idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
10/15/2020 13:12

Sicherheit im Netz: Hacker haben zu leichtes Spiel mit Passwörtern

Eva Tritschler Presse- und Öffentlichkeitsarbeit
Hochschule Bonn-Rhein-Sieg

    Fast jeder hat mindestens zehn oder zwanzig. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr: Passwörter für Bankgeschäfte, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am Arbeitsplatz. Immer häufiger versucht jemand, Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen, in der Regel mit finanziellem Schaden für die Nutzer. Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS), von Prof. Dr.-Ing. Luigi Lo Iacono am Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg (H-BRS), arbeitet an Methoden, mit denen legitime Nutzer beim Einloggen als solche erkannt werden, Gauner jedoch scheitern.

    „Es geht um risikobasierte Authentifizierung, kurz RBA“, sagt Wiefling und erklärt das Prinzip. Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort, solange das System keine Auffälligkeiten erkennt. Erst wenn es sich aufgrund des Verhaltens nicht sicher ist, dass sich die legitime Person einloggen möchte, fragt es nach einer zweiten Autorisierung. Verdächtig ist sogenanntes abweichendes Verhalten. Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit an, interpretiert das System dies als abweichendes Verhalten und verlangt eine Bestätigung über die legitime Anmeldung.

    Risikobasierte Authentifizierung ist damit für Nutzer insofern komfortabel, als sie nur einmal ihr Passwort eingeben müssen, um von der Webseite akzeptiert zu werden, sofern nichts Ungewöhnliches vor sich geht. Dies bestätigt auch eine Laborstudie mit knapp 70 Nutzerinnen und Nutzern: Sie nehmen laut Wiefling RBA zudem als signifikant sicherer wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugen sie ganz klar RBA für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.

    Damit nicht genug untersucht Wiefling in seinem Forschungsvorhaben RBA im Vergleich zur Zwei-Faktor-Authentifizierung (2FA), bei der sich Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – authentifizieren müssen, damit das System sie akzeptiert. Bei gleichem Sicherheitsgefühl werde RBA zwar deutlich besser akzeptiert als 2FA, berichtet Wiefling, aber es gebe eine Ausnahme: Bei Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking wird die Zwei-Faktor-Authentifizierung noch bevorzugt.

    Passwortsicherheit und -raten

    Doch wie kommen Internetkriminelle überhaupt an Passwörter heran und welche Techniken nutzen sie? Wie sollten sichere Passwörter beschaffen sein?

    Doktorand Stephan Wiefling nennt die beiden kritischen Situationen. Zu der ersten gehören massive sogenannte Datenbankleaks. Dabei werden – wie in der Vergangenheit geschehen – beispielsweise bei LinkedIn, Adobe oder MySpace – Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probieren die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heißt diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert wird.

    Die zweite Methode ist das immer ausgeklügeltere Raten von Passwörtern mit verblüffendem Erfolg. Wiefling: „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen.“ Die Ratemethode basiert auf Annahmen und vorhandenen Daten. Jemand sammelt Daten zu einer Zielperson wie Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres. Danach berechnet der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden. „Wir sind nun mal Menschen und können uns kryptische Zeichenkombinationen nur schwer merken“, erklärt Wiefling den erschreckenden Erfolg der Methode, die schon 2016 wissenschaftlich beschrieben wurde.

    Wiefling lässt seine Passwörter von einem Passwort-Manager erstellen, den manche Internetbrowser direkt anbieten. Außerdem sollte kein Passwort für mehrere Internetdienste benutzt werden, rät er und ergänzt, nicht jedes Passwort müsse unendlich kompliziert sein. Ein längerer Satz wie „Montags arbeite ich oft sehr gerne“ bringe meist bessere Sicherheit als schwer merkbare, dafür aber kürzere Zeichenkombinationen wie „$Le90pch“. Damit entsteht eine Fülle von Passwörtern, die er in einem Online-Safe für Passwörter speichert, wo sie automatisch verschlüsselt werden. Nutzer müssen sich dann nur noch ein einziges Passwort merken: Es öffnet den Safe und entschlüsselt die Passwörter.

    Positives Echo von IT-Sicherheitsexperten

    Im Zuge seiner Forschungsarbeit veröffentlichte Doktorand Wiefling schon einige Paper und Aufsätze mit Ergebnissen, die große Aufmerksamkeit in der Branche hervorgerufen haben. So hat beispielsweise der international renommierte IT-Sicherheitsexperte Bruce Schneier die neueste Studie in seinem Blog empfohlen. Auch die RBA-Entwickler bei Google zeigten sich von seiner Arbeit sehr angetan. Deshalb ist er sich sicher, dass die Ergebnisse für einen größeren Einsatz von RBA sorgen können. „In der Folge können noch mehr Nutzerinnen und Nutzer von den Vorteilen dieser Technologie profitieren“, sagt Wiefling.

    Informationssicherheit können an der H-BRS bereits Studierende im Bachelor-Studium Informatik als Spezialgebiet wählen. Ab dem Wintersemester 2021/22 soll dann der Studiengang „Cybersecurity and Privacy“ an den Start gehen.


    Contact for scientific information:

    Stephan Wiefling
    Gruppe für Daten- und Anwendungssicherheit (DAS)
    Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg
    Tel. 02241/865-9567
    E-Mail: stephan.wiefling@h-brs.de


    Original publication:

    https://riskbasedauthentication.org/usability/perceptions/


    More information:

    http://Gruppe für Daten- und Anwendungssicherheit (DAS):
    https://das.h-brs.de
    http://Blog von Bruce Schneier:
    https://www.schneier.com/blog/archives/2020/10/on-risk-based-authentication.html
    http://Kontrolle der eigenen E-Mail-Adresse und Passwörter in Datenbankleaks:
    https://haveibeenpwned.com/
    http://Spezialisierung Informationssicherheit im Studiengang Informatik: www.h-brs.de/inf/spezialisierungen-den-bachelorstudiengaengen-informatik-und-wirtschaftsinformatik


    Images

    Doktorand Stephan Wiefling
    Doktorand Stephan Wiefling
    TH Köln
    TH Köln

    Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft wird.
    Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft ...
    Stephan Wiefling/H-BRS
    Stephan Wiefling/H-BRS


    Criteria of this press release:
    Journalists
    Information technology
    transregional, national
    Research results, Scientific Publications
    German


     

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).