Passwörter für die digitale Welt können eine Plage sein. Erst recht, wenn man den Ratschlägen von IT-Sicherheitsexperten folgen und kryptisch-komplizierte Zeichenketten wählen muss, die man schon am nächsten Morgen vergessen hat. Microsoft-Forscher unternehmen nun einen neuen Anlauf, Passwörter einfach handhabbar zu machen – ohne dabei Crackern eine offene Flanke zu bieten.
Wer kennt nicht die Vorgabe, man solle 14 Zeichen wählen, die „mindestens zwei Großbuchstaben, zwei Ziffern und drei Symbole“ enthalten? Dieser Ansatz hilft ganz gut gegen so genannte „Wörterbuch-Angriffe“, bei denen Cracker nacheinander viele einfache Begriffe durchprobieren.
Doch viele Nutzer vertrauen immer noch auf Wörter, die sie sich leicht merken können – und die für Angreifer relativ leicht zu erraten sind. Als der Onlinedienst RockYou im vergangenen Dezember versehentlich die Passwörter seiner 32 Millionen registrierten Nutzer offen legte, gehörte fast die Hälfte davon zur Gattung der „trivialen Passwörter“. Dabei handelte es sich um simple Zahlenfolgen, Wörter oder Vornamen, wie eine Analyse der IT-Sicherheitsfirma Imperva ergab.
Eine Möglichkeit, Wörterbuch-Angriffen vorzubeugen, ist, ein Nutzerkonto vorübergehend zu sperren, wenn mehrmals hintereinander falsche Kennwörter eingegeben wurden. Angreifer haben jedoch längst einen Weg gefunden, diese Kontosperrung zu umgehen. Anstatt für ein Konto automatisiert Millionen einfache Zeichenketten auszuprobieren, versuchen sie – ebenfalls automatisiert – einige verbreitete einfache Zeichenketten auf Millionen verschiedenen Accounts, in der Hoffnung, dass eine schon irgendwo passen wird.
Vor diesem statistischen Raten soll nun der neue Ansatz von Microsoft ebenso schützen wie vor Wörterbuch-Angriffen – ohne jedoch die Nutzer zu komplizierten Zeichenketten zu zwingen. Stattdessen zählt das System, wie oft ein Begriff als Kennwort angemeldet wurde. Ab einer niedrigen Zahl wird dieser als zulässige Option gesperrt – der Nutzer muss so lange neue Begriffe versuchen, bis das System das OK gibt. Dieses Verfahren ist für Dienste gedacht, die Millionen von Nutzern haben, zum Beispiel Microsoft Hotmail oder soziale Netzwerke.
Die Microsoft-Forscher Stuart Schechter und Cormac Herley veröffentlichen das Konzept gemeinsam mit dem Harvard-Informatiker Michael Mitzenmacher in einem Paper zur Konferenz „Hot Topics in Security“, die im August in Washington stattfinden wird. „Erzeugungsregeln durch Popularitätskontrollen zu ersetzen hat das Potenzial, Sicherheit und Benutzerfreundlichkeit gleichermaßen zu steigern“, schreiben die Autoren. „Da keine Passwörter zu häufig vorkommen dürfen, fehlen Angreifern die populären Passwörter, um eine erhebliche Anzahl von Nutzerkonten durch statistisches Raten zu kompromittieren.“
Microsoft plane jedoch aktuell noch nicht, das neue System einzuführen: „Wir wollen das Konzept erst einmal vorstellen und Reaktionen aus der IT-Sicherheitscommunity abwarten“, sagt Herley.
Die hat sich in den vergangenen Jahren verstärkt dem Thema „benutzerfreundliche Sicherheit“ gewidmet – die man leider vielen gängigen Verfahren nicht attestieren kann. So ist zum Beispiel eine Kontensperrung nach dreimaliger Falscheingabe des Kennworts gebräuchlich. Die Londoner Informatiker Sascha Brostoff und Angela Sasse konnten jedoch schon 2003 zeigen, dass eine Erhöhung auf zehn Falscheingaben die Gesamtsicherheit eines IT-System nur marginal verringert.
Eine andere Microsoft-Studie, die vergangene Woche beim Symposium on Usable Privacy and Security in Redmond vorgestellt wurde, wirft ein neues Licht darauf, dass manche Organisationen sehr komplizierten Passwörtern vertrauen. Untersucht wurden 75 Websites, darunter die Top 20 des Internet, Universitätsnetzwerke, Banken- und Behördenseiten. Dinei Florencio und Cormac Herley konnten keinen Zusammenhang finden zwischen dem Wert eines Nutzerkontos für Cracker, der Anzahl der Angriffe auf die Website und der geforderten Komplexität von Kennwörtern.
Gerade Dienste, bei denen Nutzer zwischen verschiedenen Anbietern wählen können, tendieren zu niedrigeren Passwort-Anforderungen. Stattdessen setzen diese Anbieter andere Verfahren gegen Betrügereien ein, um ihren Kunden das Einloggen nicht schwerer als nötig zu machen.
Florencio und Herley fanden auch heraus, dass die kompliziertesten Kennwörter dort verlangt werden, wo es keine Konkurrenz gibt, etwa bei der US-Sozialversicherungsbehörde, dem amerikanischen Wetterdienst oder Emailsystemen großer Universitäten. Diese Anbieter hätten keinen Anreiz, Benutzerfreundlichkeit und Sicherheit gegeneinander abzuwägen oder andere Verfahren zum Schutz von Nutzerkonten einzusetzen, so die Microsoft-Forscher.
„Die meisten Organisationen beschäftigen Sicherheitsspezialisten, die strenge Vorkehrungen verlangen, haben aber selten Vorgaben an die Benutzerfreundlichkeit, die wirklich ernst genommen werden“, schreiben Florencio und Herley. „Wenn es keine oder kaum Stimmen für Usability gibt, werden die Sicherheitsmaßnahmen unnötig hochgeschraubt.“
Simson Garfinkel forscht an der Naval Postgraduate School in Monterey zu Computer-Forensik, Datenschutz und persönlichem Informationsmanagement und gehörte zum Programmkommittee des Symposium on Usable Security and Privacy 2010.
Permalink: http://heise.de/-1043420
