Anzeige

Passwort

Fast jeder hat mindestens zehn oder zwanzig davon. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr. Die Rede ist von Passwörtern, die im Netz bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am Arbeitsplatz benötigt werden.

Immer häufiger kommt es vor, dass jemand versucht, Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen, in der Regel mit finanziellem Schaden für die Nutzer. Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS), von Prof. Dr.-Ing. Luigi Lo Iacono am Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg (H-BRS), arbeitet an Methoden, mit denen legitime Nutzer beim Einloggen als solche erkannt werden, Gauner jedoch ihr Ziel nicht erreichen.

„Es geht um risikobasierte Authentifizierung, kurz RBA“, sagt Wiefling und erklärt das Prinzip. Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort, solange das System keine Auffälligkeiten erkennt. Erst wenn es sich aufgrund des Verhaltens nicht sicher ist, dass sich die legitime Person einloggen möchte, fragt es nach einer zweiten Autorisierung. Verdächtig ist sogenanntes abweichendes Verhalten. Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit an, interpretiert das System dies als abweichendes Verhalten und verlangt eine Bestätigung über die legitime Anmeldung. Risikobasierte Authentifizierung ist damit für Nutzer insofern komfortabel, als sie nur einmal ihr Passwort eingeben müssen, um von der Webseite akzeptiert zu werden, sofern nichts Ungewöhnliches vor sich geht. Dies bestätigt auch eine Laborstudie mit knapp 70 Nutzerinnen und Nutzern: Sie nehmen laut Wiefling RBA zudem als signifikant sicherer wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugen sie ganz klar RBA für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.

Damit nicht genug untersucht Wiefling in seinem Forschungsvorhaben RBA im Vergleich zur Zwei-Faktor-Authentifizierung (2FA), bei der sich Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – authentifizieren müssen, damit das System sie akzeptiert. Bei gleichem Sicherheitsgefühl werde RBA zwar deutlich besser akzeptiert als 2FA, berichtet Wiefling, aber es gebe eine Ausnahme: Bei Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking wird die Zwei-Faktor-Authentifizierung noch bevorzugt.


Das könnte Sie auch interessieren:

Whitepaper

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung (kurz 2FA, MFA oder SCA1). Dieses Whitepaper beschreibt die Auswahl des optimalen zweiten Faktors, sechs Erfolgskriterien für die erfolgreiche 2FA-Integration und das Zusammenspiel von cIAM und 2FA.

 

Deutsch, 18 Seiten, PDF 0,3 MB, kostenlos


Passwortsicherheit und -raten

Doch wie kommen Internetkriminelle überhaupt an Passwörter heran und welche Techniken nutzen sie? Wie sollten sichere Passwörter beschaffen sein?

Doktorand Stephan Wiefling nennt die beiden kritischen Situationen. Zu der ersten gehören massive sogenannte Datenbankleaks. Dabei werden – wie in der Vergangenheit geschehen – beispielsweise bei LinkedIn, Adobe oder MySpace – Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probieren die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heißt diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert wird.

Die zweite Methode ist das immer ausgeklügeltere Raten von Passwörtern mit verblüffendem Erfolg. Wiefling: „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen.“ Die Ratemethode basiert auf Annahmen und vorhandenen Daten. Jemand sammelt Daten zu einer Zielperson wie Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres. Danach berechnet der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden. 

www.h-brs.de

 


Artikel zu diesem Thema

Passwort
Okt 14, 2020

Starke Passwörter sind kein Hexenwerk

Bequemlichkeit statt Sicherheit: Das ist nach wie vor das Credo vieler…

Weitere Artikel

Cybercrime

Cyberangriff auf die Rüstungsindustrie

Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre…
Malware

UEFI-Malware bleibt Bedrohung für Privatanwender und Unternehmen

Mit dem Schadprogramm Lojax war das Unified Extensible Firmware Interface (UEFI) im Herbst 2018 in aller Munde. ESET Forscher hatten herausgefunden, dass Hacker mit neuartigen Angriffsmethoden die Firmware auf Mainboards infiltrieren und über diesen Weg die…
Cyber Security

Cyberangriffen vorbeugen und Schwachstellen erkennen

Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst. Wenn es jedoch an kritischer Transparenz an den Endpunkten mangelt, haben Cyberkriminelle leichtes Spiel.
Hackerangriff

Kritische und industrielle Infrastrukturen: Cyber-Risiken auf Allzeithoch

Ein neuer Bericht von Nozomi Networks Labs zeigt auf, dass die Cyberbedrohungen in der ersten Hälfte des Jahres 2021 mit alarmierender Geschwindigkeit zugenommen haben. Die Angriffe werden großenteils durch die neuen Ransomware-as-a-Service…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.