Kennwort

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Ein Kennwort oder auch Passwort ist ein allgemeines Mittel zur Authentifizierung eines Benutzers (nicht ausschließlich ein Mensch) innerhalb eines Systems, der sich durch eine eindeutige Information (das Kennwort) dem System gegenüber ausweist. Die Authentizität des Benutzers bleibt daher nur gewahrt, wenn er das Passwort geheim hält. Man spricht in diesem Zusammenhang auch von einem statischen Passwort, zum Unterschied zu einem Einmalpasswort.

[Bearbeiten] Historisches

Ein Kennwort (auch Losung, Losungswort oder Parole) war im Militär ursprünglich ein als Erkennungszeichen dienendes Wort, um bei Dunkelheit oder bei unbekannten Kombattanten Freund und Feind zu unterscheiden. Noch heute wird von nachtpatrouillierenden Soldaten auf Manöver die Frage nach der Parole gestellt. Im Mittelalter wurde manche Burgbelagerung durch den Verrat des Losungswortes entschieden.

[Bearbeiten] PIN

Die PIN (Persönliche Identifikationsnummer) ist eine andere Form des Kennwortes mit einer ausschließlich numerischen Zeichenfolge, die nicht immer vom Benutzer Verwendung findet. Sie ist meistens vier bis sechs Stellen lang.

[Bearbeiten] Einsatz von Kennwörtern

Häufiger Einsatz von Kennwörtern findet in der Computerwelt in Verbindung mit einem Benutzer- oder User-Namen statt, z.B. bei Wikipedia. Hier ist das Kennwort eine beliebige, vom Nutzer selbstgewählte alphanumerische Zeichenfolge.

Kennwörter werden außerdem im Bereich der Kindersicherung verwendet, um Kindern den Zugriff auf Fernseher, Receiver oder ungeeignete Programminhalte zu verwehren.

Einen Sonderfall stellt das so genannte Einmalpasswort dar, bei dem jedes Passwort nur einmal zur Authentisierung benutzt werden kann und dann ungültig wird. Diesem Vorgehen wird eine besonders hohe Sicherheit zugesprochen. Es entsteht kein Schaden, wenn ein Passwort während der Benutzung ausgespäht wird, denn danach ist es ja ungültig. Einmalpasswörter werden zum Beispiel für das PIN/TAN-Verfahren beim Online-Banking verwendet.

[Bearbeiten] Wahl von sicheren Kennwörtern

Moderne Verschlüsselungsverfahren sind technisch so weit fortgeschritten, dass sie in der Praxis außer durch das Austesten aller möglichen Schlüssel - der sogenannten Brute-Force-Methode - meist nur durch einen Wörterbuchangriff geknackt werden können. Die Schwachstelle ist bei beiden Angriffen das vom Benutzer gewählte Kennwort. Damit ein Kennwort nicht unsicherer ist als die eigentliche Verschlüsselung (112 bis 128-Bit-Schlüssel bei gängigen Verfahren), ist für dieses theoretisch eine Folge von etwa 20 zufälligen Zeichen erforderlich. Falls das Kennwort nicht aus zufälligen Zeichen besteht, sind sogar deutlich längere Zeichenfolgen nötig, um die gleiche Sicherheit zu erreichen.

Im Zusammenhang mit der Software PGP sind die Begriffe Passphrase und Mantra für ein Kennwort, welches aus mehreren Worten besteht und folglich eine größere Länge besitzt, eingeführt worden.

Da die Länge der Kennwörter, die zur Verschlüsselung verwendet werden können, softwareseitig oft begrenzt ist (zum Beispiel 32 Zeichen bei AES), sollte man immer Zeichenkombinationen wählen, die aus seltenen Wörtern und Wortstellungen, Phantasiewörter oder fremdsprachigen Wörtern, Anfangsbuchstaben eines Satzes, Zahlen und/oder Sonderzeichen oder noch besser Kombinationen davon bestehen. Deren Bestandteile sollten für einen gut über die Person und ihre Interessen informierten Angreifer nicht vorhersehbar sein. Eine Alternative ist es, einen Kennwortgenerator zu benutzen und sich das Kennwort entweder gut einzuprägen oder an einem geheimen Ort zu notieren.

