Kennwort

Ein Kennwort oder auch Passwort ist ein allgemeines Mittel zur Authentifizierung eines Benutzers (nicht ausschließlich ein Mensch) innerhalb eines Systems, der sich durch eine eindeutige Information (das Kennwort) dem System gegenüber ausweist. Die Authentizität des Benutzers bleibt daher nur gewahrt, wenn er das Passwort geheim hält.

Historisches

Ein Kennwort (auch Losung, Losungswort oder Parole) war im Militär ursprünglich ein als Erkennungszeichen dienendes Wort, um bei Dunkelheit oder bei unbekannten Kombattanten Freund und Feind zu unterscheiden. Noch heute wird von nachtpatrouillierenden Soldaten auf Manöver die Frage nach der Parole gestellt. Im Mittelalter wurde manche Burgbelagerung durch den Verrat des Losungswortes entschieden.

Die PIN (Persönliche Identifikationsnummer) ist eine andere Form des Kennwortes mit einer ausschließlich numerischen Zeichenfolge, die nicht immer vom Benutzer frei wählbar ist und z.B. beim Geldabheben vom Bankautomaten Verwendung findet. Sie ist meistens vier bis sechs Stellen lang.

Einsatz von Kennwörtern

Häufiger Einsatz von Kennwörtern findet in der Computerwelt in Verbindung mit einem Benutzer- oder User-Namen statt, z.B. bei Wikipedia. Hier ist das Kennwort eine beliebige, vom Nutzer selbstgewählte alphanumerische Zeichenfolge. Einen Sonderfall stellt das so genannte Einmalpasswort dar, bei dem jedes Passwort nur einmal zur Authentisierung benutzt wird und dann ungültig wird. Diesem Vorgehen wird eine besonders hohe Sicherheit zugesprochen. Es entsteht kein Schaden, wenn ein Passwort während der Benutzung ausgespäht wird, denn danach ist es ja ungültig. Einmalpasswörter werden zum Beispiel für das PIN/TAN-Verfahren beim Online-Banking verwendet. Kennwörter werden außerdem im Bereich der Kindersicherung verwendet, um Kindern den Zugriff auf Fernseher, Receiver oder ungeeignete Programminhalte zu verwehren.

Sichere Kennwörter für die Verschlüsselung

Moderne Verschlüsselungsverfahren können durch das Austesten aller Schlüssel Brute Force in der Praxis nicht geknackt werden. Der Schwachpunkt ist in der Regel das vom Benutzer verwendete Passwort. Dieses kann häufig mit einem Wörterbuchangriff, also durch Austesten häufig benutzter Passwörter, die in speziell dazu erstellten elektronischen Wörterbüchern gefunden werden können, bestimmt werden. Damit ein Passwort nicht unsicherer ist als die eigentliche Verschlüsselung (112 bis 128-Bit-Schlüssel bei gängigen Verfahren), sind etwa 20 Zeichen erforderlich. Falls das Passwort nicht aus zufälligen Zeichen besteht, sind jedoch deutlich längere Passwörter erforderlich, um die gleiche Sicherheit gegen den Brute Force Angriff zu erreichen.

Im Zusammenhang mit der Software PGP sind die Begriffe Passphrase und Mantra für ein Passwort aus mehreren Worten eingeführt worden.

Sinnvoll sind eventuell auch "Passphrases" wie beispielsweise „Die Telefontür ist perdu & wir bestellten 911 Joghurtschuhe?!“. Hierbei sollten seltene Wörter und Wortstellungen, Phantasiewörter oder fremdsprachige Wörter verwendet werden. Ein solcher Satz ist allerdings nur dann verhältnismäßig leicht zu merken, wenn er irgend einen Sinn ergibt. Dennoch dürfen seine Bestandteile für einen gut (über die Person und ihre Interessen) informierten Angreifer nicht vorhersehbar sein.

Filmzitate oder berühmte Aussprüche sind ebenso ungeeignet wie die Aneinanderreihung von einfachen Wörtern. Geburtsdaten, Mädchennamen von Frauen oder Haustiernamen sind ebenfalls in den entsprechenden Wörterbüchern enthalten.

Sicherheitsfaktoren

Die Sicherheit eines Kennwortes hängt vor allem davon ab, dass dieses geheim bleibt. Andere Faktoren zum Schutz des Kennwortes sind z.B.:

