Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  Passworte vs. OTP vs. PKI  
  Wissen - Passworte  
  Besitz - Token  
  Sein - Biometrie  
  Single Sign On Systeme  
  PKI  
  So Geht's  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Passwortverfahren - "was man weiß"
 
INFO & WISSEN
 
Auf den ersten Blick erscheint ein Passwortverfahren als billigste Variante eines Authentifizierungssystems. Zur Identität (Benutzername) wird das Passwort, besser eine Passphrase, eingegeben. Das System prüft die Eingabe gegenüber dem gespeicherten Sollwert.

Passwörter können bewusst oder unbewusst weitergegeben werden. Ebenso können, wenn nicht ausreichend lang, alle Möglichkeiten systematisch getestet werden. Selbstgewählte Passwörter machen meistens, in einem sozialen Kontext, Sinn. Diese Tatsachen kann nur zum Teil auf technischem Gebiet begegnet werden, durch z.B. Einschränkung von Fehlversuchen, dafür sind andere Maßnahmen notwendig. Bei steigender Anzahl an Passwörtern wird es problematisch sich alle merken zu können, auch diesem Problem muss begegnet werden.

Klartextpasswortsysteme
Bei diesen einfachsten Systemen, wo Passworte am Eingabeterminal, beim Transport und Authentifizierung im Klartext vorliegen, sind ebendiese leicht abzugreifen. Zudem sind in der Datenbank alle Passwörter vorhanden. Dieses System ist maximal geeignet für Systeme,

- wo die Datenbank vor jeglicher Manipulation geschützt ist
- das Eingabeterminal direkt mit dem Authentifizierungssystem verbunden ist (bzw. die Verbindung mit wechselnden Schlüsseln verschlüsselt ist) und gegenüber Manipulationen geschützt ist.

Damit verwandt sind Systeme, wo ein symmetrischer Verschlüsselungsschlüssel das geteilte Geheimnis ist (Pre-Shared-Key). Eine erfolgreiche Authentisierung ist mit dem Zustandekommen von verschlüsselter Kommunikation möglich. Zumindest auf die Übertragung ist nur mehr ein kryptanalytischer Angriff möglich. Anwendungsbeispiel: WEP

Eine gewisse Verbesserung gegenüber Eingabe und Übertragung bringt ein System wo ein Passwort oder Geheimnis nur einmal verwendet werden darf. Diese Einmalpasswörter benötigen aber eine komplexere Verwaltung, sie müssen am Authentifizierungssystem gespeichert werden, sie müssen sicher verteilt werden, der "Benutzer" wird sie auch irgendwo "gespeichert" haben. Anwendungsbeispiel: TAN
Klartextpasswortsystem

Klartextpasswortsystem Das Passwort wird in Klartext übermittelt und geprüft


Passwortableitungen
Anstatt das Passwort im Klartext zu übermitteln und zu speichern ist es besser einen bestimmten Algorithmus auf das Passwort anzuwenden und diesen Wert zu übertragen und zu speichern. Konkret werden dafür Hash-Algorithmen verwendet, oder das Passwort (oder der Hash-Wert des Passworts) wird als Schlüssel für einen Verschlüsselungsalgorithmus verwendet. Anwendungen: lokale Authentisierung, Passwortverschlüsselungen

Diese Verfahren bringen Verbesserungen bei der Speicherung, das Eingabesystem sollte trotzdem manipulationssicher sein. Am ersten Blick könnte man glauben, eine Übertragung ist dadurch ebenso geschützt, dem ist nicht so, da diese Daten kopiert und wiedereingespielt (Replay Attack) werden können, d.h. eine Übertragung ist trotzdem zu mit wechselnden Schlüsseln zu verschlüsseln.

Da eine Verschlüsselung, ohne den Verschlüsselungspartner zu authentifizieren, nichts Wert ist, ist das Problem bei diesen Authentifizierungsvarianten auf die Verschlüsselungsebene verschoben. Da wechselnde Schlüssel und Teilnehmerauthentifizierung notwendig ist, bieten sich nur komplexere Protokolle wie z.B. SSL/TLS an. Um dies zu verhindern ist etwas Zufall hinzuzufügen, womit man bei Challenge Response Systemen wäre.
Hashpasswortsystem

Hashpasswortsystem Aus dem Passwort wird ein Hash-Wert abgeleitet und verglichen.


Sonderform Hash-Wert-Ketten
Hash-Wert-Ketten sind besondere Einmalpasswortsysteme. Ausgehend von einem Seed wird eine bestimmte Anzahl von Einwegableitungen (Hash) durchgeführt, diese Liste von "verketteten" Hash-Werten ist die Passwortliste. Der Server speichert lediglich den letzten Hash-Wert. Die Authentifizierung erfolgt somit immer mit dem vorletzten Hash-Wert, mit dem der Server den letzten eingegebenen Wert errechnen kann, usw. die Kette hinauf. Nachteil ist weiterhin die notwendige Speicherung beim "Benutzer" und sehr "unhandliche" Einmalpasswörter. Dieses System wurde auch als Verfahren für digitale Münzen vorgeschlagen.


Passwort Challenge Response


Passwortschutz und Qualität


One-Time-Pass - Systeme


Kosten eines Passwortsystems


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  Passwort Challenge Response  
  Passwortschutz und Qualität  
  Kosten eines Passwortsystems  
  One-Time-Pass - Systeme  
 
  Aktion des Monats!  
  Cryptoshop Bundles!  
  e-card Kartenleser Aktion!  
 
  PKCS - allgemein  
  PAP, MS-CHAP, etc.  
  Authentisieren vs. Authentifizieren  
  Definition: Identität vs. Authentizität  
  Dateiverschlüsselung  
  Webauthentisierung  
  Remote Access  
  Sicheres WLAN  
  Hash  
  Risk Management  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere