Semantische Zusammensetzung von Passwörtern: Vertrauliche Informationen

Anna Lena Fehlhaber

Bei der semantischen Zusammensetzung von Passwörtern unter Verwendung vertraulicher Informationen ergeben sich wiederkehrende Muster bezüglich der Inhalte und Bedeutungen. Das ist darauf zurückzuführen, dass viele Akteure dabei der Fehleinschätzung erliegen, dass Daten, die nicht über sie bekannt sind, weil sie diese nicht veröffentlicht haben, sichere Passwörter sind.

Qualitative Studien zeigen, dass Nutzer insbesondere vor zielgerichteten Angriffen (targeted attacks) Angst haben, und deshalb auf vertrauliche Informationen zurückgreifen, um Passwörter zu generieren. In der Realität sind aber sogenannte large scale Angriffszenarien und automatisierte Angriffe wesentlich häufiger, sodass sich eine Diskrepanz zwischen dem Empfinden des Passworts als sicher, und der tatsächlichen Sicherheit ergeben.

Bei quantitativen Recherchen ergeben sich Themenhäufungen und Nutzung von Referenzobjekten, wie beispielsweise Namen oder Daten, sodass ein potentieller Angreifer diese spezifischen Informationen nicht benötigt, sondern mit Hilfe von Wahrscheinlichkeiten das Passwort herausfinden kann (Reverse Brute Force). Das folgende Beispiel soll dies veranschaulichen.

Person X wählt das Passwort "SphinxÄgyptenurlaub", da Person X nur engsten Freunden von der Reise nach Ägypten erzählt hat, und diese Information als sicher einstuft. Diese Information liegt, mit tausenden weiteren Passwörtern, in einer Datenbank.

Angreifer Y geht die Datenbank durch und prüft die Nutzernamen auf die Passwörter "Ägypten", "ägypten", "Ägyptenurlaub", "ÄgyptenSphinx", "PharaoÄgypten", "SphinxÄgyptenurlaub" und weitere Kompositionen. Angreifer Y kann, allein aufgrund der Menge der hinterlegten Accounts, einige Passwörter, unter anderem jenes von Person X brechen, ohne spezifisch zu wissen, wer Person X ist, und ob oder welche Referenz sie zu "SphinxÄgyptenurlaub" hat.

Insbesondere Privatnutzer unterliegen dieser Fehleinschätzung ihrer Passwortsicherheit. Für viele kleine und mittlere Unternehmen ist die Relevanz, sich gegen large scale und automatisierte Angriffe auf das Passwort zu schützen, ebenfalls bedeutend höher einzustufen als die Wahrscheinlichkeit, einem gezielten Angriff zum Opfer zu fallen. In dem Beispiel wurden nur einige Abwandlungen des Hauptwortes gebraucht, in der Realität werden häufig immens große Wortlisten zu Grunde gelegt. Abschließend lässt sich festhalten, dass auch geheime,persönliche und vertrauliche Informationen keine sicheren Passwörter generieren.

 

Verwendete Literatur:

  • Kelley et al. (2012): Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms.
  • Ur et al. (2013): The art of password creation.
  • Ur et al. (2016): I added ‚!‘ to make it secure.

Comments (2)

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prev Post Next Post