Ein recht sicheres Kennwort könnte sein: 0aJ/4%(hGs$df"Y! (16 Zeichen). Die Problematik solcher Zufallszeichenfolgen ist jedoch dass sich ein Mensch diese nicht gut merken kann und er sie sich deshalb irgendwo notiert. Eine leichter zu merkende Alternative dazu ist ein einstudierter, zeichenweise veränderter Satz wie "dIE bANANNE*3 durch 1/4 nIKOTIN." (32 Zeichen). Dies ist jedoch oft noch immer keine wirklich sichere Variante, da je nach Grad der Veränderung ein Wörterbuchangriff möglich ist. Gut geeignet ist die Verwendung der Anfangsbuchstaben eines Satzes ("Hd7B%sd7Z" gebildet aus "Hinter den sieben Bergen sind die sieben Zwerge", mit eingestreutem Sonderzeichen).

Filmzitate, berühmte Aussprüche, Aneinanderreihungen von einfachen Wörtern, Geburtsdaten, Mädchennamen, Haustiernamen, etc. sind als Kennwörter zu vermeiden, da sie mittels des Wörterbuchangriffes oder durch einen informierten Angreifer leicht geknackt werden können.

[Bearbeiten] Sicherheitsfaktoren

Die Sicherheit eines Kennwortes hängt vor allem davon ab, dass dieses geheim bleibt. Andere Faktoren zum Schutz des Kennwortes sind z.B.:

Wie häufig kann das Kennwort zur Authentifizierung verwendet werden. Die größte Sicherheit ist bei einmaliger Verwendung gegeben. Jeder wiederholte Einsatz des Kennwortes erhöht die Gefahr, bei unverschlüsseltem Transfer oder Spionage-Maßnahmen (wie z.B. durch Keylogging oder Phishing) das Kennwort zu verraten.
Die Übertragung des Kennwortes vom Benutzer zum System sollte sicher sein, z.B. durch Verwendung von verschlüsselten Kanälen zur Übertragung (siehe auch SSL). Dadurch wird es bei sicherer Implementierung und ausreichender Stärke der Verschlüsselung für den Angreifer nahezu unmöglich, das Kennwort in Erfahrung zu bringen, da die Rechenkapazität heutiger Rechner bei weitem nicht ausreicht, um SSL-Verschlüsselungen in angemessener Zeit zu knacken.
Viele Kennwörter können von Angreifern leicht erraten werden. Da die meisten Kennwörter von menschlichen Benutzern eingegeben werden (im Gegensatz zur Erzeugung durch Zufallsgeneratoren) und vor allem leicht einprägsam sein müssen, kommen häufig einfach zu ratende Kennwörter zum Einsatz, wie z.B. Name der Frau, des Freundes oder Haustieres, sowie Geburtstage oder Adressen. Man kann sein Passwort auch mithilfe von Zeichen sicherer machen, die es auf der Tastatur nicht gibt, z.B. „®,¤,©“. Diese Zeichen werden meist bei Brute-Force-Angriffen außer acht gelassen. Zum Eintippen verwendet man unter Windows dann Alt + 0174, Alt + 0164 und Alt + 0169. Die Ziffern müssen bei eingeschaltetem Num-Lock auf dem Ziffernblock getippt werden.
Bei Erzeugung durch Zufallsgeneratoren ist zu beachten, dass Computer keinen „echten“ Zufall mit maximaler Entropie generieren können. Man spricht von Pseudo-Zufallsgeneratoren. Diese Schwachstelle kann jedoch nur in den seltensten Fällen ausgenutzt werden, da zuerst das Muster, mit dem der Generator arbeitet, also Parameter und auch die Saat (das sind weitere, zufällige Parameter) erschlossen werden müssen. „Echten“ Zufall kann man z.B. mit Überlagerung von Schallwellen gewinnen, wenn man diese aufzeichnet und in digitale Form bringt.
Die Aufbewahrung des Kennwortes auf der Seite des Authentisierers sollte auch verschlüsselt erfolgen, die Kontrolle kann dank kryptographischer Verfahren (sogenannter Hash-Funktionen) trotzdem problemlos erfolgen.
Das Kennwort sollte möglichst lang sein. Das System sollte einen möglichst großen Zeichensatz verwenden, mit dem das Kennwort gebildet wird. Die optimale Länge und Zusammensetzung hängt von mehreren Faktoren ab:
- Welche Zeichen verwendet werden (Ziffern, Buchstaben, Sonderzeichen, geordnet nach Komplexität, da Ziffern nur zehn Variationen von 0-9, Buchstaben hingegen 26 oder mit Groß-/Kleinschreibung sogar 52 Variationen pro Zeichen zulassen, welche einen Brute-Force-Angriff auf das Kennwort deutlich erschweren). Sonderzeichen bieten die größte Variationsdichte, sind allgemein aber schwerer einzuprägen. Man sollte ein Mittelmaß zwischen Sicherheit und Einprägsamkeit finden.
- Wie schnell der Zugriff auf das Kennwort ist (z.B. Webserver-Zugriff sind generell langsamer als direkter Dateizugriff auf den Hash des Kennwortes selbst).
- Ob das Kennwort mittels eines Wörterbuchangriffs gefunden werden kann. Dies kann durch Kunstwörter ohne logischen Bezug, wie z.B. „Pfeifenleuchte“ oder „Vogeltastatur“ nicht verhindert werden, da Wörterbuchangriffe auf Listen bekannter Kennwörter und Begriffe zugreifen und komplexere Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter brechen. Auch das Einstreuen von ein oder zwei Ziffern oder Sonderzeichen hilft hier nicht.

