Internetkriminalität : Das Zeitalter des Passworts neigt sich dem Ende zu
Seite 2/2:

Die neuen Ideen sind längst da

Google setzt bei Gmail seit einiger Zeit auf dieses Konzept, Facebook ebenso. Wer dort die Two-Factor-Authentication einstellt, wird bei der Anmeldung nicht nur auf sein Passwort, sondern auch auf seinen Rechner hin überprüft. So können Angreifer auch mit einem gehackten Passwort nicht ohne Weiteres an das Konto gelangen. Twitter denkt mittlerweile ebenfalls darüber nach, die Two-Factor-Authentication einzuführen.

Aber auch bei diesem Konzept müssen sich Nutzer weiter für jedes Konto ein Passwort merken. Google will deshalb Hardware-Schlüssel, sogenannte Token, einführen. Ein solcher Schlüssel könnte beispielsweise ein Ring oder ein USB-Stick sein, der Passwörter speichert und bei Bedarf an den Rechner übermittelt; etwa per NFC oder Bluetooth. Der Nutzer müsste sich damit überhaupt kein Passwort mehr merken. Was passiert, wenn der Ring verloren geht, ist aber noch unklar. Denkbar wäre aber – wie im richten Leben – einen Sperrcode oder Ersatzschlüssel bereitzustellen. Auch dieser Ansatz wird von einigen Unternehmen bereits heute genutzt.

Passwort auf Knopfdruck

Mit der Firma Yubico ist Google ebenfalls im Gespräch. Yubico vertreibt einen Token namens Yubikey. Der fingernagelgroße USB-Stick erzeugt auf Knopfdruck einen 32-stelligen Schlüssel und kann über entsprechende Schnittstellen in nahezu jede Anwendung integriert werden, zum Beispiel in die Blogging-Software Wordpress. Der Yubikey läuft unter Mac, Windows und Linux und kostet knapp 25 Euro.

Die Alternative sind Passwort-Manager wie zum Beispiel das Open-Source-Programm KeePass. Open Source heißt, jeder kann den Programmcode auf Schwächen oder Hintertüren überprüfen. KeePass kann große Passwörter generieren, verschlüsselt die Datenbank auf dem Rechner und ruft die Passwörter bei Bedarf ab. Der Nutzer muss sich nur ein einziges starkes Passwort ausdenken, um auf das Programm zugreifen zu können. Außerdem gibt es KeePass für iPhone und Android-Geräte. Wer mag, kann KeePass auch auf einen USB-Stick auslagern und so seine Passwörter komplett vom Rechner trennen.

Wer keinen Passwort-Manager benutzen möchte, sollte über die Anschaffung eines Gedächtnistrainer-Programms nachdenken – um sich die vielen verschiedenen Passwörter dauerhaft merken zu können.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

34 Kommentare Seite 1 von 5 Kommentieren

Wichtiger Punkt

Direkt vor dem Lesen des Artikels beschloss ich einen Kommentar mit Keepass und eben diesem XKCD-Comic zu schreiben, beides hat sich jetzt erübrigt :-) Schön, dass vor allem der Comic einen so prominenten Platz gefunden hat.

Wer KeePass nicht nutzen will könnte immer noch eine handschriftliche Passwortliste führen, so sicher wie die Server der meisten Anbieter ist das allemal …

Was die Sache mit den gleichen Passwörtern angeht: Für Webshop 1–100 (gefühlt zumindest) habe ich auch nur eins, besonders gut ist das nicht, aber sehr praktisch.

Ein Passwort muss nicht kryptisch sein

Seh ich ganz genauso, allerdings aus einem anderen Grund.
Ich kann problemslos ein einfaches PW nutzen,sollte allerdings nicht im Wörterbuch zu finden sein. Der Webseitenbetreiber muss bloß implementieren, dass nach 3 Loginversuchen 30s gewartet werden muss. Dann wieder nach 3 Loginversuchen 1 Minute .. usw
wie zb bei Linux realisiert. Das ganze aber Account gebunden und nicht IP-gebunden. So kann auch keiner ein PW alla "H4n5Z" cracken. Oder seh ich da was falsch?

Login-Sperren sind für diese Angriffe wirkungslos

Bruteforce und Wörterbuch-Attacken werden i.R. nicht gegen die Login-Maske im Browser gefahren. Bei zurückliegenden Fällen war es meistens so, dass ein Angreifer durch andere Sicherheitslücken an die Datenbank gelangt ist. Es kommt also drauf an, wie die Passwörter gespeichert sind.

Wenn die Passwörter in der Datenbank nur mit einfachen Hash-Verfahren gesichert sind, dann kann der Angreifer jetzt in aller Ruhe alle möglichen Passwörter durchprobieren. Je nach Rechenleistung schafft er dabei abertausende Kombinationen pro Sekunde. Eine Login-Sperre ist für diese Art von Angriff wirkungslos. Nur vernünftige Hash-Verfahren (siehe anderen Kommentar) können hier schützen.

Aha ?

Wieso sollte eine "Wörterbuch-Attacke" die Krypotografie aushebeln können mit der Dateien verschlüsselt werden ?

War mehr rhetorisch gefragt, ich muß nicht alles verstehen.

Ich verstehe auch die Rechung in #25 nicht, denn wieso sich aus 50 000 Wörtern, eine Anzahl von 3*10^23 ergibt, wenn man 5 Wörter beliebig auswählt, scheint mir doch so willkürlich wie die "Zonkmathematik". Irgendwas mit Wahrscheinlichkeit, könnte sein, aber an sich gibt es eine bestimmte Anzahl an verwendbaren Zeichen und eine Anzahl an Stellen. Wieviele Buchstaben, somit Stellen, die 5 Wörter ergeben, steht nirgends.
Wenn irgendwo der gesamte ASCII mal zur Verfügung stehen würde, dann wären das bei 11 Stellen 1,5*10^23 und beschränkt man sich da auf die Hälfte der Möglichkeiten, also 52 Buchstaben und 12 weitere bekannte Zeichen (was schon schwierig ist) sind 3*10^23 auch nur erstaunliche 13 Stellen.
Ein bisschen wenig für 5 Worte. Egal, ich finde Schachspieler haben's leichter, wenn die sich einfach Zugfolgen merken können, denn kryptisch ist nur was einem selbst nicht geläufig ist.
Beim Kryptografie Quiz hatte ich 67,etwas %, dabei wußte ich nur 3. und 6. und 2. nur sehr dunkel (nicht geraten & auch nicht gewußt) dabei sieht man gerade bei so historischen Bezügen wie lange es schon mit sowas etwas auf sich hat.