Passwörter, ein sehr verbreitetes Thema, das bei den meisten Menschen nicht wirklich beliebt ist. Kryptische Zeichenfolgen, die immer länger werden, von denen man sich unzählig viele merken muss und diese dann noch teilweise regelmäßig ändern soll. Aber warum brauchen wir diese Passwörter überhaupt und was passiert bei der Verwendung im Hintergrund sonst noch so?
Der Inhalt im Überblick
Authentifizierung vs. Autorisierung
Bevor wir uns der Frage widmen können, warum wir Passwörter benutzen, müssen wir uns das grundlegende Problem anschauen: Die Authentifizierung von Nutzenden. Authentifizierung beschreibt dabei den Prozess der Identifizierung von Anwendern, Systemen oder dergleichen. Mittels dieser Identifikation ist es anschließend möglich festzustellen, was diese Nutzer für Aktionen durchführen dürfen, was unter den ähnlichen Begriff der Autorisierung fällt. Passwörter und ihre Alternativen beschäftigen sich dabei im Regelfall nur mit der Authentifizierung und nicht mit der Autorisierung. Letztere wird im Regelfall über Berechtigungslisten oder anderen Kontrollmöglichkeiten verwaltet.
Alternativen zu Passwörtern
Zu Passwörtern gibt es einige alternative Möglichkeiten zur Umsetzung der Authentifizierung von Menschen. Smartphones verwenden beispielsweise häufig Biometrische Daten, wie Fingerabdrücke oder das Gesicht, zum Identifizieren ihrer Nutzer als Alternative zum Passwort. Es gibt aber auch andere Möglichkeiten, hier ein kleiner Überblick, wobei alle ihre Stärken und Schwächen haben:
- Smartcards / Tokens:
Karten oder kleine Geräte, die oft für die Zugangskontrolle bei Firmen verwendet werden. Auch Schlüssel im analogen Bereich, oder Personalausweise. - One-Time Passwörter:
Passwörter, die nur einmal verwendet werden können und typischerweise von Authentifizierungs-Apps verwendet werden. - Public-Key Infrastrukturen (PKI):
Verwendung kryptografischer Schlüssel zum Identifizieren von Parteien, wird insbesondere im Rahmen der Verschlüsselung im Internet genutzt.
Dabei lassen sich diese Authentifizierungsmethoden in verschiedene Kategorien zusammenfassen, wobei diese dann auch in Kombination eingesetzt werden können, zur sogenannten Mehrfaktor-Authentifizierung (MFA). Dabei wird generell von Mehrfaktor geredet, wenn die genutzten Authentifizierungsmethoden in verschiedene der folgenden Kategorien fallen:
- Wissen:
Etwas was der Nutzer weiß, wie Passwörter, Pins und Sicherheitsfragen. - Besitz:
Dinge im Besitz des Nutzers, wie Smartcards, Tokens und Smartphone und One-Time Passwörter - Sein:
Etwas was der Nutzende ist, wozu sämtliche biometrische Methoden gehören, Verhalten eingeschlossen.
Generell erhöht der Einsatz von MFA die generelle Sicherheit bei der Authentifizierung massiv.
Warum wir Passwörter benutzen
Die verbreitete Nutzung von Passwörtern liegt primär an den Nachteilen der anderen Authentifizierungsmöglichkeiten. Bei Möglichkeiten der Kategorien des Besitzens oder Seins gibt es oft das Problem, die notwendigen Merkmale zu erfassen. Passwörter können sehr leicht eingegeben werden, da nahezu jedes Endnutzergerät über eine Tastatur oder ein Nummernfeld verfügt. Auch wenn die anderen Möglichkeiten über andere Weisen an Popularität gewinnen, spielt das Passwort auch aus Gewohnheitsgründen eine zentrale Rolle bei der Authentifizierung. Insbesondere Möglichkeiten aus der Biometrie haben einen immensen Nachteil, wenn sie kompromittiert sind, da sie sich nur sehr schwer ändern lassen. Passwörter haben darüber hinaus den Vorteil, dass sie den meisten Nutzern bereits vertraut sind, dass sie einfach und kostengünstig zu implementieren und zu ändern sind und dass der Nutzer die Kontrolle über sie hat. Wir hatten bereits beschrieben, worauf Anwendende bei der Auswahl von Passwörtern achten und ob Passwörter regelmäßig geändert werden sollten.
Wie Passwörter funktionieren können
Passwörter funktionieren dabei aus Sicht des Nutzers analog zu physikalischen Schlüsseln. Man nimmt den Schüssel, schließt damit das Schloss auf und kann dann auf das Verschlossene zugreifen, auch wenn an dieser Stelle die Autorisierung bereits mit geschieht. Aus technischer Sicht passiert hierbei noch etwas mehr, da die Überprüfung der Korrektheit des Schlüssels sich unterscheidet.
Speicherung von Passwörtern
Früher und leider teilweise auch noch heute werden Passwörter im Klartext in der Datenbank, die für die Authentifizierung zuständig ist, hinterlegt. Das Passwort wird vom Client zum Server geschickt und dort mit dem gespeicherten verglichen. Solange die Verbindung sicher ist, gibt es hierbei kein direktes Problem, darauf wird später jedoch noch weiter eingegangen.
Hashen von Passwörtern
Heutzutage wird das Passwort normalerweise nicht mehr direkt gespeichert, sondern als sogenannter Hashwert. Dieser Hashwert wird mittels einer Hashfunktion aus dem Passwort berechnet, die dafür sorgt, dass sich der Hashwert „einfach“ aus dem Passwort generieren lässt, aber das Passwort nur „sehr schwer“ aus dem Hashwert.
Aus diesem Grund lässt sich ein verlorenes Passwort normalerweise nicht vom Anbieter beauskunften, sondern nur zurücksetzen, sodass ein neues Passwort gewählt werden muss. Typischerweise wird zum Hashen noch ein nutzerspezifischer „Salt“ verwendet, der im Klartext mit dem Passwort gespeichert wird und beim Hashen an das Passwort gehängt wird, damit identische Passwörter auf unterschiedliche Hashwerte abgebildet werden.
Wie Passwörter geknackt werden
Angreifer haben mehrere Möglichkeiten zum Knacken oder Umgehen von Passwörtern. Diese unterscheiden sich teilweise sehr stark und nicht gegen alle kann man sich als Nutzer schützen.
Die einfachste Variante ist dabei der Brute-Force-Angriff, welcher auch dafür verantwortlich ist, dass oft gefordert wird, Passwörter sollen lang und möglichst kryptisch seien. Bei einem Brute-Force-Angriff wird jede mögliche Kombination als Passwort ausprobiert und überprüft, ob diese gültig ist. Eine Idee, wie lange zum Knacken eines Passwords benötigt wird, kann diese Tabelle verschaffen. Oft werden jedoch Mechanismen verwendet, um die Anzahl der Authentifizierungsversuche zu regulieren.
Auch die sogenannten Dictionary Attacks zählen zu den Brute-Force-Angriffen. Bei dieser Art von Angriff werden jedoch keine „zufälligen“ Passwörter ausprobiert, sondern welche aus Listen bestehend aus Wörterbüchern oder Passwortlisten. Letztere sind oft freiverfügbar im Netz, zum Beispiel auf GitHub, die bis zu 10 Millionen verschiedene Passwörter beinhalten. Das aktuell beliebteste Passwort der Deutschen ist derzeit 123456789 und hat damit 123456 von der Nummer 1 vertrieben…
Eine weitere Möglichkeit, die Angreifer haben, um Accounts zu kompromittieren, ist die Verwendung bereits erbeuteter, valider Zugangsdaten. Natürlich funktioniert diese Art von Angriff nur, wenn Nutzende ihre Passwörter mehrfach verwenden.
Passwörter werden uns auch in Zukunft verfolgen
Passwörter sind eine einfache und kostengünstige Authentifizierungsmethode, die im Fall einer Kompromittierung auch schnell und unkompliziert ausgetauscht werden kann. Da im Hintergrund eine kryptographische Hashfunktion das Passwort in eine Zahlenfolge umrechnet, die nicht in realistischer Zeit zurückgerechnet werden kann, bleibt Angreifern oft nur die Option, das Passwort durch systematisches Ausprobieren (Brute-Force) zu erraten. Durch steigende Rechenleistung von Computern mögen Passwörter in Zukunft länger werden, verschwinden werden sie aber auf absehbare Zeit nicht. Zumindest nicht bis es zu einem Durchbruch bei der Quanten-Kryptographie kommt. Ein solcher ist aber schon seit Jahrzehnten nicht abzusehen.
