|
|
 |
 |
|
 Passwort Challenge Response
|
Passwortschutz und Qualität |
| |
|
|
|
Passwörter gelten als geteiltes Geheimnis und sind deshalb ein bevorzugtes Angriffsziel.
|
Passwortgenerierung |
Bei benutzergenerierten Passwörtern kann man davon ausgehen, dass der Benutzer ein Passwort wählt, dass er sich gut merken, wahrscheinlich mit sozialem Kontext und mit dem er umgehen kann, also keine umständlichen Sonderzeichen, was unweigerlich in unsicheren Passwörtern mündet.
Gute systemgenerierte Passcodes weisen sicherere computertechnische Eigenschaften aus, durch die schlechten mnemotechnischen Eigenschaften werden diese aber mit steigender Zahl, irgendwo als Gedächtnisstütze notiert werden.
Um erfolgreiche Attacken, wie Erraten über sozialen Kontext, Wörterbuchangriff und Brute-Force-Angriffe zu vermeiden sind, sollte man Passwörter zwar durch den Benutzer wählen zu lassen aber bestimmte technische Eigenschaften wie Länge, Sonderzeichen, keine Wiederholung alter Passworte, zu erzwingen, sowie bei wiederholten Fehleingaben eine Sperre oder steigende Zeitintervalle zu verwenden. Gleichzeitig sind die Benutzer unbedingt in die sichere Verwendung einzuschulen.
Gut merkbare Passwörter können durch Anwendung bestimmter Verfahren sicherer gemacht werden.
|
merkbare Passwörter |
 |
Akronym-Methode: Dabei wird vom Benutzer ein Satz gewählt, von dem bestimmte Zeichen, wie die Anfangsbuchstaben oder jedes x-te Zeichen, als Passwort zusammengesetzt werden. Zusätzlich können bestimmte Buchstaben durch ähnlich klingende oder aussehende Zahlen oder Sonderzeichen ersetzt werden. |
|
Collage-Methode: Ein Ausgangswort wird in eine andere Sprache übersetzt und aus beiden werden bestimmte Zeichen ausgewählt, sowie mit Sonderzeichen und Zahlen versehen, aus Hauptabendprogramm und Prime-Time könnte "Hap2015PT" werden. |
|
Social Engineering |
Social Engineering ist eine Täuschung mit Hilfe von angeblichen, vorgetäuschten Autoritätsverhältnis, je nach Fall, Administrator, Bankbeamte, oder Polizist, etc. und ist bei unbedarften Benutzern sehr wahrscheinlich erfolgreich.
Das Ausspähen vor Ort, durch Dumpster Diving, oder durch Suchen in persönlichen Dingen kann, wenn nicht gleich das Passwort, viele Hinweise auf mögliche Passwörter (durch sozialen Kontext!) bringen.
|
technischer Schutz |
Technischer Schutz ist überall notwendig, wo Passwörter verarbeitet werden: am Authentifizierungsserver oder der lokalen Datenbank, sowie am Eingabeterminal, konkret der Schutz vor Manipulationen der Soft- und Hardware, bzw. Abhören der Übertragung.
|
Linktipps |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
