Sichere Authentisierung

Digitale Objekte als Passwörter

18.08.2008
Von Katharina Friedmann
Sicherheitsforscher haben einen Weg gefunden, aus Bildern, Videos oder MP3-Dateien starke Passwörter zu generieren.

Mohammad Mannan und P.C. van Oorschot, Sicherheitsforscher an der Carleton University in Ottawa, Kanada, haben mit dem "Object-Based Password" (ObPwd) eine Methode entwickelt, aus SHA-1-basierenden Hashes mit Hilfe von Bildern und Audiodateien nach dem Zufallsprinzip komplexe Passwörter zu erzeugen.

Statt etwa den leicht zu erratenden Namen des eigenen Haustiers - leichte Beute für einen Dictionary-Knacker - als Passwort zu verwenden, könnte der Anwender beispielsweise ein Bild seiner Katze verwenden, um etwas zu kreieren, das den besten Hacker-Tools standhält. Denn wer diese Technik umgehen wolle, müsse Zugriff auf das Bild oder die Datei haben, aus der das Passwort generiert wurde, so die Wissenschaftler.

Nutzer könnten sich einen Hinweis auf die für jedes einzelne Passwort verwendeten Inhalte notieren oder im Kopf merken, und das Passwort an einem "sicheren" Ort aufbewahren oder im Bedarfsfall aus dem Content erneut erstellen, erklären die Autoren in der Beschreibung ihres Konzepts. Anders als bisher müsse der Endanwender nicht mehr einen Text oder eine Zeichenkette im Kopf behalten, sondern sich lediglich erinnern, welche Datei er zur Erzeugung des Passworts verwendet habe. Die Forscher haben bereits einen Prototypen ihrer ObPwd-Software implementiert - in Form einer Browser-Erweiterung für Mozillas Firefox sowie als eigenständiges Windows-XP-Utility.

Das Konzept hat jedoch offenbar auch Grenzen. So empfehlen die Experten, Dateien mit einer Größe von über 30 Bytes zu verwenden, um Passwörter mit hinreichender Länge zu ermöglichen, andererseits aber von zu großen Files abzusehen, da ansonsten der Erzeugungsprozess zu stark gebremst wird. Damit sind größere Videodateien ausgeschlossen - es sei denn, das Passwort basiert nur auf einem Teil des Files. Darüber hinaus warnen die Wissenschaftler davor, Passwörter aus öffentlich zugänglichem Content wie etwa Bildern auf einer Facebook-Seite zu generieren.

Nicht zu verwechseln ist die neue Methode mit dem weit simpleren, seit einigen Jahren bekannten Konzept, nach dem - wie beispielsweise bei der britischen PicturePIN - Bilder oder bildhafte Passwörter als Gedächtnisstütze verwendet werden.