Gedanken zu

Gedanken zu "sicheren Passwörtern"

Marc Ruef
by Marc Ruef
time to read: 6 minutes

Ein klassischer und gern diskutierter Tipp im Bereich der angewandten Computersicherheit ist der Einsatz sicherer Passwörter. Diese sollen möglichst lang und möglichst komplex sein sowie möglichst oft gewechselt werden.

Das Problem hierbei ist, dass viele Benutzer dieser Kompliziertheit ausweichen möchten. Als zu hoch wird der Aufwand eingeschätzt, den vermeintlich weltfremden Anforderungen der Unternehmensrichtlinien gerecht zu werden. Cormac Herley von Microsoft Research hat dies in seiner Arbeit So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users wie folgt zusammengefasst (Abstract):

It is often suggested that users are hopelessly lazy and unmotivated on security questions. They chose weak passwords, ignore security warnings, and are oblivious to certificates errors. We argue that users’ rejection of the security advice they receive is entirely rational from an economic perspective. The advice offers to shield them from the direct costs of attacks, but burdens them with far greater indirect costs in the form of effort.

Und in der Tat scheinen gewisse Empfehlungen bezüglich Passwortsicherheit nicht mehr zeitgemäss. Bruteforce-Attacken gelten nicht mehr als die grösste Gefahr. Slowdown- und Lockout-Mechanismen machen sie sehr träge oder verunmöglichen sie gar, wie im Dokument Do Strong Web Passwords Accomplish Anything? beschrieben wird (Absatz 2.1):

To consider a concrete example, if a bank allows only 6 digits PINs (a relatively weak password) and locks an account for 24 hours after three attemps an attacker could search 3 × 365 × 10=1e6 ≈ 0.011 or 1% of the key-space in 10 years. This seems like a small risk. Further, the ratio of unsuccessful to successful logins would be huge and hence easily detected; in reality this is a very loose upper bound on the risk of a brute-force break-in on a single account protected with a 6 digit PIN (or equivalent).

Und strenge Passwörter helfen jedoch nicht gegen Trojanische Pferde (Sniffing und Keylogger). Und das sind gegenwärtig die grössten Probleme, denen die jeweiligen Benutzer ausgesetzt sind (Absatz 2):

There is little benefit in a strong password since phishing and keylogging are the main threats to a user’s password and even a weak password will withstand ten years of sustained brute-force attack on an account (…)

Die Passwortrichtlinie sollte deshalb lediglich grundlegende Voraussetzungen schaffen, um rudimentäre Attacken unattraktiv gestaltet zu lassen – Ohne dabei den Komfort der Nutzung durch legitime Anwender unwillentlich zu zerstören. Minimale Anforderungen an ein sicheres System sind damit:

ID Passwortwahl Bruteforce Trojaner
1. Minimale Passwortlänge (6 Zeichen) Prävention
2. Keine Namen/Worte Prävention
3. Keine reinen Zahlenwerte Prävention
  Passwortverwaltung    
4. Keine mehrfache Nutzung von Passwörtern Prävention Prävention
5. Ändern des Passworts (z.B. nach 180 Tagen) Prävention Reaktion
6. Sperren inaktiver Konten (z.B. nach 30 Tagen) Prävention Prävention
7. Keine geteilten Passwörter in Gruppen Prävention
  Analyse und Prävention    
8. Temporärer Lockout des Accounts (z.B. nach 5 Fehlversuchen) Prävention
9. Logging/Monitoring von Zugriffen Reaktion Reaktion
10. Binding von Quell-IP-Adressen Reaktion

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several universities, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to bring your logging and monitoring to the next level?

Our experts will get in contact with you!

×
Password Leak Analysis

Password Leak Analysis

Marc Ruef

MITRE ATT&CK

MITRE ATT&CK

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here