schutz vor dem Auslesen persönlicher Daten bieten.



Fazit

Letztlich bleibt die Erkenntnis, dass Passwörter, wie sie uns seit einiger Zeit begleiten, keineswegs an Sicherheit eingebüßt haben. Die Betrachtung von IBM Research zeigt nur, dass Anbieter von Online-Diensten sie aktuell nur ineffizient verwenden.