COMPUTERWOCHE-TV

Wie einfache Passwörter wieder sicher werden

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Einfache Passwörter wieder sicher machen - das war das Credo des Forschungsprojekts "Mememento" von Ergon Informatik zusammen mit IBM Research. Das Prinzip: die Hashwertberechnung dezentralisieren.

Mit dem wachsenden Angebot digitaler Dienste, die oft persönliche und sensible Daten ihrer Nutzer speichern und verarbeiten, steigen auch die Anforderungen an Authentifizierungssysteme, die den Zugriff auf diese Daten verwalten. Die Systeme prüfen die Identität der Nutzer und sind für eine erfolgreiche Validierung zuständig. Der Schutzbedarf solcher Daten ist über die Jahre deutlich gestiegen. Ebenso hat sich das Interesse von Cyberkriminellen an diesen sensiblen Informationen extrem erhöht. Viele Zugänge zu Online-Diensten sind mit Passwörtern geschützt, obwohl Angriffe auf Server und Webapplikationen schon fast an der Tagesordnung sind. Brute-forcing Angriffe können selbst Passwörter mit Sonderzeichen knacken. Eine solche Attacke greift die Hash-Werte der Passwörter an und probiert dank mittlerweile weit verbreiteter großer Rechenleistung sehr viele Zeichenkombinationen in kürzester Zeit aus. Davor kann man sich heute nicht mehr schützen.

Das Problem liegt nicht darin, dass der Benutzer die Passwörter falsch wählt, sondern darin, wie Passwörter heute gespeichert werden. Um die Sicherheit digitaler Daten zu verbessern und zu vereinfachen, hat ein Forscherteam von IBM Research - Zürich im Rahmen des "Memento"-Projekts eine neuartige Passwort-Verifizierung ausgearbeitet, die nun von Ergon Informatik in die Applikations-Sicherheitssuite Airlock implementiert und getestet wurde.

Verteilung der Schlüssel

Anders als bei bisherigen Systemen, wird mit der neuen Technologie jedes Passwort einzeln mit einem starken kryptographischen Schlüssel geschützt gespeichert. Dieser Schlüssel ist auf mehrere Server verteilt, so dass ein Passwort nur gemeinsam von diesen Servern mittels eines kryptographischen Protokolls verifiziert werden kann. Die Infizierung eines oder gar mehrerer Server oder die Kompromittierung der so geschützten Passwortdatenbank gibt einem Angreifer daher keine Information mehr, um das Passwort knacken zu können. Beim Verifizierungsprozess wird eine Anfrage an alle beteiligten Server gestellt, die Schlüsselfragmente besitzen. Verläuft die Echtheitsprüfung der jeweiligen Server positiv, stellen diese ihre Schlüsselfragmente bereit. Bei korrekter Kombination aus Anmeldenamen und persönlichem Schlüssel bzw. Kennwort, erfolgt die Freigabe der Daten. Das neuartige Protokoll ist auf eine hohe Praxistauglichkeit ausgelegt.

Im Gespräch mit Airlock-CEO Roman Hugelshofer ergründen wir die Hintergründe dieser Technologie: