Fast jeder hat mindestens zehn oder zwanzig. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr: Passwörter für Bankgeschäfte, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am Arbeitsplatz. Immer häufiger versucht jemand, Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen, in der Regel mit finanziellem Schaden für die Nutzer. Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS), von Prof. Dr.-Ing. Luigi Lo Iacono am Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg (H-BRS), arbeitet an Methoden, mit denen legitime Nutzer beim Einloggen als solche erkannt werden, Gauner jedoch scheitern.
„Es geht um risikobasierte Authentifizierung, kurz RBA“, sagt Wiefling und erklärt das Prinzip. Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort, solange das System keine Auffälligkeiten erkennt. Erst wenn es sich aufgrund des Verhaltens nicht sicher ist, dass sich die legitime Person einloggen möchte, fragt es nach einer zweiten Autorisierung. Verdächtig ist sogenanntes abweichendes Verhalten. Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit an, interpretiert das System dies als abweichendes Verhalten und verlangt eine Bestätigung über die legitime Anmeldung.
Risikobasierte Authentifizierung ist damit für Nutzer insofern komfortabel, als sie nur einmal ihr Passwort eingeben müssen, um von der Webseite akzeptiert zu werden, sofern nichts Ungewöhnliches vor sich geht. Dies bestätigt auch eine Laborstudie mit knapp 70 Nutzerinnen und Nutzern: Sie nehmen laut Wiefling RBA zudem als signifikant sicherer wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugen sie ganz klar RBA für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.
Damit nicht genug untersucht Wiefling in seinem Forschungsvorhaben RBA im Vergleich zur Zwei-Faktor-Authentifizierung (2FA), bei der sich Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – authentifizieren müssen, damit das System sie akzeptiert. Bei gleichem Sicherheitsgefühl werde RBA zwar deutlich besser akzeptiert als 2FA, berichtet Wiefling, aber es gebe eine Ausnahme: Bei Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking wird die Zwei-Faktor-Authentifizierung noch bevorzugt.
Passwortsicherheit und -raten
Doch wie kommen Internetkriminelle überhaupt an Passwörter heran und welche Techniken nutzen sie? Wie sollten sichere Passwörter beschaffen sein?
Doktorand Stephan Wiefling nennt die beiden kritischen Situationen. Zu der ersten gehören massive sogenannte Datenbankleaks. Dabei werden – wie in der Vergangenheit geschehen – beispielsweise bei LinkedIn, Adobe oder MySpace – Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probieren die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heißt diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert wird.
Die zweite Methode ist das immer ausgeklügeltere Raten von Passwörtern mit verblüffendem Erfolg. Wiefling: „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen.“ Die Ratemethode basiert auf Annahmen und vorhandenen Daten. Jemand sammelt Daten zu einer Zielperson wie Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres. Danach berechnet der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden. „Wir sind nun mal Menschen und können uns kryptische Zeichenkombinationen nur schwer merken“, erklärt Wiefling den erschreckenden Erfolg der Methode, die schon 2016 wissenschaftlich beschrieben wurde.
Wiefling lässt seine Passwörter von einem Passwort-Manager erstellen, den manche Internetbrowser direkt anbieten. Außerdem sollte kein Passwort für mehrere Internetdienste benutzt werden, rät er und ergänzt, nicht jedes Passwort müsse unendlich kompliziert sein. Ein längerer Satz wie „Montags arbeite ich oft sehr gerne“ bringe meist bessere Sicherheit als schwer merkbare, dafür aber kürzere Zeichenkombinationen wie „$Le90pch“. Damit entsteht eine Fülle von Passwörtern, die er in einem Online-Safe für Passwörter speichert, wo sie automatisch verschlüsselt werden. Nutzer müssen sich dann nur noch ein einziges Passwort merken: Es öffnet den Safe und entschlüsselt die Passwörter.
Positives Echo von IT-Sicherheitsexperten
Im Zuge seiner Forschungsarbeit veröffentlichte Doktorand Wiefling schon einige Paper und Aufsätze mit Ergebnissen, die große Aufmerksamkeit in der Branche hervorgerufen haben. So hat beispielsweise der international renommierte IT-Sicherheitsexperte Bruce Schneier die neueste Studie in seinem Blog empfohlen. Auch die RBA-Entwickler bei Google zeigten sich von seiner Arbeit sehr angetan. Deshalb ist er sich sicher, dass die Ergebnisse für einen größeren Einsatz von RBA sorgen können. „In der Folge können noch mehr Nutzerinnen und Nutzer von den Vorteilen dieser Technologie profitieren“, sagt Wiefling.
Informationssicherheit können an der H-BRS bereits Studierende im Bachelor-Studium Informatik als Spezialgebiet wählen. Ab dem Wintersemester 2021/22 soll dann der Studiengang „Cybersecurity and Privacy“ an den Start gehen.
Stephan Wiefling
Gruppe für Daten- und Anwendungssicherheit (DAS)
Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg
Tel. 02241/865-9567
E-Mail: stephan.wiefling@h-brs.de
https://riskbasedauthentication.org/usability/perceptions/
http://Gruppe für Daten- und Anwendungssicherheit (DAS):
https://das.h-brs.de
http://Blog von Bruce Schneier:
https://www.schneier.com/blog/archives/2020/10/on-risk-based-authentication.html
http://Kontrolle der eigenen E-Mail-Adresse und Passwörter in Datenbankleaks:
https://haveibeenpwned.com/
http://Spezialisierung Informationssicherheit im Studiengang Informatik: www.h-brs.de/inf/spezialisierungen-den-bachelorstudiengaengen-informatik-und-wirtschaftsinformatik
Doktorand Stephan Wiefling
TH Köln
TH Köln
Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft ...
Stephan Wiefling/H-BRS
Stephan Wiefling/H-BRS
Merkmale dieser Pressemitteilung:
Journalisten
Informationstechnik
überregional
Forschungsergebnisse, Wissenschaftliche Publikationen
Deutsch
Doktorand Stephan Wiefling
TH Köln
TH Köln
Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft ...
Stephan Wiefling/H-BRS
Stephan Wiefling/H-BRS
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).