Anzeige

Passwort

Fast jeder hat mindestens zehn oder zwanzig davon. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr. Die Rede ist von Passwörtern, die im Netz bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am Arbeitsplatz benötigt werden.

Immer häufiger kommt es vor, dass jemand versucht, Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen, in der Regel mit finanziellem Schaden für die Nutzer. Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS), von Prof. Dr.-Ing. Luigi Lo Iacono am Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg (H-BRS), arbeitet an Methoden, mit denen legitime Nutzer beim Einloggen als solche erkannt werden, Gauner jedoch ihr Ziel nicht erreichen.

„Es geht um risikobasierte Authentifizierung, kurz RBA“, sagt Wiefling und erklärt das Prinzip. Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort, solange das System keine Auffälligkeiten erkennt. Erst wenn es sich aufgrund des Verhaltens nicht sicher ist, dass sich die legitime Person einloggen möchte, fragt es nach einer zweiten Autorisierung. Verdächtig ist sogenanntes abweichendes Verhalten. Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit an, interpretiert das System dies als abweichendes Verhalten und verlangt eine Bestätigung über die legitime Anmeldung. Risikobasierte Authentifizierung ist damit für Nutzer insofern komfortabel, als sie nur einmal ihr Passwort eingeben müssen, um von der Webseite akzeptiert zu werden, sofern nichts Ungewöhnliches vor sich geht. Dies bestätigt auch eine Laborstudie mit knapp 70 Nutzerinnen und Nutzern: Sie nehmen laut Wiefling RBA zudem als signifikant sicherer wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugen sie ganz klar RBA für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.

Damit nicht genug untersucht Wiefling in seinem Forschungsvorhaben RBA im Vergleich zur Zwei-Faktor-Authentifizierung (2FA), bei der sich Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – authentifizieren müssen, damit das System sie akzeptiert. Bei gleichem Sicherheitsgefühl werde RBA zwar deutlich besser akzeptiert als 2FA, berichtet Wiefling, aber es gebe eine Ausnahme: Bei Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking wird die Zwei-Faktor-Authentifizierung noch bevorzugt.


Das könnte Sie auch interessieren:

Whitepaper

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung (kurz 2FA, MFA oder SCA1). Dieses Whitepaper beschreibt die Auswahl des optimalen zweiten Faktors, sechs Erfolgskriterien für die erfolgreiche 2FA-Integration und das Zusammenspiel von cIAM und 2FA.

 

Deutsch, 18 Seiten, PDF 0,3 MB, kostenlos


Passwortsicherheit und -raten

Doch wie kommen Internetkriminelle überhaupt an Passwörter heran und welche Techniken nutzen sie? Wie sollten sichere Passwörter beschaffen sein?

Doktorand Stephan Wiefling nennt die beiden kritischen Situationen. Zu der ersten gehören massive sogenannte Datenbankleaks. Dabei werden – wie in der Vergangenheit geschehen – beispielsweise bei LinkedIn, Adobe oder MySpace – Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probieren die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heißt diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert wird.

Die zweite Methode ist das immer ausgeklügeltere Raten von Passwörtern mit verblüffendem Erfolg. Wiefling: „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen.“ Die Ratemethode basiert auf Annahmen und vorhandenen Daten. Jemand sammelt Daten zu einer Zielperson wie Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres. Danach berechnet der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden. 

www.h-brs.de

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Passwort
Okt 14, 2020

Starke Passwörter sind kein Hexenwerk

Bequemlichkeit statt Sicherheit: Das ist nach wie vor das Credo vieler…

Weitere Artikel

Cyberattack

Cyberattacken größeres Geschäftsrisiko als Pandemien

Auf der it-sa 365 wurde die Studie der IDG-Marktforscher vorgestellt und gibt Auskunft über die wichtigsten Prioritäten und Verteilung der Security Budgets 2021. Anforderungen an die IT-Sicherheit von Unternehmen steigen beständig wegen externer Bedrohungen,…
Cybercrime

BSI-Lagebericht: Corona verschärft Cyber-Gefährdungslage

Die Corona-Pandemie hat großen Einfluss auf die Cyber-Sicherheitslage in Deutschland. Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt.
Phishing

Coronavirus-bezogene Phishing-E-Mail-Angriffe hören nicht auf

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, stellt die Ergebnisse seines Q3 Phishing Reports vor. Der Bericht enthüllt, dass E-Mail-Betreffzeilen im Zusammenhang mit dem Coronavirus COVID-19 nach…
Ransomware

Ransomware - aktuelle Formen und wie sie sich weiterentwickeln werden

Auch in jüngster Zeit sind wieder etliche Ransomware-Vorfälle publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma "zahlen oder nicht zahlen" im Vorfeld…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!