Passwort

Für andere Verwendungen siehe Passwort (Disambiguierung).
Für Unterstützung bei Ihrem Wikipedia -Passwort siehe Hilfe: Passwort zurücksetzen.
"Passcode" leitet hier weiter. Für die japanische Idolgruppe siehe Passcode (Gruppe).
Ein Passwortfeld in einem Zeichen in Form.

A Passwort, manchmal genannt Passcode (Zum Beispiel in Apfel Geräte),[1] Ist geheime Daten, normalerweise eine Zeichenfolge von Zeichen, die normalerweise zur Bestätigung der Identität eines Benutzers verwendet wird.[1] Traditionell wurde erwartet, dass Passwörter auswendig gelernt werden, aber die große Anzahl von passwortgeschützten Diensten, die ein typischer individueller Zugriffe für jeden Dienst für jeden Dienst unpraktisch auswendig machen kann.[2] Verwenden der Terminologie der NIST -Richtlinien für digitale Identität,[3] Das Geheimnis wird von einer Partei namens The gehalten Antragsteller Während die Partei, die die Identität des Antragstellers überprüft, die genannt wird Überprüfung. Wenn der Antragsteller erfolgreich Kenntnisse des Passworts zum Verifizierer durch einen etablierten demonstriert Authentifizierungsprotokoll,[4] Der Verifizierer kann die Identität des Antragstellers schließen.

Im Allgemeinen ist ein Passwort willkürlich Saite von Figuren einschließlich Buchstaben, Ziffern oder anderen Symbolen. Wenn die zulässigen Zeichen auf numerische Weise eingeschränkt sind, wird das entsprechende Geheimnis manchmal als a genannt persönliche Identifikationsnummer (STIFT).

Trotz seines Namens muss ein Passwort kein aktuelles Wort sein. In der Tat kann ein Nicht-Wort (im Wörterbuchgefühl) schwerer zu erraten sein, was eine wünschenswerte Eigenschaft von Passwörtern ist. Ein ausgelenktes Geheimnis, das aus einer Abfolge von Wörtern oder anderen durch Leerzeichen getrennten Text besteht Passphrase. Eine Passphrase ähnelt einem Passwort in der Verwendung, erstere ist jedoch im Allgemeinen länger für zusätzliche Sicherheit.[5]

Geschichte

Seit der Antike werden Passwörter verwendet. Wachen würden diejenigen herausfordern, die einen Bereich eingeben möchten, um ein Passwort zu liefern oder Paroleund würde nur eine Person oder Gruppe erlauben, zu bestehen, wenn sie das Passwort kannte. Polybius beschreibt das System für die Verteilung von Schlagwörtern in der Römisches Militär folgendermaßen:

Die Art und Weise, wie sie die Überholrunde des Schlagworts für die Nacht sichern, ist wie folgt: aus dem Zehntel Maniple von jeder Klasse von Infanterie und Kavallerie, dem Maniple, das am unteren Ende der Straße lager ist, wird ein Mann ausgewählt, der vom Wachdienst erleichtert wird, und er nimmt jeden Tag bei Sonnenuntergang am Zelt des Tribunund empfangen von ihm das Schlagwort - das ist eine Holztafel mit dem darauf eingeschriebenen Wort - verabschiedet sich und kehrt in sein Quartier zurück, um das Schlagwort und die Tablette vor Zeugen des nächsten Manips zu verabschieden, der wiederum übergeht es an den neben ihm. Alle tun das Gleiche, bis es die ersten Maniples erreicht, die in der Nähe der Zelte der Tribünen lagerten. Diese letzteren sind verpflichtet, das Tablet vor Einbruch der Dunkelheit an die Tribünen zu liefern. Wenn alle ausgestellten diese zurückgegeben werden, weiß die Tribune, dass das Schlagwort allen Maniples übergeben wurde und auf dem Weg zurück zu ihm alles durchlaufen hat. Wenn einer von ihnen fehlt, stellt er sofort eine Untersuchung, wie er durch die Noten aus dem Viertel der Tablette weiß, und wer für die Unterbrechung verantwortlich ist, trifft auf die Strafe, die er verdient.[6]

Passwörter in der militärischen Verwendung haben sich entwickelt, um nicht nur ein Passwort, sondern auch ein Passwort und ein Gegenpassword zu enthalten. Zum Beispiel in den Eröffnungstagen der Schlacht der Normandie, Malatrooper der 101. Airborne Division US -amerikanische Division verwendeten ein Passwort -Blitz- was als Herausforderung dargestellt und mit der richtigen Antwort beantwortet wurde -Donner. Die Herausforderung und Reaktion wurden alle drei Tage geändert. Amerikanische Fallschirmjäger verwendeten berühmt ein Gerät, das als "Cricket" bekannt ist D-Day anstelle eines Passwortsystems als vorübergehend eindeutige Identifizierungsmethode; Ein metallisches Klick, das das Gerät anstelle eines Kennworts gegeben hat, sollte als Antwort von zwei Klicks erfüllt werden.[7]

Kennwörter wurden seit den frühesten Computertagen mit Computern verwendet. Das Kompatibler Zeitaustauschsystem (CTSS), ein Betriebssystem, das bei eingeführt wurde MIT 1961 war das erste Computersystem, das die Kennwortanmeldung implementiert.[8][9] CTSS hatte einen Anmeldungsbefehl, der ein Benutzerkennwort angefordert hat. "Nach dem Eingeben von Kennwort schaltet das System nach Möglichkeit den Druckmechanismus aus, damit der Benutzer sein Passwort mit Privatsphäre eingeben kann."[10] In den frühen 1970er Jahren, Robert Morris entwickelte ein System zum Speichern von Anmeldekennwörtern in einer Hashed -Form als Teil der Unix Betriebssystem. Das System basierte auf einer simulierten Hagelin -Rotor -Krypto -Maschine und erschien 1974 in der 6. Ausgabe Unix. Eine spätere Version seines Algorithmus, bekannt als Krypta (3)benutzte einen 12-Bit Salz und rief eine modifizierte Form der an Des Algorithmus 25-mal, um das Risiko eines vorbereiteten Risikos zu verringern Wörterbuchangriffe.[11]

Heutzutage, Benutzernamen und Passwörter werden häufig von Personen während eines verwendet Einloggen verarbeiten Kontrolliert den Zugriff zum geschützten Computer Betriebssysteme, Mobiltelefone, Kabelfernsehen Decoder, Geldautomaten (Geldautomaten) usw. eine typische Computerbenutzer hat Passwörter für viele Zwecke: Anmeldung von Konten, Abrufen Email, Zugriff auf Anwendungen, Datenbanken, Netzwerke, Websites und sogar das Lesen der morgendlichen Zeitung online.

Auswahl eines sicheren und unvergesslichen Passworts

Je einfacher ein Passwort für den Eigentümer im Allgemeinen bedeutet, dass es für eine einfacher ist Angreifer raten.[12] Kennwörter, die sich schwer zu erinnern sind, können jedoch auch die Sicherheit eines Systems reduzieren, da (a) Benutzer möglicherweise das Passwort aufschreiben oder elektronisch speichern müssen, (b) Benutzer häufiges Kennwortresets benötigen, und (c) Benutzer sind eher wahrscheinlich Verwenden Sie das gleiche Passwort über verschiedene Konten. Je strenger die Kennwortanforderungen wie "eine Mischung aus Groß- und Kleinbuchstaben und Ziffern haben" oder "monatlich ändern", desto größer ist der Grad, in dem Benutzer das System untergraben.[13] Andere argumentieren längere Passwörter, die mehr Sicherheit bieten (z. B.,, Entropie) als kürzere Passwörter mit einer Vielzahl von Zeichen.[14]

Im Die Erinnerung und Sicherheit von Passwörtern,[15] Jeff Yan et al. Untersuchen Sie die Auswirkungen von Ratschlägen, die Benutzern über eine gute Auswahl an Passwort gegeben werden. Sie fanden heraus, dass Passwörter, die auf dem Denken einer Phrase und dem ersten Buchstaben jedes Wortes beruhen, genauso unvergesslich sind wie naiv ausgewählte Passwörter und genauso schwer zu knacken wie zufällig generierte Passwörter.

Es ist eine weitere gute Methode, zwei oder mehr nicht verwandte Wörter zu kombinieren und einige Buchstaben in Sonderzeichen oder Zahlen zu ändern.[16] Aber ein einzelnes Wörterbuchwort ist nicht. Ein persönlich entworfenen haben Algorithmus Zum Generieren von dunklen Passwörtern ist eine weitere gute Methode.[17]

Das Auffordern von Benutzern, sich ein Kennwort zu erinnern, das aus einer "Mischung aus Groß- und Kleinbuchstaben" besteht CRACK FÜR 7-Buchstaben-Passwörter, weniger, wenn der Benutzer einfach einen der Buchstaben aktiviert). Bitten Sie die Benutzer, "beide Buchstaben als auch Ziffern" zu verwenden, häufig zu leicht zu begünstigten Substitutionen wie 'E' → '3' und 'I' → '1', Substitutionen, die den Angreifern bekannt sind. In ähnlicher Weise ist das Kennwort eine höhere Tastaturzeile mit höherem Trick, der den Angreifern bekannt ist.[18]

Im Jahr 2013 veröffentlichte Google eine Liste der häufigsten Kennworttypen, die alle als unsicher gelten, da sie zu einfach zu erraten sind (insbesondere nach der Erforschung einer Person in den sozialen Medien):[19]

  • Der Name eines Haustiers, eines Kindes, eines Familienmitglieds oder eines anderen anderen anderen
  • Jubiläumstermine und Geburtstage
  • Geburtsort
  • Name eines Lieblingsurlaubs
  • Etwas, das mit einem Lieblingssportteam zusammenhängt
  • Das Wort "Passwort"

Alternativen zum Auswendiglernen

Traditionelle Ratschläge zum Auswendiglernen von Passwörtern und zum Aufschreiben von NIEMALS sind zu einer Herausforderung geworden, da die Anzahl der Passwörter von Computern und das Internet erwartet wird, dass sie beibehalten werden. Eine Umfrage kam zu dem Schluss, dass der durchschnittliche Benutzer rund 100 Passwörter hat.[2] Um die Verbreitung von Kennwörtern zu verwalten, verwenden einige Benutzer das gleiche Kennwort für mehrere Konten, eine gefährliche Praxis, da ein Datenverstoß in einem Konto den Rest beeinträchtigen könnte. Weniger riskante Alternativen umfassen die Verwendung von Passwortmanager, Einmalige Anmeldung Systeme und einfach Papierlisten mit weniger kritischen Passwörtern.[20] Solche Praktiken können die Anzahl der Kennwörter reduzieren, die, wie das Master -Passwort des Kennwortmanagers, auswendig gelernt werden müssen, auf eine überschaubare Nummer.

Faktoren in der Sicherheit eines Passwortsystems

Die Sicherheit eines passwortgeschützten Systems hängt von mehreren Faktoren ab. Das Gesamtsystem muss für solide Sicherheit ausgelegt sein, mit Schutz gegen Computer Virus, MAN-in-the-Middle-Angriffe und dergleichen. Die physischen Sicherheitsprobleme sind ebenfalls ein Problem, da es sich um Abschreckung handelt Schulter-Surfen zu ausgefeilteren physischen Bedrohungen wie Videokameras und Tastaturschnüffeln. Passwörter sollten so ausgewählt werden, dass sie für einen Angreifer schwierig sind, einen Angreifer zu erraten, und es ist schwierig, einen Angreifer mit den verfügbaren automatischen Angriffsschemata zu entdecken. Sehen Passwortstärke und Computersicherheit für mehr Informationen.[21]

Heutzutage ist es eine übliche Praxis für Computersysteme, Passwörter zu verbergen, sobald sie eingegeben werden. Der Zweck dieser Maßnahme besteht darin, Zuschauer daran zu hindern, das Passwort zu lesen. Einige argumentieren jedoch, dass diese Praxis zu Fehlern und Stress führen kann und die Benutzer dazu ermutigen, schwache Passwörter zu wählen. Alternative sollten Benutzer die Möglichkeit haben, Passwörter anzuzeigen oder auszublenden, während sie sie eingeben.[21]

Effektive Bestimmungen zur Zugangskontrolle können Kriminelle extreme Maßnahmen erzwingen, die ein Passwort oder ein biometrisches Token erwerben möchten.[22] Weniger extreme Maßnahmen umfassen Erpressung, Kryptanalyse von Gummiblauch, und Nebenkanalangriff.

Einige spezifische Probleme mit dem Kennwortmanagement, die beim Nachdenken, Auswahl und Handling in Betracht gezogen werden müssen, folgen ein Passwort.

Rate, mit dem ein Angreifer erratene Passwörter ausprobieren kann

Die Rate, mit der ein Angreifer erratene Passwörter an das System einreichen kann, ist ein Schlüsselfaktor bei der Bestimmung der Systemsicherheit. Einige Systeme setzen einige Sekunden nach einer kleinen Zahl (z. B. drei) von fehlgeschlagenen Passworteintragsversuchen, auch als Drosselung bezeichnet.[3] : 63b Sec 5.2.2 In Ermangelung anderer Schwachstellen können solche Systeme mit relativ einfachen Kennwörtern effektiv gesichert werden, wenn sie gut ausgewählt wurden und nicht leicht zu erraten sind.[23]

Viele Systeme speichern a Kryptografischer Hash des Passworts. Wenn ein Angreifer Zugriff auf die Datei mit Hashed -Passwörtern erhält, kann das Erraten offline erledigt werden. Testen Sie Kandidatenkennwörter schnell gegen den Hash -Wert des wahren Passworts. Im Beispiel eines Webservers kann ein Online-Angreifer nur dann erraten, mit welcher Geschwindigkeit der Server reagiert, während ein Offline-Angreifer (der Zugriff auf die Datei erhält) mit einer Geschwindigkeit nur durch die Hardware auf erraten kann was der Angriff läuft.

Passwörter, die zum Generieren kryptografischer Schlüssel verwendet werden (z. B. für Scheibenverschlüsselung oder W-lan Sicherheit) kann auch einem hohen Ratenraten unterzogen werden. Listen der gängigen Passwörter sind weit verbreitet und können Kennwortangriffe sehr effizient machen. (Sehen Passwort knacken.) Die Sicherheit in solchen Situationen hängt davon ab, Passwörter oder Passphrasen mit angemessener Komplexität zu verwenden, wodurch ein solcher Angriff für den Angreifer rechnerisch unmöglich ist. Einige Systeme wie z. PGP und Wi-Fi WPAWenden Sie einen berechnungsintensiven Hash auf das Passwort an, um solche Angriffe zu verlangsamen. Sehen Schlüsselstrecke.

Grenzen der Anzahl der Passwortraten

Eine Alternative zur Begrenzung der Rate, mit der ein Angreifer ein Passwort erraten kann, besteht darin, die Gesamtzahl der Vermutungen zu begrenzen, die vorgenommen werden können. Das Passwort kann deaktiviert werden und erfordert nach einer kleinen Anzahl aufeinanderfolgender schlechter Vermutungen (z. B. 5). Und der Benutzer muss möglicherweise das Passwort nach einer größeren kumulativen Anzahl schlechter Vermutungen (z. B. 30) ändern, um zu verhindern, dass ein Angreifer eine willkürlich große Anzahl schlechter Vermutungen vornimmt, indem er ihn zwischen gute Vermutungen des legitimen Passwortbesitzers einmischt.[24] Angreifer können umgekehrt die Kenntnis dieser Minderung verwenden, um a zu implementieren Denial -of -Service -Angriff gegen den Benutzer, indem der Benutzer absichtlich aus seinem eigenen Gerät abgeschlossen wird; Diese Ablehnung des Dienstes kann andere Wege eröffnen, damit der Angreifer die Situation zu ihrem Vorteil über manipuliert soziale Entwicklung.

Form der gespeicherten Passwörter

Einige Computersysteme speichern Benutzerkennwörter als Klartext, gegen die Benutzeranmeldeversuche verglichen werden. Wenn ein Angreifer Zugriff auf einen solchen internen Passwortspeicher erhält, werden alle Passwörter - und so alle Benutzerkonten - kompromittiert. Wenn einige Benutzer das gleiche Passwort für Konten auf verschiedenen Systemen verwenden, werden auch diese beeinträchtigt.

Weitere sichere Systeme speichern jedes Kennwort in einem kryptografisch geschützten Formular. Der Zugriff auf das tatsächliche Kennwort ist daher für einen Snooper, der interne Zugriff auf das System erhält, immer noch schwierig, während die Validierung von Benutzerzugriffsversuchen weiterhin möglich ist. Die sichersten speichern überhaupt keine Passwörter, sondern eine Einwegableitung wie a Polynom, Moduloder ein fortgeschrittener Hash-Funktion.[14] Roger Needham Erfunden Sie den heutigen Ansatz, nur eine "Hashed" -Form des Klartextkennworts zu speichern.[25][26] Wenn ein Benutzer in einem solchen System ein Kennwort in ein Kennwort eingibt Kryptografischer Hash Algorithmus, und wenn der aus dem Eintrag des Benutzers generierte Hash -Wert mit dem in der Kennwortdatenbank gespeicherten Hash übereinstimmt, ist dem Benutzer Zugriff zugelassen. Der Hash -Wert wird erstellt, indem a angewendet werden Kryptografische Hash -Funktion zu einer Zeichenfolge, die aus dem übermittelten Passwort und in vielen Implementierungen besteht Salz. Ein Salz verhindert, dass Angreifer einfach eine Liste von Hash -Werten für gemeinsame Passwörter erstellen, und verhindert, dass die Bemühungen zwischen Kenn und Punkt -Rissbemühungen über alle Benutzer hinweg skalieren.[27] MD5 und SHA1 werden häufig kryptografische Hash -Funktionen verwendet, sie werden jedoch nicht für das Passwort -Hashing empfohlen, es sei denn, sie werden als Teil einer größeren Konstruktion wie in verwendet Pbkdf2.[28]

Die gespeicherten Daten - manchmal als "Passwortverifier" oder "Passwort Hash" bezeichnet - wird häufig im Modular Crypt -Format oder im RFC 2307 -Hash -Format gespeichert, manchmal in der /etc/passwd Datei oder die /etc/Shadow Datei.[29]

Die Hauptspeichermethoden für Kennwörter sind einfacher Text, Hashed, Hashed und Salz und reversibel verschlüsselt.[30] Wenn ein Angreifer Zugriff auf die Kennwortdatei erhält, ist es erforderlich, wenn er als einfacher Text gespeichert ist, kein Knacken. Wenn es gehasht, aber nicht gesalzen ist, ist es anfällig für Regenbogentisch Angriffe (die effizienter sind als das Riss). Wenn es reversibel verschlüsselt ist, wenn der Angreifer den Entschlüsselungsschlüssel zusammen mit der Datei erhält, ist kein Cracking erforderlich, während er nicht möglich ist, wenn er nicht den Schlüsselriss erhält. Somit ist von den gängigen Speicherformaten für Kennwörter nur dann, wenn Passwörter gesalzen und hashed sowohl notwendig als auch möglich ist.[30]

Wenn eine kryptografische Hash -Funktion gut gestaltet ist, ist es rechnerisch unmöglich, die Funktion umzukehren, um a wiederherzustellen Klartext Passwort. Ein Angreifer kann jedoch weit verbreitete Tools verwenden, um die Passwörter zu erraten. Diese Tools funktionieren durch Hashing mögliche Passwörter und vergleichen das Ergebnis jeder Vermutung mit den tatsächlichen Passwort -Hashes. Wenn der Angreifer eine Übereinstimmung findet, wissen er, dass ihre Vermutung das tatsächliche Passwort für den zugehörigen Benutzer ist. Kennwortriss -Tools können mit brutaler Kraft (d. H. Jede mögliche Kombination von Zeichen) oder jedes Wort aus einer Liste ausführen. Große Listen möglicher Passwörter in vielen Sprachen sind im Internet weit verbreitet.[14] Die Existenz von Passwort knacken Mit Tools können Angreifer leicht ausgewählte Passwörter wiederherstellen. Insbesondere können Angreifer Kennwörter schnell wiederherstellen, die kurze Wörterbuchwörter, einfache Variationen von Wörterbuchwörtern oder leicht erratene Muster verwenden.[31] Eine modifizierte Version der Des Der Algorithmus wurde als Grundlage für den Kennworthashing -Algorithmus frühzeitig verwendet Unix Systeme.[32] Das Krypta Der Algorithmus verwendete einen 12-Bit-Salzwert, so dass der Hash jedes Benutzers eindeutig war und den DES-Algorithmus 25 Mal iterierte, um die Hash-Funktion langsamer zu machen.[32] Das Kennwort des Benutzers wurde als Schlüssel zum Verschlüsseln eines festen Wertes verwendet. Neuere UNIX- oder UNIX-ähnliche Systeme (z. B.,,,, Linux oder die verschiedenen BSD Systeme) Verwenden Sie sicherere Kennworthashing -Algorithmen wie z. Pbkdf2, Bcrypt, und Scrypt, die große Salze und einstellbare Kosten oder Anzahl von Iterationen haben.[33] Eine schlecht gestaltete Hash -Funktion kann Angriffe machbar machen, auch wenn ein starkes Passwort ausgewählt wird. Sehen LM Hash Für ein weit verbreitetes und unsicheres Beispiel.[34]

Methoden zur Überprüfung eines Kennworts über ein Netzwerk

Einfache Übertragung des Passworts

Passwörter sind anfällig für Abfangen (d. H. "Snooping"), während sie an die authentifizierende Maschine oder Person übertragen werden. Wenn das Kennwort als elektrische Signale auf ungesicherte physische Verkabelung zwischen dem Benutzerzugriffspunkt und dem zentralen System zur Steuersystem der Kennwortdatenbank getragen wird, unterliegt es dem Snooping nach Snooping Abhöre Methoden. Wenn es als Paketdaten über das Internet getragen wird, kann jeder, der das beobachten kann Pakete Das Enthaltende der Anmeldeinformationen kann mit einer sehr geringen Erkennungswahrscheinlichkeit schnüffeln.

E -Mail wird manchmal verwendet, um Passwörter zu verteilen, dies ist jedoch im Allgemeinen eine unsichere Methode. Da die meisten E -Mails als gesendet werden KlartextEine Nachricht, die ein Passwort enthält, kann während des Transports durch jeden Tranche ohne Aufwand lesbar sind. Ferner wird die Nachricht als gespeichert als Klartext Auf mindestens zwei Computern: dem Absender und der Empfänger. Wenn es während seiner Reisen durchschnittliche Systeme durchläuft, wird es wahrscheinlich auch für einige Zeit dort gespeichert und kann kopiert werden Backup, Zwischenspeicher oder Verlaufsdateien auf einem dieser Systeme.

Durch die Verwendung der clientseitigen Verschlüsselung schützt die Übertragung nur vor dem E-Mail-Server auf den Client-Computer. Frühere oder nachfolgende Relais der E -Mail werden nicht geschützt, und die E -Mail wird wahrscheinlich auf mehreren Computern gespeichert, sicherlich auf den Ursprungs- und Empfangscomputern, meistens im klaren Text.

Übertragung durch verschlüsselte Kanäle

Das Risiko einer Abfangen von Kennwörtern, die über das Internet gesendet werden kryptografisch Schutz. Das am weitesten verbreitete ist die Transportschichtsicherheit (TLS, zuvor genannt SSL) Feature in den aktuellsten Internet integriert Browser. Die meisten Browser alarmieren den Benutzer eines TLS/SSL-geschützten Austauschs mit einem Server, indem Sie ein geschlossenes Sperrsymbol oder ein anderes Zeichen anzeigen, wenn TLS verwendet wird. Es sind mehrere andere Techniken im Einsatz; sehen Kryptographie.

Hash-basierte Herausforderungsmethoden

Leider gibt es einen Konflikt zwischen gespeicherten Hashed-Passwords und Hash-basierten Basis-Basis. Challenge -Response -Authentifizierung; Letzteres verlangt von einem Client, einem Server zu beweisen, dass er weiß, was die geteiltes Geheimnis (d. H. Passwort) ist und zu diesem Zeitpunkt muss der Server in der Lage sein, das gemeinsame Geheimnis aus seinem gespeicherten Formular zu erhalten. Auf vielen Systemen (einschließlich Unix-Typ -Systeme) Mit der Remote -Authentifizierung wird das gemeinsame Geheimnis normalerweise zum Hashed -Formular und hat die schwerwiegende Einschränkung, Kennwörter für Offline -Ratenangriffe auszusetzen. Wenn der Hash als gemeinsames Geheimnis verwendet wird, benötigt ein Angreifer das ursprüngliche Passwort nicht, um sich remote zu authentifizieren. Sie brauchen nur den Hash.

Null-Knowledge-Passwort-Beweise

Anstatt ein Passwort zu übertragen oder den Hash des Passworts zu übertragen, Kennwortverständliche Schlüsselvereinbarung Systeme können a durchführen Null-Knowledge-Passwort-Beweis, was Kenntnis des Passworts beweist, ohne es aufzudecken.

Einen Schritt weiter erweitern, erweiterte Systeme für Kennwortverständliche Schlüsselvereinbarung (z. B. Amp, B-Speke, Pak-z, SRP-6) Vermeiden Sie sowohl den Konflikt als auch die Einschränkung von Hash-basierten Methoden. Ein erweitertes System ermöglicht es einem Client, Kenntnisse des Kennworts zu einem Server zu beweisen, wobei der Server nur ein (nicht genau) Hashed-Kennwort kennt und das nicht geheiste Passwort erforderlich ist, um Zugriff zu erhalten.

Verfahren zum Ändern von Passwörtern

Normalerweise muss ein System eine Möglichkeit bieten, ein Kennwort zu ändern, entweder weil ein Benutzer der Ansicht ist, dass das aktuelle Passwort beeinträchtigt (oder könnte) beeinträchtigt oder als Vorsichtsmaßnahme. Wenn ein neues Passwort in unverschlüsselter Form an das System weitergegeben wird, kann die Sicherheit verloren gehen (z. B. via Abhöre) Bevor das neue Passwort überhaupt im Passwort installiert werden kann Datenbank Und wenn das neue Passwort einem kompromittierten Mitarbeiter gegeben wird, wird wenig gewonnen. Einige Websites enthalten das vom Benutzer ausgewählte Passwort in einem unverschlüsselt Bestätigungs-E-Mail-Nachricht mit der offensichtlichen erhöhten Verwundbarkeit.

Identitätsmanagement Systeme werden zunehmend verwendet, um die Ausgabe von Ersatz für verlorene Passwörter zu automatisieren, eine Funktion namens namens Selbstbedienungskennwort zurückgesetzt. Die Identität des Benutzers wird verifiziert, indem Fragen gestellt und die Antworten mit zuvor gespeicherten Antworten verglichen werden (d. H. Wenn das Konto geöffnet wurde).

Einige Fragen zur Zurücksetzen des Kennworts stellen persönliche Informationen dar, die in den sozialen Medien wie dem Mädchennamen der Mutter gefunden werden können. Infolgedessen empfehlen einige Sicherheitsexperten entweder eigene Fragen oder geben falsche Antworten.[35]

Passwort Langlebigkeit

"Kennwortalterung" ist eine Funktion einiger Betriebssysteme, die Benutzer dazu zwingt, Kennwörter häufig zu ändern (z. B. vierteljährlich, monatlich oder noch häufiger). Solche Richtlinien protestieren in der Regel im besten Fall des Benutzerprotests und des Fußbetrags und im schlimmsten Fall die Feindseligkeit. Die Anzahl der Personen, die das Passwort notieren und dort, wo es leicht zu finden ist, und Helpdesk -Aufrufen, um ein vergessenes Passwort zurückzusetzen, sind häufig erhöht. Benutzer können einfachere Passwörter verwenden oder Variationsmuster für ein konsistentes Thema entwickeln, um ihre Passwörter unvergesslich zu halten.[36] Aufgrund dieser Probleme gibt es einige Debatten darüber, ob das Kennwortalterung effektiv ist.[37] Das Ändern eines Passworts verhindert in den meisten Fällen keinen Missbrauch, da der Missbrauch häufig sofort auffällt. Wenn jedoch möglicherweise jemand über einige Weise Zugriff auf das Passwort hatte, z. B. das Teilen eines Computers oder die Verletzung einer anderen Site, begrenzt das Ändern des Passworts das Fenster für Missbrauch.[38]

Anzahl der Benutzer pro Passwort

Die Zuteilung separater Kennwörter für jeden Benutzer eines Systems ist vorzuziehen, wenn ein einzelnes Kennwort von legitimen Benutzern des Systems geteilt wird, sicherlich aus Sicherheitsgründen. Dies liegt teilweise daran, dass Benutzer eher bereit sind, einer anderen Person (die möglicherweise nicht autorisiert ist) ein gemeinsam genutztes Passwort zu sagen als ein ausschließlich für ihre Verwendung. Einzelne Passwörter sind auch viel weniger bequem zu ändern, da viele Menschen gleichzeitig mitgeteilt werden müssen und sie den Zugriff eines bestimmten Benutzers wie beispielsweise beim Abschluss oder zum Abschluss des Benutzers erschweren. Es werden auch häufig separate Anmeldungen für die Rechenschaftspflicht verwendet, beispielsweise, um zu wissen, wer ein Datenstück geändert hat.

Passwortsicherheitsarchitektur

Häufige Techniken zur Verbesserung der Sicherheit von Computersystemen, die durch ein Kennwort geschützt sind, umfassen:

  • Das Kennwort auf dem Anzeigebildschirm nicht angezeigt wird, da es eingegeben oder verdeckt wird, wie es mithilfe von Sternchen (*) oder Kugeln (•) eingegeben wird.
  • Ermöglichen von Passwörtern mit angemessener Länge. (Etwas Erbe Betriebssysteme, einschließlich früher Versionen[die?] von Unix und Windows, begrenzte Passwörter zu einem 8 -Zeichen -Maximum,[39][40][41] Sicherheit reduzieren.)
  • Erforderliche Benutzer, ihr Passwort nach einer Inaktivitätszeit wieder einzugeben (eine Semi-Log-Off-Richtlinie).
  • Durchsetzung von a Kennwortrichtlinie erhöhen Passwortstärke und Sicherheit.
    • Zuweisen zufällig ausgewählter Passwörter.
    • Minimum benötigen Passwortlängen.[28]
    • Einige Systeme erfordern Zeichen aus verschiedenen Zeichenklassen in einem Kennwort - zum Beispiel "müssen mindestens einen Großbuchstaben und mindestens einen Kleinbuchstaben haben". All-Lower-Case-Passwörter sind jedoch sicherer pro Tastenanschlag als Kennwörter mit gemischten Kapitalisierung.[42]
    • Beschäftigen a Passwort Blacklist Um die Verwendung schwacher, leicht erratener Passwörter zu blockieren
    • Bereitstellung einer Alternative zum Tastatureintrag (z. B. gesprochene Passwörter oder Biometrisch Kennungen).
    • Erfordernde mehr als ein Authentifizierungssystem, wie z. B. die Zwei-Faktor-Authentifizierung (etwas, das ein Benutzer hat und was der Benutzer weiß).
  • Verwenden verschlüsselter Tunnel oder Kennwortverständliche Schlüsselvereinbarung Um den Zugriff auf übertragene Passwörter über Netzwerkangriffe zu verhindern
  • Begrenzung der Anzahl der zulässigen Fehler innerhalb eines bestimmten Zeitraums (um wiederholtes Kennwortraten zu verhindern). Nachdem die Grenze erreicht ist, schließen weitere Versuche bis zum Beginn des nächsten Zeitraums fehl (einschließlich korrekter Passwortversuche). Dies ist jedoch anfällig für eine Form von Denial -of -Service -Angriff.
  • Einführung einer Verzögerung zwischen den Versuchsübermittlungsversuche für die Einreichung von Kennkörpern, um automatisierte Kennwortratenprogramme zu verlangsamen.

Einige der strengeren Maßnahmen zur Durchsetzung der Richtlinien können ein Risiko darstellen, Benutzer zu entfremden und möglicherweise die Sicherheit zu verringern.

Wiederverwendung von Passwort

Unter den Computerbenutzern ist es üblich, dasselbe Passwort auf mehreren Websites wiederzuverwenden. Dies stellt ein erhebliches Sicherheitsrisiko dar, weil eine Angreifer muss nur eine einzelne Site beeinträchtigen, um Zugriff auf andere Websites zu erhalten, die das Opfer verwendet. Dieses Problem wird durch Wiederverwendung verschärft Benutzernamenund nach Websites, die E -Mail -Anmeldungen erfordern, erleichtert es einem Angreifer, einen einzelnen Benutzer über mehrere Websites hinweg zu verfolgen. Die Wiederverwendung der Passwort kann durch Verwendung vermieden oder minimiert werden Mnemonische Techniken, Passwort auf Papier schreibenoder verwenden a Passwortmanager.[43]

Es wurde von Redmond-Forschern Dinei Florencio und Cormac Herley zusammen mit Paul C. Van Oorschot von der Carleton University, Kanada, geprägt, dass die Wiederverwendung von Passwörtern unvermeidlich ist und dass Benutzer Passwörter für Websites mit niedriger Sicherheit wiederverwenden sollten (die nur wenige persönliche Daten und nur wenig persönliche Daten und enthalten sollten. Zum Beispiel keine Finanzinformationen) und fokussieren stattdessen ihre Bemühungen darauf, lange, komplexe Passwörter für einige wichtige Konten wie Bankkonten zu erinnern.[44] Ähnliche Argumente wurden von vorgenommen von Forbes In den gleichen Einschränkungen im menschlichen Gedächtnis nicht so oft wie viele "Experten" zu ändern.[36]

Passwörter auf Papier aufschreiben

In der Vergangenheit haben viele Sicherheitsexperten die Leute gebeten, sich ihre Passwörter zu merken: "Schreiben Sie niemals ein Passwort auf". In jüngerer Zeit viele Sicherheitsexperten wie Bruce Schneier Empfehlen Sie, dass Personen Passwörter verwenden, die zu kompliziert sind, um sie auswendig zu lernen, sie auf Papier zu schreiben und sie in einer Brieftasche zu behalten.[45][46][47][48][49][50][51]

Passwortmanager Software kann auch Kennwörter relativ sicher speichern, in einer verschlüsselten Datei, die mit einem einzelnen Master -Passwort versiegelt ist.

Nach dem Tod

Nach einer Umfrage von der Universität von LondonEin von zehn Personen lässt jetzt seine Passwörter in seinen Testamentswillen, um diese wichtigen Informationen weiterzugeben, wenn er stirbt. Ein Drittel der Menschen stimmt laut Umfrage zu, dass ihre kennwortgeschützten Daten wichtig genug sind, um in ihrem Willen weiterzugeben.[52]

Multi-Faktor-Authentifizierung

Hauptartikel: Multi-Faktor-Authentifizierung

Multi-Factor-Authentifizierungsschemata kombinieren Passwörter (als "Wissensfaktoren") mit einem oder mehreren anderen Authentifizierungsmitteln, um die Authentifizierung sicherer und weniger anfällig für kompromittierte Passwörter. Beispielsweise kann eine einfache Zwei-Faktor-Anmeldung eine Textnachricht, eine E-Mail, einen automatisierten Telefonanruf oder eine ähnliche Warnung senden, wenn ein Anmeldeversuch durchgeführt wird. Möglicherweise wird ein Code geliefert, der zusätzlich zu einem Kennwort eingegeben werden muss.[53] Zu den ausgefeilteren Faktoren gehören Hardware -Token und biometrische Sicherheit.

Passwortregeln

Weitere Informationen: Kennwortrichtlinie

Die meisten Organisationen geben a an Kennwortrichtlinie Dadurch werden die Anforderungen für die Zusammensetzung und Verwendung von Kennwörtern festgelegt, die normalerweise die Mindestlänge, die erforderlichen Kategorien (z. B. obere und untere Fall, Nummern und Sonderzeichen), verbotene Elemente (z. B. Verwendung des eigenen Namens, Geburtsdatum, Adresse, Adresse Telefonnummer). Einige Regierungen haben nationale Authentifizierungsrahmen[54] Dadurch definieren die Anforderungen für die Benutzerauthentifizierung für staatliche Dienste, einschließlich der Anforderungen an Passwörter.

Viele Websites erzwingen Standardregeln wie Mindest- und Höchstlänge, enthalten jedoch häufig Kompositionsregeln wie mindestens einen Großbuchstaben und mindestens eine Zahl/Symbol. Diese letzteren, spezifischeren Regeln basierten weitgehend auf einem Bericht von 2003 von dem Nationales Institut für Standards und Technologie (NIST), verfasst von Bill Burr.[55] Es schlug ursprünglich die Praxis vor, Zahlen, obskure Zeichen und Großbuchstaben zu verwenden und regelmäßig zu aktualisieren. In einem 2017 Wallstreet Journal Artikel, Burr berichtete, er bedauerte diese Vorschläge und machte einen Fehler, als er sie empfahl.[56]

Laut einem Umschreiben dieses NIST -Berichts von 2017, viele Websites Haben Sie Regeln, die tatsächlich den gegenteiligen Effekt auf die Sicherheit ihrer Benutzer haben. Dies umfasst komplexe Kompositionsregeln sowie erzwungene Kennwortänderungen nach bestimmten Zeiträumen. Diese Regeln sind zwar seit langem weit verbreitet, aber sowohl von Benutzern als auch von Experten für Cybersicherheit sind sie seit langem auch als nervig und unwirksam angesehen.[57] Der NIST empfiehlt Personen, längere Phrasen als Passwörter zu verwenden (und Websites zur Erhöhung der maximalen Passwortlänge) anstelle von schwer zu erinnerten Passwörtern mit "illusorischer Komplexität" wie "PA55W+RD".[58] Ein Benutzer, der das Passwort "Passwort" verwendet, kann einfach "password1" wählen, sofern erforderlich, um eine Nummer und ein Großbuchstaben zu enthalten. In Kombination mit erzwungenen periodischen Passwortänderungen kann dies zu Passwörtern führen, die schwer zu erinnern sind, aber leicht zu knacken sind.[55]

Paul Grassi, einer der Autoren des NIST -Berichts 2017, zeichnete sich weiter aus: "Jeder weiß, dass ein Ausrufezeichen ein 1 oder ein I oder der letzte Charakter eines Passworts ist. -Bekannte Tricks, wir täuschen keinen Gegner. Wir täuschen einfach die Datenbank, in der Passwörter in der Meinung sind, dass der Benutzer etwas Gutes getan hat. "[57]

Pieris Tsokkis und Eliana Stavrou konnten einige schlechte Kennwortkonstruktionsstrategien durch ihre Forschung und Entwicklung eines Kennwortgenerator -Tools identifizieren. Sie entwickelten acht Kategorien von Kennwortkonstruktionsstrategien basierend auf exponierten Kennwortlisten, Tools für Kennwortrisse und Online -Berichten, die die am häufigsten verwendeten Kennwörter zitieren. Diese Kategorien umfassen benutzerbezogene Informationen, Tastaturkombinationen und -muster, Platzierungsstrategie, Textverarbeitung, Substitution, Kapitalisierung, Anhängedaten und eine Kombination der vorherigen Kategorien[59]

Passwort knacken

Hauptartikel: Passwort knacken

Der Versuch, Passwörter zu knacken, indem sie so viele Möglichkeiten ausprobieren wie Zeit- und Geldgenehmigung ist a Brute -Force -Angriff. Eine verwandte Methode, in den meisten Fällen eher effizienter, ist a Wörterbuchangriff. Bei einem Wörterbuchangriff werden alle Wörter in einem oder mehreren Wörterbüchern getestet. Listen allgemeiner Passwörter werden normalerweise ebenfalls getestet.

Passwortstärke Ist die Wahrscheinlichkeit, dass ein Passwort nicht erraten oder entdeckt werden kann, und variiert mit dem verwendeten Angriffsalgorithmus. Kryptologen und Informatiker beziehen sich oft auf die Stärke oder „Härte“ in Bezug auf Entropie.[14]

Passwörter werden leicht festgestellt schwach oder verletzlich; Passwörter, die sehr schwierig oder unmöglich zu entdecken sind, werden berücksichtigt stark. Es stehen mehrere Programme für Passwortangriffe (oder sogar die Prüfung und Wiederherstellung nach Systempersonal) zur Verfügung, wie z. B. L0phtcrack, Johannes der Ripper, und Kain; Einige davon verwenden Schwachstellen für Passwortdesign (wie im Microsoft Lanmanager -System), um die Effizienz zu steigern. Diese Programme werden manchmal von Systemadministratoren verwendet, um schwache Passwörter zu erkennen, die von Benutzern vorgeschlagen wurden.

Studien zu Produktionscomputersystemen haben konsequent gezeigt, dass ein großer Teil aller vom Benutzer ausgewählten Kennwörter automatisch leicht erraten wird. Beispielsweise hat die Columbia University festgestellt, dass 22% der Benutzerkennwörter mit wenig Aufwand wiederhergestellt werden könnten.[60] Entsprechend Bruce SchneierUntersuchung von Daten aus einem 2006 Phishing Angriff, 55% von Mein Platz Kennwörter wären in 8 Stunden mit einem im Handel erhältlichen Kennwortwiederherstellungs -Toolkit, mit dem 2006 2006 2006 Passwörter pro Sekunde getestet werden können, knackbar.[61] Er berichtete auch, dass das häufigste Passwort war Passwort1, noch einmal das allgemeine Mangel an informierter Pflege bei der Auswahl von Passwörtern unter den Benutzern erneut. (Basierend auf diesen Daten behauptete er, dass sich die allgemeine Qualität der Passwörter im Laufe der Jahre verbessert hat - beispielsweise betrug die durchschnittliche Länge in früheren Umfragen unter sieben und weniger als 4% Wörterbuchwörter.[62]))

Vorfälle

  • Am 16. Juli 1998, Zertifikat berichtete über einen Vorfall, bei dem ein Angreifer 186.126 verschlüsselte Passwörter gefunden hatte. Zu der Zeit waren bereits 47.642 Passwörter geknackt.[63]
  • Im September 2001, nach dem Tod von 960 New Yorker Mitarbeitern in der 11. September AngriffeFinanzdienstleistungsunternehmen Cantor Fitzgerald durch Microsoft Die Passwörter verstorbener Mitarbeiter haben den Zugriff auf Dateien erhalten, die für die Servicelandkonten benötigt werden.[64] Techniker verwendeten Brute-Force-Angriffe, und die Interviewer kontaktierten Familien, um personalisierte Informationen zu sammeln, die die Suchzeit für schwächere Passwörter verkürzen könnten.[64]
  • Im Dezember 2009 eine große Passwortverletzung der Rockyou.com Die Website trat zur Veröffentlichung von 32 Millionen Passwörtern auf. Der Hacker hat dann die vollständige Liste der 32 Millionen Passwörter (ohne andere identifizierbare Informationen) für das Internet durchgesickert. Kennwörter wurden in ClearText in der Datenbank gespeichert und über eine SQL -Injektionsanfälligkeit extrahiert. Das Imperva Application Defense Center (ADC) führte eine Analyse zur Stärke der Passwörter durch.[65]
  • Im Juni 2011, NATO (North Atlantic Vertragsorganisation) erlebte eine Sicherheitsverletzung, die zur Veröffentlichung von First- und Nachnamen, Benutzernamen und Passwörtern für mehr als 11.000 registrierte Benutzer ihres E-Bookshop führte. Die Daten wurden als Teil von durchgesickert Operation Antisec, eine Bewegung, die umfasst Anonym, Lulzsecsowie andere Hacking -Gruppen und Einzelpersonen. Das Ziel von Antisec ist es, persönliche, sensible und eingeschränkte Informationen der Welt mit allen erforderlichen Mitteln aufzuzeigen.[66]
  • Am 11. Juli 2011, Booz Allen Hamilton, eine Beratungsfirma, für die arbeitet das Pentagon, hatte ihre Server von gehackt Anonym Und am selben Tag durchgesickert. "Das Leck, das" Military Meltdown Montag "bezeichnet wird Uscentcom, Socom, das Marine Corps, verschiedene Luftwaffe Einrichtungen, Heimatschutz, Außenministerium Mitarbeiter und was wie Auftragnehmer des privaten Sektors aussieht. "[67] Diese durchgesickerten Passwörter wurden in SHA1 gehasht und wurden später vom ADC -Team bei entschlüsselt und analysiert Impervaund enthüllen, dass selbst Militärpersonal nach Abkürzungen und Wege um die Passwortanforderungen sucht.[68]

Alternativen zu Passwörtern zur Authentifizierung

Die zahlreichen Möglichkeiten, wie dauerhafte oder semi-permanente Passwörter beeinträchtigt werden können, hat die Entwicklung anderer Techniken ausgelöst. Leider sind einige in der Praxis unzureichend, und in jedem Fall sind nur wenige für Benutzer allgemein verfügbar geworden, die eine sicherere Alternative suchen.[69] Ein 2012er Papier[70] Untersucht, warum sich Passwörter als so schwer zu ersetzen erwiesen haben (trotz zahlreicher Vorhersagen, dass sie bald der Vergangenheit angehören würden[71]); Bei der Untersuchung von dreißig repräsentativen vorgeschlagenen Ersetzungen in Bezug auf Sicherheit, Benutzerfreundlichkeit und Bereitstellung schließen sie: "Keine behält sogar die gesamten Anzahl von Vorteilen, die Legacy -Passwörter bereits bieten."

  • Einwegkennwörter. Wenn Sie Kennwörter haben, die nur gültig sind, ist viele potenzielle Angriffe unwirksam. Die meisten Benutzer finden Einzelnutzungskennwörter äußerst unpraktisch. Sie wurden jedoch in persönlichem Umfang implementiert Online-Banking, wo sie als bekannt sind als Transaktionsauthentifizierungsnummern (Bräune). Da die meisten Heimnutzer nur eine kleine Anzahl von Transaktionen pro Woche durchführen, hat das Problem der Einzelverwendung in diesem Fall nicht zu unerträglicher Kundenunzufriedenheit geführt.
  • Zeitsynchronisierte einmalige Passwörter sind in gewisser Weise ähnlich wie bei Einwegkennwörtern, aber der Wert wird auf einem kleinen (im Allgemeinen taschen-) Element angezeigt und ändert sich jede Minute oder so.
  • PassWindow Einmalige Passwörter werden als Einzelnutzungskennwörter verwendet. Die zu eingegebenen dynamischen Zeichen sind jedoch nur sichtbar, wenn ein Benutzer einen eindeutigen gedruckten visuellen Schlüssel über ein auf dem Bildschirm des Benutzers angezeigter Server-generierter Herausforderungsbild überlasst.
  • Zugangskontrollen basierend auf Kryptographie der Öffentlichkeit z.B. ssh. Die notwendigen Schlüssel sind normalerweise zu groß, um sich auswendig zu lernen (siehe Vorschlag Passpezaze)[72] und muss auf einem lokalen Computer aufbewahrt werden, Sicherheitstoken oder tragbares Speichergerät wie a USB-Stick oder auch Diskette. Der private Schlüssel kann auf einem Cloud-Dienstanbieter gespeichert und unter Verwendung eines Kennworts oder einer Zwei-Faktor-Authentifizierung aktiviert werden.
  • Biometrisch Methoden versprechen Authentifizierung auf der Grundlage unveränderlicher persönlicher Merkmale, aber derzeit (2008) haben hohe Fehlerraten und erfordern zusätzliche Hardware zum Scannen.[Benötigt Update] zum Beispiel, Fingerabdrücke, Irisusw. Sie haben sich bei einigen berühmten Vorfällen als leicht zu fälschlich erwiesen, um im Handel erhältliche Systeme zu testen, beispielsweise die Gummie -Fingerabdruck -Parodiedemonstration,[73] Und weil diese Eigenschaften unveränderlich sind, können sie nicht geändert werden, wenn sie beeinträchtigt werden. Dies ist eine sehr wichtige Überlegung bei der Zugriffskontrolle, da ein gefährdeter Zugangs -Token notwendigerweise unsicher ist.
  • Einmalige Anmeldung Es wird behauptet, dass die Technologie die Notwendigkeit mehrerer Passwörter beseitigt. Solche Systeme entlasten Benutzer und Administratoren weder die Auswahl angemessener Einzelkennwörter, noch Systemdesigner oder Administratoren daran, dass private Zugriffskontrollinformationen, die zwischen Systemen übergeben werden und die einzelne Anmeldeanmeldungen ermöglichen, gegen Angriffe sicher sind. Bisher wurde kein zufriedenstellender Standard entwickelt.
  • Die Umgebungstechnologie ist eine kennwortfreie Möglichkeit, Daten auf entfernbaren Speichergeräten wie USB-Flash-Laufwerken zu sichern. Anstelle von Benutzerkennwörtern basiert die Zugriffskontrolle auf dem Zugriff des Benutzers auf eine Netzwerkressource.
  • Nicht-textbasierte Passwörter wie z. Grafische Passwörter oder Mausbewegungsbasierte Passwörter.[74] Grafische Passwörter sind ein alternativer Mittel von Authentifizierung Für Anmeldung, die anstelle des herkömmlichen Passworts verwendet werden sollen; Sie benutzen Bilder, Grafik oder Farben Anstatt von Briefe, Ziffern oder spezielle Charaktere. Ein System erfordert, dass Benutzer eine Reihe von auswählen Gesichter als Passwort unter Verwendung der Verwendung der menschliches GehirnFähigkeit zu Rückrufgesichter leicht.[75] In einigen Implementierungen muss der Benutzer aus einer Reihe von Bildern in der richtigen Reihenfolge auswählen, um Zugriff zu erhalten.[76] Eine andere grafische Passwortlösung erstellt a einmaliges Passwort Verwenden eines zufällig erzeugten Bildergitters. Jedes Mal, wenn der Benutzer authentifiziert wird, suchen er nach den Bildern, die ihre vorgewählten Kategorien passen, und geben das zufällig generierte alphanumerische Zeichen ein, das im Bild angezeigt wird, um das einmalige Kennwort zu bilden.[77][78] Bisher sind grafische Passwörter vielversprechend, werden jedoch nicht weit verbreitet. Es wurden Studien zu diesem Thema durchgeführt, um die Verwendbarkeit in der realen Welt zu bestimmen. Einige glauben zwar, dass grafische Passwörter schwieriger sind RissAndere schlagen vor, dass Menschen genauso wahrscheinlich gemeinsame Bilder oder Sequenzen auswählen werden wie die Auswahl gemeinsamer Passwörter.
  • 2D -Schlüssel (2-dimensionaler Schlüssel)[79] ist eine 2D-Matrix-ähnliche Schlüsseleingabemethode mit den Schlüsselstilen von Multiline-Passphrase, Kreuzworträtsel, ASCII/Unicode-Kunst mit optionalen semantischen Semantikgeräuschen, um ein großes Kennwort/Schlüssel über 128 Bits zu erstellen, um die MEPKC zu realisieren (maßgebliche öffentliche Kryptographie)[80] Verwenden Sie den aktuellen privaten Schlüsselmanagementtechnologien wie verschlüsselter privater Schlüssel, teilen Sie den privaten Schlüssel und den privaten Schlüssel zum vollständig auswendigen privaten Schlüssel.
  • Kognitive Passwörter Verwenden Sie Fragen und Beantworten Sie Cue/Antwortpaare, um die Identität zu überprüfen.

"Das Passwort ist tot"

"Das Passwort ist tot" ist eine wiederkehrende Idee in Computersicherheit. Die angegebenen Gründe beinhalten häufig den Hinweis auf die Benutzerfreundlichkeit sowie Sicherheitsprobleme von Passwörtern. Es ist häufig Argumente einher, dass der Austausch von Passwörtern durch ein sichereres Authentifizierungsmittel sowohl notwendig als auch unmittelbar bevorsteht. Diese Behauptung wurde mindestens seit 2004 von zahlreichen Personen erhoben.[71][81][82][83][84][85][86][87]

Zu den Alternativen zu Passwörtern gehören Biometrie, Zwei-Faktor-Authentifizierung oder Einmalige Anmeldung, Microsoft's Cardspace, das Higgins -Projekt, das Liberty Alliance, NSTIC, das Fido Alliance und verschiedene Identität 2.0 Vorschläge.[88][89]

Trotz dieser Vorhersagen und Bemühungen, sie zu ersetzen, sind Passwörter jedoch immer noch die dominierende Form der Authentifizierung im Web. In "Die Persistenz von Passwörtern" schlägt Cormac Herley und Paul Van Oorschot vor, dass alle Anstrengungen unternommen werden sollten, um die "spektakulär falsche Annahme" zu beenden, dass Passwörter tot sind.[90] Sie argumentieren, dass "keine andere einzelne Technologie ihrer Kombination aus Kosten, Unmittelbarkeit und Bequemlichkeit entspricht" und dass "Passwörter selbst für viele der Szenarien, in denen sie derzeit verwendet werden, am besten geeignet sind".

Anschließend haben Bonneau et al. Vergleiche Webkennwörter systematisch mit 35 konkurrierenden Authentifizierungsschemata hinsichtlich ihrer Benutzerfreundlichkeit, Bereitstellung und Sicherheit.[91][92] Ihre Analyse zeigt, dass die meisten Systeme besser als Passwörter für die Sicherheit sind. Einige Programme sind in Bezug auf die Benutzerfreundlichkeit besser und einige schlechter jeder Das Schema ist schlechter als Passwörter für die Bereitstellung. Die Autoren schließen mit der folgenden Beobachtung: "Grenzgewinne reichen oft nicht aus, um die Aktivierungsenergie zu erreichen auf dem Friedhof. "

Siehe auch

Verweise

  1. ^ a b "Passcode". Dein Wörterbuch. Abgerufen 17. Mai 2019.
  2. ^ a b Williams, Shannon (21. Oktober 2020). "Durchschnittliche Person hat 100 Passwörter - Studie". Nordpass. Abgerufen 28. April, 2021.
  3. ^ a b Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (Juni 2017). "NIST Special Publication 800-63-3: Richtlinien für digitale Identität". Nationales Institut für Standards und Technologie (NIST). doi:10.6028/nist.sp.800-63-3. Abgerufen 17. Mai 2019. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  4. ^ "Authentifizierungsprotokoll". Computer Security Resource Center (NIST). Archiviert von das Original am 17. Mai 2019. Abgerufen 17. Mai 2019.
  5. ^ "Passphrase". Computer Security Resource Center (NIST). Abgerufen 17. Mai 2019.
  6. ^ Polybius auf dem römischen Militär Archiviert 2008-02-07 am Wayback -Maschine. AncientHistory.about.com (2012-04-13). Abgerufen am 2012-05-20.
  7. ^ Mark Bando (2007). 101. Airborne: Die schreienden Adler im Zweiten Weltkrieg II.. MBI Publishing Company. ISBN 978-0-7603-2984-9. Archiviert Aus dem Original am 2. Juni 2013. Abgerufen 20. Mai 2012.
  8. ^ McMillan, Robert (27. Januar 2012). "Das erste Computerkennwort der Welt? Es war auch nutzlos.". Wired Magazine. Abgerufen 22. März 2019.
  9. ^ Hunt, Troy (26. Juli 2017). "Kennwörter entwickelt: Authentifizierungsanleitung für die moderne Ära". Abgerufen 22. März 2019.
  10. ^ CTSS -Programmiererhandbuch, 2. Aufl., MIT Press, 1965
  11. ^ Morris, Robert; Thompson, Ken (1978-04-03). "Passwortsicherheit: Ein Fallverlauf". Glockenlabors. Citeseerx 10.1.1.128.1635.
  12. ^ Vance, Ashlee (2010-01-10). "Wenn Ihr Passwort 123456 ist, machen Sie es einfach Hackme". Die New York Times. Archiviert vom Original am 2017-02-11.
  13. ^ "Verwaltung der Netzwerksicherheit". Archiviert aus dem Original am 2. März 2008. Abgerufen 2009-03-31.{{}}: CS1 Wartung: Bot: Original -URL -Status unbekannt (Link). Fred Cohen und Associates. All.net. Abgerufen am 2012-05-20.
  14. ^ a b c d Lundin, Leigh (2013-08-11). "Pins und Passwörter, Teil 2". Passwörter. Orlando: Sluthsayers.
  15. ^ Die Erinnerung und Sicherheit von Passwörtern Archiviert 2012-04-14 bei der Wayback -Maschine (PDF). ncl.ac.uk. Abgerufen am 2012-05-20.
  16. ^ Michael E. Whitman; Herbert J. Mattord (2014). Prinzipien der Informationssicherheit. Cengage -Lernen. p. 162. ISBN 978-1-305-17673-7.
  17. ^ "So erstellen Sie einen zufälligen Passwortgenerator". PCmag. Abgerufen 2021-09-05.
  18. ^ Lewis, Dave (2011). Strg-Alt-Delete. p. 17. ISBN 978-1471019111. Abgerufen 10. Juli 2015.
  19. ^ Techlicious / Fox van Allen @techlicious (2013-08-08). "Google enthüllt die 10 schlechtesten Passwort -Ideen | time.com". Techland.time.com. Archiviert vom Original am 2013-10-22. Abgerufen 2013-10-16.
  20. ^ Fleishman, Glenn (24. November 2015). "Schreiben Sie Ihre Passwörter auf, um die Sicherheit zu verbessern. Ein konter-intuitiver Begriff lässt Sie weniger anfällig für Remote-Angriffe, nicht mehr". Macworld. Abgerufen 28. April, 2021.
  21. ^ a b Lyquix Blog: Müssen wir Passwörter ausblenden? Archiviert 2012-04-25 in der Wayback -Maschine. Lyquix.com. Abgerufen am 2012-05-20.
  22. ^ Jonathan Kent Malaysia Autodiebe stehlen Finger Archiviert 2010-11-20 bei der Wayback -Maschine. BBC (2005-03-31)
  23. ^ Stuart Brown "Top zehn Passwörter, die in Großbritannien verwendet werden". Archiviert von das Original am 8. November 2006. Abgerufen 2007-08-14.. ModernLifeSrubbish.co.uk (2006-05-26). Abgerufen am 2012-05-20.
  24. ^ US -Patent 8046827 
  25. ^ Wilkes, M. V. Time-Sharing-Computersysteme. American Elsevier, New York, (1968).
  26. ^ Schofield, Jack (10. März 2003). "Roger Needham". Der Wächter.
  27. ^ Der Fehler Charmeur: Passwörter sind wichtig Archiviert 2013-11-02 bei der Wayback -Maschine. Bugcharmer.blogspot.com (2012-06-20). Abgerufen am 2013-07-30.
  28. ^ a b Alexander, Steven. (2012-06-20) Der Fehlercharmer: Wie lange sollten Passwörter dauern? Archiviert 2012-09-20 bei der Wayback -Maschine. Bugcharmer.blogspot.com. Abgerufen am 2013-07-30.
  29. ^ "Passlib.hash - Passwort Hashing -Schemata" Archiviert 2013-07-21 bei der Wayback -Maschine.
  30. ^ a b Florencio et al., Ein Administratorhandbuch zur Internet -Passwort -Recherche Archiviert 2015-02-14 bei der Wayback -Maschine. (PDF) Abgerufen am 2015-03-14.
  31. ^ Cracking Story - Wie ich über 122 Millionen SHA1- und MD5 -Hash -Passwörter geknackt habe «Thireus 'Bl0g Archiviert 2012-08-30 bei der Wayback -Maschine. Blog.thireu.com (2012-08-29). Abgerufen am 2013-07-30.
  32. ^ a b Morris, Robert & Thompson, Ken (1979). "Passwortsicherheit: Ein Fallhistorie". Kommunikation der ACM. 22 (11): 594–597. Citeseerx 10.1.1.135.2097. doi:10.1145/359168.359172. S2CID 207656012. Archiviert von das Original am 2003-03-22.
  33. ^ Passwortschutz für moderne Betriebssysteme Archiviert 2016-03-11 bei der Wayback -Maschine (PDF). Usenix.org. Abgerufen am 2012-05-20.
  34. ^ So verhindern Sie, dass Windows einen LAN -Manager -Hash Ihres Passworts in Active Directory- und lokalen SAM -Datenbanken speichert Archiviert 2006-05-09 im Wayback -Maschine. Support.microsoft.com (2007-12-03). Abgerufen am 2012-05-20.
  35. ^ "Warum sollten Sie lügen, wenn Sie bei der Einrichtung von Fragen der Passwortsicherheit lügen". Technisch. 2013-03-08. Archiviert vom Original am 2013-10-23. Abgerufen 2013-10-16.
  36. ^ a b Joseph Steinberg (12. November 2014). "Forbes: Warum Sie alles ignorieren sollten, was Ihnen über Kennwörter ausgewählt wurde.". Forbes. Archiviert Aus dem Original am 12. November 2014. Abgerufen 12. November 2014.
  37. ^ "Die Probleme bei der Erzwingung des Ablaufs der regulären Passwort". IA ist wichtig. CESG: Der Informationssicherheitsarm von GCHQ. 15. April 2016. archiviert von das Original am 17. August 2016. Abgerufen 5. August 2016.
  38. ^ Schneier über Sicherheitsdiskussion über das Ändern von Passwörtern Archiviert 2010-12-30 bei Wayback -Maschine. Schneier.com. Abgerufen am 2012-05-20.
  39. ^ Seltzer, Larry. (2010-02-09) "American Express: Starkes Guthaben, schwache Passwörter" Archiviert 2017-07-12 bei der Wayback -Maschine. Pcmag.com. Abgerufen am 2012-05-20.
  40. ^ "Zehn Windows -Passwort -Mythen" Archiviert 2016-01-28 bei der Wayback -Maschine: "NT -Dialogfelder ... begrenzte Passwörter auf maximal 14 Zeichen"
  41. ^ "Sie müssen ein Passwort zwischen 1 und 8 Zeichen lang angeben". Jira.codeehaus.org. Abgerufen am 2012-05-20. Archiviert 21. Mai 2015 bei der Wayback -Maschine
  42. ^ "Um zu Kapitalisieren oder nicht zu profitieren?" Archiviert 2009-02-17 bei der Wayback -Maschine. World.std.com. Abgerufen am 2012-05-20.
  43. ^ Thomas, Keir (10. Februar 2011). "Die Wiederverwendung von Passwort ist allzu häufig, wie Forschung zeigt". PC Welt. Archiviert Aus dem Original am 12. August 2014. Abgerufen 10. August, 2014.
  44. ^ Pauli, Darren (16. Juli 2014). "Microsoft: Sie benötigen schlechte Passwörter und sollten sie sehr wiederverwenden". Das Register. Archiviert Aus dem Original am 12. August 2014. Abgerufen 10. August 2014.
  45. ^ Bruce Schneier: Krypto-Gramm-Newsletter Archiviert 2011-11-15 in der Wayback -Maschine 15. Mai 2001
  46. ^ "Zehn Windows -Passwort -Mythen" Archiviert 2016-01-28 bei der Wayback -Maschine: Mythos Nr. 7. Sie sollten niemals Ihr Passwort aufschreiben
  47. ^ Kotadia, Munir (2005-05-23) Microsoft Security Guru: Schreiben Sie Ihre Passwörter auf. News.cnet.com. Abgerufen am 2012-05-20.
  48. ^ "Das starke Passwort -Dilemma" Archiviert 2010-07-18 bei der Wayback -Maschine Von Richard E. Smith: "Wir können die Regeln für die Auswahl der klassischen Passwort wie folgt zusammenfassen: Das Passwort muss nicht erinnern und nie niedergeschrieben werden."
  49. ^ Bob Jenkins (2013-01-11). "Auswahl zufälliger Passwörter". Archiviert Aus dem Original am 09.09.2010.
  50. ^ "Die Erinnerung und Sicherheit von Kennwörtern - einige empirische Ergebnisse" Archiviert 2011-02-19 bei der Wayback -Maschine (PDF)
    "Ihr Passwort ... an einem sicheren Ort wie der Rückseite Ihrer Brieftasche oder Geldbörse."
  51. ^ "Soll ich meine Passphrase aufschreiben?" Archiviert 2009-02-17 bei der Wayback -Maschine. World.std.com. Abgerufen am 2012-05-20.
  52. ^ Jaffery, Saman M. (17. Oktober 2011). "Umfrage: 11% der Briten enthalten Internetkennwörter in Will". Hull & Hull LLP. Archiviert von das Original am 25. Dezember 2011. Abgerufen 16. Juli 2012.
  53. ^ Zwei-Faktor-Authentifizierung Archiviert 2016-06-18 bei der Wayback -Maschine
  54. ^ Verbesserung der Verwendbarkeit des Kennwortmanagements mit standardisierten Kennwortrichtlinien Archiviert 2013-06-20 bei der Wayback -Maschine (PDF). Abgerufen am 2012-10-12.
  55. ^ a b Hassen Sie dumme Passwortregeln? So auch der Typ, der sie geschaffen hat, ZDNET
  56. ^ Der Mann, der diese Passwortregeln geschrieben hat, hat einen neuen Tipp: N3V $ r M1^D!, Wallstreet Journal
  57. ^ a b Experten sagen, wir können diese dummen Passwortregeln endlich abgeben, Reichtum
  58. ^ Die neuen Passwortregeln von NIST - was Sie wissen müssen, Nackte Sicherheit
  59. ^ P. Tsokkis und E. Stavrou, "Ein Kennwortgenerator-Tool zur Sensibilisierung der Benutzer für schlechte Kennwortkonstruktionsstrategien", Internationales Symposium 2018 für Netzwerke, Computer und Kommunikation (ISNCC), Rom, 2018, S. 1-5, doi:10.1109/isncc.2018.8531061.
  60. ^ "Passwort". Archiviert vom Original am 23. April 2007. Abgerufen 2012-05-20.{{}}: CS1 Wartung: Bot: Original -URL -Status unbekannt (Link). cs.columbia.edu
  61. ^ Schneier, reale Passwörter Archiviert 2008-09-23 bei der Wayback -Maschine. Schneier.com. Abgerufen am 2012-05-20.
  62. ^ MySpace -Passwörter sind nicht so dumm Archiviert 2014-03-29 bei der Wayback -Maschine. Wired.com (2006-10-27). Abgerufen am 2012-05-20.
  63. ^ "Cert in-98.03". 1998-07-16. Abgerufen 2009-09-09.
  64. ^ a b Urbina, Ian; Davis, Leslye (23. November 2014). "Das geheime Leben der Passwörter". Die New York Times. Archiviert Aus dem Original am 28. November 2014.
  65. ^ "Verbraucherkennwort Worst Practices (PDF)" (PDF). Archiviert (PDF) Aus dem Original am 07.07.10-28.
  66. ^ "NATO -Site gehackt". Das Register. 2011-06-24. Archiviert Aus dem Original am 29. Juni 2011. Abgerufen 24. Juli, 2011.
  67. ^ "Anonymous leckt 90.000 militärische E -Mail -Konten bei der letzten Antisec -Angriff". 2011-07-11. Archiviert vom Original am 2017-07-14.
  68. ^ "Militär Passwortanalyse". 2011-07-12. Archiviert Aus dem Original am 07.07.15.
  69. ^ "Die Top-12-Kennwortverrückungs-Techniken, die von Hackern verwendet werden". Es pro. Abgerufen 2022-07-18.
  70. ^ "Die Suche nach Passwörtern (PDF)" (PDF). IEEE. 2012-05-15. Archiviert (PDF) vom Original am 2015-03-19. Abgerufen 2015-03-11.
  71. ^ a b "Gates sagt den Tod des Passworts voraus". CNET. 2004-02-25. Archiviert vom Original am 2015-04-02. Abgerufen 2015-03-14.
  72. ^ Cryptology Eprint Archiv: Bericht 2005/434 Archiviert 2006-06-14 im Wayback -Maschine. Eprint.iacr.org. Abgerufen am 2012-05-20.
  73. ^ T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "Auswirkungen künstlicher" gummiärer "Finger auf Fingerabdrucksysteme". Proc Spie. Optische Sicherheits- und gefälschte Abschreckungstechniken IV. 4677: 275. Bibcode:2002spie.4677..275m. doi:10.1117/12.462719. S2CID 16897825.
  74. ^ Verwenden von AJAX für Bildkennwörter - Ajax Security Teil 1 von 3 Archiviert 2006-06-16 am Wayback -Maschine. Waelchatila.com (2005-09-18). Abgerufen am 2012-05-20.
  75. ^ Butler, Rick A. (2004-12-21) Gesicht in der Menge Archiviert 2006-06-27 bei der Wayback -Maschine. mcpmag.com. Abgerufen am 2012-05-20.
  76. ^ Grafisches Kennwort oder grafische Benutzerauthentifizierung (GUA) Archiviert 2009-02-21 bei der Wayback -Maschine. Searchsecurity.techtarget.com. Abgerufen am 2012-05-20.
  77. ^ Ericka Chickowski (2010-11-03). "Bilder könnten das Authentifizierungsbild ändern". Dunkle Lesung. Archiviert vom Original am 2010-11-10.
  78. ^ "Selbstbewusste Technologien liefern eine bildbasierte Multifaktorauthentifizierung, um die Passwörter auf öffentlichen Websites zu stärken.". 2010-10-28. Archiviert vom Original am 2010-11-07.
  79. ^ Benutzerhandbuch für die 2-dimensionale Taste (2D-Schlüssel) Eingabemethode und -system Archiviert 2011-07-18 bei der Wayback -Maschine. xpreeli.com. (2008-09-08). Abgerufen am 2012-05-20.
  80. ^ Kok-Wah Lee "Methoden und Systeme zur Erstellung großer Auswendiggeheimnisse und deren Anwendungen" Patent US20110055585 Archiviert 2015-04-13 bei der Wayback -Maschine, WO2010010430. Anmeldedatum: 18. Dezember 2008
  81. ^ Kotadia, Munir (25. Februar 2004). "Gates sagt den Tod des Passworts voraus". ZDNET. Abgerufen 8. Mai 2019.
  82. ^ "IBM enthüllt fünf Innovationen, die unser Leben innerhalb von fünf Jahren verändern werden.". IBM. 2011-12-19. Archiviert vom Original am 2015-03-17. Abgerufen 2015-03-14.
  83. ^ Honan, Mat (2012-05-15). "Töten Sie das Passwort: Warum eine Zeichenfolge von Charakteren uns nicht mehr schützen kann". Verdrahtet. Archiviert vom Original am 2015-03-16. Abgerufen 2015-03-14.
  84. ^ "Google Security Exec: 'Passwörter sind tot'". CNET. 2004-02-25. Archiviert vom Original am 2015-04-02. Abgerufen 2015-03-14.
  85. ^ "Authentciation in Skala". IEEE. 2013-01-25. Archiviert vom Original am 2015-04-02. Abgerufen 2015-03-12.
  86. ^ Mims, Christopher (2014-07-14). "Das Passwort stirbt endlich. Hier ist meins". Wallstreet Journal. Archiviert vom Original am 2015-03-13. Abgerufen 2015-03-14.
  87. ^ "Russischer Anmeldeinformationsdiebstahl zeigt, warum das Passwort tot ist.". Computerwelt. 2014-08-14. Archiviert vom Original am 2015-04-02. Abgerufen 2015-03-14.
  88. ^ "Nstic Head Jeremy Grant will Passwörter töten". Fedscoop. 2014-09-14. Archiviert vom Original am 2015-03-18. Abgerufen 2015-03-14.
  89. ^ "Spezifikationenübersicht". Fido Alliance. 2014-02-25. Archiviert vom Original am 2015-03-15. Abgerufen 2015-03-15.
  90. ^ "Eine Forschungsagenda, in der die Beharrlichkeit von Passwörtern anerkannt wird". IEEE -Sicherheit und Privatsphäre. Januar 2012. Archiviert vom Original am 2015-06-20. Abgerufen 2015-06-20.
  91. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. Van; Stajano, Frank (2012). "Die Suche nach Passwörtern: Ein Framework für die vergleichende Bewertung von Webauthentifizierungsschemata". Technischer Bericht - Universität von Cambridge. Computerlabor. Cambridge, Großbritannien: Computerlabor der Universität von Cambridge. doi:10.48456/tr-817. ISSN 1476-2986. Abgerufen 22. März 2019.
  92. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. Van; Stajano, Frank (2012). "Die Suche nach Passwörtern: Ein Framework für die vergleichende Bewertung von Webauthentifizierungsschemata". 2012 IEEE Symposium über Sicherheit und Privatsphäre. 2012 IEEE Symposium über Sicherheit und Privatsphäre. San Francisco, CA. S. 553–567. doi:10.1109/sp.2012.44. ISBN 978-1-4673-1244-8.

Externe Links