Zudem sollte das System nach einer bestimmten Zahl von fehlerhaften Eingaben keine neuen Eingaben akzeptieren, bis eine bestimmte Zeit vergangen ist bzw. das System manuell wieder freigeschaltet wurde.

[Bearbeiten] Passwortverwaltung

Siehe dazu den Artikel über Passwortverwaltung

[Bearbeiten] Windows-Programme zur Passwortverwaltung

Das c't magazin empfiehlt regelmäßig die Open-Source-Programme Password Safe und KeePass für die sichere und komfortable Passwortverwaltung und -Speicherung unter Windows. Password Safe wurde ursprünglich von dem Kryptografie-Experten Bruce Schneier entwickelt.

[Bearbeiten] Linux-Programme zur Passwortverwaltung

Unter Linux bietet sich das Programm KWallet zur Passwortverwaltung an. Dieses Programm ist in KDE ab Version 3.4 standardmäßig enthalten. Es arbeitet eng mit dem E-Mail-Client KMail und dem Webbrowser Konqueror zusammen, so dass von Webseiten oder von E-Mail-Servern abgefragte Passwörter automatisch übertragen werden können, sobald die digitale Brieftasche einmal geöffnet ist. Aber auch andere Passwörter und beliebige Schlüssel-Wert-Paare lassen sich bequem und sicher direkt mit KWallet verwalten. Alternativ existiert auch eine Linux-Version des bereits erwähnten Windows-Passwortmanagers KeePass mit dem Namen KeePassX. Ein weiteres Programm, bei dessen Entwicklung großes Augenmerk auf sichere Verschlüsselungsalgorithmen gelegt wurde, ist PwManager.

[Bearbeiten] Mac-OS-X-Programme zur Passwortverwaltung

Im Betriebssystem Mac OS X ist das Programm Schlüsselbund (Keychain) von Haus aus enthalten. Es speichert Passwörter und eigene Notizen verschlüsselt.

[Bearbeiten] Ungünstige Kennwörter

Hierzu zählt man die leichtesten Passwörter, also Wörter die einen Sinn ergeben. Einige Beispiele:

123456
passwort
God oder Gott
Eigennamen - da diese häufig in Wörterbüchern zu finden sind, wird ein Wörterbuchangriff ermöglicht
Triviale Tastaturzeichenfolgen (1qay2wsx,asdf,qwert...)
Vokale oder Selbstlaute (aeiou)

Generell sollte man Passwörter verwenden, die keine eindeutige Folge haben. Hierbei können Programme helfen, die Passwörter erstellen (siehe unten).

[Bearbeiten] Siehe auch

Diceware - Methode zur Erzeugung sicherer und leicht erinnerbarer Kennwörter bzw. Passphrasen
md5 - Eine häufig verwendete Methode zur Erzeugung von Passworthashes.
Computersicherheit

[Bearbeiten] Weblinks

Die sichere Passwort-Wahl
Enforcing use of cryptographically strong password
Passwortgenerator zum automatischen Erstellen sicherer Passwörter
Artikel: Passwortsicherheit - Grundsachen der Passwortsicherheit
Passwortrichtlinien und -angriffe

Von „http://de.wikipedia.org../../../k/e/n/Kennwort.html“

Kategorien: Identifikationstechnik | IT-Sicherheit | Bankwesen