Wie häufig kann das Kennwort zur Authentifizierung verwendet werden. Die größte Sicherheit ist bei einmaliger Verwendung gegeben. Jeder wiederholte Einsatz des Kennwortes erhöht die Gefahr, bei unverschlüsseltem Transfer oder Spionage-Maßnahmen (wie z.B. durch Keylogging oder Phishing) das Kennwort zu verraten.
Die Übertragung des Kennwortes vom Benutzer zum System sollte sicher sein, z.B. durch Verwendung von verschlüsselten Kanälen zur Übertragung (siehe auch SSL). Dadurch wird es bei sicherer Implementierung und ausreichender Stärke der Verschlüsselung für den Angreifer nahezu unmöglich, das Kennwort in Erfahrung zu bringen, da die Rechenkapazität heutiger Rechner bei weitem nicht ausreicht, um SSL-Verschlüsselungen zu knacken.
Viele Kennwörter können von Angreifern leicht erraten werden. Da die meisten Kennwörter von menschlichen Benutzern eingegeben werden (im Gegensatz zur Erzeugung durch Zufallsgeneratoren) und vor allem leicht einprägsam sein müssen, kommen häufig einfach zu ratende Kennwörter zum Einsatz, wie z.B. Name der Frau, des Freundes oder Haustieres, sowie Geburtstage oder Adressen. Man kann sein Passwort auch mithilfe von Zeichen sicherer machen, die es auf der Tastatur nicht gibt, z.B. „®,¤,©“. Diese Zeichen werden meist bei Brute-Force-Angriffen außer acht gelassen. Zum Eintippen verwendet man unter Windows dann + ^*" target="_blank" >+ ^*" target="_blank" >+ [0169. Die Ziffern müssen bei eingeschaltetem Num-Lock auf dem Ziffernblock getippt werden.
Bei Erzeugung durch Zufallsgeneratoren ist zu beachten, dass Computer keinen „echten“ Zufall mit maximaler Entropie generieren können. Man spricht von Pseudo-Zufallsgeneratoren. Diese Schwachstelle kann jedoch nur in den seltensten Fällen ausgenutzt werden, da zuerst das Muster, mit dem der Generator arbeitet, also Parameter und auch die Saat (das sind weitere, zufällige Parameter) erschlossen werden müssen. „Echten“ Zufall kann man z.B. mit Überlagerung von Schallwellen gewinnen, wenn man diese aufzeichnet und in digitale Form bringt.
Die Aufbewahrung des Kennwortes auf der Seite des Authentisierers sollte auch verschlüsselt erfolgen, die Kontrolle kann dank kryptographischer Verfahren (sogenannter Hash-Funktionen) trotzdem problemlos erfolgen.
Das Kennwort sollte möglichst lang sein. Das System sollte einen möglichst großen Zeichensatz verwenden, mit dem das Kennwort gebildet wird. Die optimale Länge und Zusammensetzung hängt von mehreren Faktoren ab:
- Welche Zeichen verwendet werden (Zahlen, Buchstaben, Sonderzeichen, geordnet nach Komplexität, da Zahlen nur zehn Variationen von 0-9, Buchstaben hingegen 26 oder mit Groß-/Kleinschreibung sogar 52 Variationen pro Zeichen zulassen, welche einen Brute-Force-Angriff auf das Kennwort deutlich erschweren). Sonderzeichen bieten die größte Variationsdichte, sind allgemein aber schwerer einzuprägen. Man sollte ein Mittelmaß zwischen Sicherheit und Einprägsamkeit finden.
- Wie schnell der Zugriff auf das Kennwort ist (z.B. Webserver-Zugriff sind generell langsamer als direkter Dateizugriff auf den Hash des Kennwortes selbst).
- Ob das Kennwort mittels eines Wörterbuchangriffs gefunden werden kann. Dies kann durch Kunstwörter ohne logischen Bezug, wie z.B. „Pfeifenleuchte“ oder „Vogeltastatur“ verhindert werden, da Wörterbuchangriffe auf Listen bekannter Kennwörter und Begriffe zugreifen. Allerdings könnten komplexere Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter brechen. Doch solch ein komplexer Angriff hängt seinerseits mit sehr vielen Parametern und Kombinationsmöglichkeiten zusammen, so dass sein Einsatz sich nur in wenigen speziellen Fällen lohnen würde.

Zudem sollte das System nach einer bestimmten Zahl von fehlerhaften Eingaben keine neuen Eingaben akzeptieren, bis eine bestimmte Zeit vergangen ist bzw. das System manuell wieder freigeschaltet wurde.

Windows-Programme zur Passwortverwaltung

Das c't magazin empfiehlt regelmäßig die Open-Source-Programme Password Safe und KeePass für die sichere und komfortable Passwortverwaltung und -Speicherung unter Windows. Password Safe wurde ursprünglich von dem Kryptografie-Experten Bruce Schneier entwickelt.

Linux-Programme zur Passwortverwaltung

Unter Linux bietet sich das Programm KWallet zur Passwortverwaltung an. Dieses Programm ist in KDE ab Version 3.4 standardmäßig enthalten. Es arbeitet eng mit dem E-Mail-Client KMail und dem Webbrowser Konqueror zusammen, so dass von Webseiten oder von E-Mail-Servern abgefragte Passwörter automatisch übertragen werden können, sobald die digitale Brieftasche einmal geöffnet ist. Aber auch andere Passwörter und beliebige Schlüssel-Wert-Paare lassen sich bequem und sicher direkt mit KWallet verwalten. Alternativ existiert auch eine Linux-Version des bereits erwähnten Windows-Passwortmanagers KeePass mit dem Namen KeePassX. Ein weiteres Programm, bei dessen Entwicklung großes Augenmerk auf sichere Verschlüsselungsalgorithmen gelegt wurde, ist PwManager.

Siehe auch

Diceware - Methode zur Erzeugung sicherer und leicht erinnerbarer Kennwörter bzw. Passphrasen
md5 - Eine der Sichersten Methoden für die Verschlüsselung von Passwörtern.

Weblinks

Passwort-Sicherheitstest Das persönliche Passwort auf Sicherheit überprüfen
Die sichere Passwort-Wahl
KeePass: KeePass: Projektseite bei Sourceforge (Windows) (s.a. KeePassX: KeePassX (Linux, BSD, Mac OS X))
PassMan Password Manager (Freeware für Windows)
PasswordManager: Homepage von PWManager (Linux)
Bagusoft Password Safe Ein Shareware-Programm zur Passwortverwaltung
Password Depot Ein Password-Manager, der u.a. über T-Online vertrieben wird und auch als Freeware verfügbar ist.
Password Safe: Projektseite des Open-Source-Programms (Windows)
Password Safe: Anmerkungen von Bruce Schneier
Passwortgenerator und Passphrasegenerator CodeJim generiert kryptografisch starke Passwörter und Passphrases
Enforcing use of cryptographically strong password
Passwortrichtlinien und -angriffe

Identifikationstechnik | IT-Sicherheit | Bankwesen

Gourt Home::Gourt :: Kennwort