Abo
  • Services:

Sichere Passwörter sind schlecht zu merken

Neben den Entropieproblemen von Zufallszahlengeneratoren sieht Kaminsky aber noch ein weiteres ungelöstes Entropieproblem: Den Menschen vor dem Computer. Menschen können sich sichere Passwörter in aller Regel nicht merken, deshalb neigen sie fast immer dazu, unsichere Passwörter zu nutzen, die nur wenige Bit an Entropie haben. Die Programmierer machen es sich leicht: Sie schieben die Aufgabe, sich ein Passwort auszudenken, auf den Nutzer ab, damit können sie am Ende sagen, dass die Wahl eines schlechten Passworts durch den Nutzer nicht ihre Schuld ist.

Stellenmarkt
  1. Hays AG, Stuttgart
  2. Bosch Gruppe, Reutlingen

Kaminsky bat Ryan Castellucci auf die Vortragsbühne, um ein Alternativkonzept zu Passwörtern vorzustellen. Castellucci hat ein Verfahren entwickelt, bei dem der Anwender sich statt Passwörtern einfache Sätze merken soll. Das System korrigiert dabei automatisch Tippfehler und Fehler in der Reihenfolge. Menschen seien eher in der Lage, sich solche Wortkombinationen zu merken.

Neben den Problemen mit Zufallszahlen und Entropie hat Kaminsky in seinem Vortrag weitere Sicherheitsprobleme im Internet angesprochen, die seiner Ansicht nach zur Zeit so dramatisch sind, dass sie die Existenz des Netzes als ganzes in Frage stellen könnten.

Zero-Day-Lücken in Browsern

Die Hersteller von Browsern kämpfen mit einer nicht endenden Serie von Zero-Day-Sicherheitslücken, die auf die Speicherverwaltung zurückzuführen sind. Meist handelt es sich um sogenannte Use-after-Free-Probleme: Ein Speicherbereich, der vorher durch ein Objekt genutzt wurde, wird von einem anderen Teil des Browsers ausgelesen und ausgewertet. Während Chrome und Microsoft bereits grundsätzliche Gegenmaßnahmen ergriffen hätten, sei die Speicherverwaltung von Firefox zur Zeit am problematischsten. Gemeinsam mit dem Informatikprofessor Emery Berger plant Kaminsky, eine verbesserte Speicherverwaltung für Firefox zu entwickeln. Zunächst könnte diese dann in Spezialanwendungen wie dem Tor-Browser oder der auf Sicherheit optimierten Tails-Distribution genutzt werden. Es werde allerdings laut Kaminsky schwierig, die Firefox-Entwickler davon zu überzeugen, sich von ihrer bisherigen sehr performant arbeitenden Speicherverwaltung zu verabschieden.

DDoS-Angriffe bedrohen das Internet

Als weiteres großes Problem sieht Kaminsky Denial-of-Service-Angriffe, die DNS-Server und andere Protokolle zur Verstärkung nutzen. Netzwerkprotokolle, die auf UDP basieren, schicken Antworten an gefälschte Pakete. Die Pakete enthalten als Absender-IP-Adresse die Adresse des Opfers. Für die Betreiber dieser Server ist nicht zu erkennen, dass es sich um gefälschte Pakete handelt. Eine Lösung des Problems ist ein Routingprotokoll namens BCP38. Allerdings hilft das nur, wenn ein Großteil der Netzwerke im Internet BCP38 einsetzt. Als schnelle Maßnahme sollten Betreiber von DNS-Servern die Funktion Response-Rate-Limiting (RRL) einschalten. Neben DNS gibt es weitere Protokolle, die für derartige Reflection-Angriffe anfällig sind, zuletzt wurde etwa NTP hierfür ausgenutzt.

Kaminsky erinnert sein Publikum daran, dass das Internet nicht der erste Versuch gewesen sei, ein weltweit vernetztes System wie das Internet zu schaffen. Es sei nur niemand vorher damit erfolgreich gewesen. Der Grund des Erfolges des Internets sei seine Offenheit. Wenn das Netz erhalten werden soll, müssten die wichtigen Sicherheitsprobleme gelöst werden, die es bedrohen. Das Internet habe in vielen Branchen für Disruptionen und Verwerfungen gesorgt. "Wir müssen davon ausgehen, dass viele ein Interesse daran haben, die Funktion des Internets zu stören", so Kaminsky.

 Dan Kaminsky: Sichere Zufallszahlen zum Standard machen
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V 5,75€, For Honor 8,99€, Mad Max 4,25€)
  2. 19,49€
  3. 699€ (PCGH-Preisvergleich ab 755€)

__destruct() 18. Aug 2014

Ich habe gerade danach gegoolet, wo diese Methode verwendet wird. Dabei habe ich...

Casandro 11. Aug 2014

Der Grund warum es unsicheren und sicheren Zufall auf heutigen Computer gibt ist, weil...


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /