Sichere Passwörter sind schlecht zu merken

Neben den Entropieproblemen von Zufallszahlengeneratoren sieht Kaminsky aber noch ein weiteres ungelöstes Entropieproblem: Den Menschen vor dem Computer. Menschen können sich sichere Passwörter in aller Regel nicht merken, deshalb neigen sie fast immer dazu, unsichere Passwörter zu nutzen, die nur wenige Bit an Entropie haben. Die Programmierer machen es sich leicht: Sie schieben die Aufgabe, sich ein Passwort auszudenken, auf den Nutzer ab, damit können sie am Ende sagen, dass die Wahl eines schlechten Passworts durch den Nutzer nicht ihre Schuld ist.

Stellenmarkt
  1. Systemadministrator (m/w/d)
    Gemeinde Hohenbrunn, Hohenbrunn
  2. IT - Sicherheitsbeauftrager (m/w/d)
    Interflex, Stuttgart
Detailsuche

Kaminsky bat Ryan Castellucci auf die Vortragsbühne, um ein Alternativkonzept zu Passwörtern vorzustellen. Castellucci hat ein Verfahren entwickelt, bei dem der Anwender sich statt Passwörtern einfache Sätze merken soll. Das System korrigiert dabei automatisch Tippfehler und Fehler in der Reihenfolge. Menschen seien eher in der Lage, sich solche Wortkombinationen zu merken.

Neben den Problemen mit Zufallszahlen und Entropie hat Kaminsky in seinem Vortrag weitere Sicherheitsprobleme im Internet angesprochen, die seiner Ansicht nach zur Zeit so dramatisch sind, dass sie die Existenz des Netzes als ganzes in Frage stellen könnten.

Zero-Day-Lücken in Browsern

Die Hersteller von Browsern kämpfen mit einer nicht endenden Serie von Zero-Day-Sicherheitslücken, die auf die Speicherverwaltung zurückzuführen sind. Meist handelt es sich um sogenannte Use-after-Free-Probleme: Ein Speicherbereich, der vorher durch ein Objekt genutzt wurde, wird von einem anderen Teil des Browsers ausgelesen und ausgewertet. Während Chrome und Microsoft bereits grundsätzliche Gegenmaßnahmen ergriffen hätten, sei die Speicherverwaltung von Firefox zur Zeit am problematischsten. Gemeinsam mit dem Informatikprofessor Emery Berger plant Kaminsky, eine verbesserte Speicherverwaltung für Firefox zu entwickeln. Zunächst könnte diese dann in Spezialanwendungen wie dem Tor-Browser oder der auf Sicherheit optimierten Tails-Distribution genutzt werden. Es werde allerdings laut Kaminsky schwierig, die Firefox-Entwickler davon zu überzeugen, sich von ihrer bisherigen sehr performant arbeitenden Speicherverwaltung zu verabschieden.

DDoS-Angriffe bedrohen das Internet

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

Als weiteres großes Problem sieht Kaminsky Denial-of-Service-Angriffe, die DNS-Server und andere Protokolle zur Verstärkung nutzen. Netzwerkprotokolle, die auf UDP basieren, schicken Antworten an gefälschte Pakete. Die Pakete enthalten als Absender-IP-Adresse die Adresse des Opfers. Für die Betreiber dieser Server ist nicht zu erkennen, dass es sich um gefälschte Pakete handelt. Eine Lösung des Problems ist ein Routingprotokoll namens BCP38. Allerdings hilft das nur, wenn ein Großteil der Netzwerke im Internet BCP38 einsetzt. Als schnelle Maßnahme sollten Betreiber von DNS-Servern die Funktion Response-Rate-Limiting (RRL) einschalten. Neben DNS gibt es weitere Protokolle, die für derartige Reflection-Angriffe anfällig sind, zuletzt wurde etwa NTP hierfür ausgenutzt.

Kaminsky erinnert sein Publikum daran, dass das Internet nicht der erste Versuch gewesen sei, ein weltweit vernetztes System wie das Internet zu schaffen. Es sei nur niemand vorher damit erfolgreich gewesen. Der Grund des Erfolges des Internets sei seine Offenheit. Wenn das Netz erhalten werden soll, müssten die wichtigen Sicherheitsprobleme gelöst werden, die es bedrohen. Das Internet habe in vielen Branchen für Disruptionen und Verwerfungen gesorgt. "Wir müssen davon ausgehen, dass viele ein Interesse daran haben, die Funktion des Internets zu stören", so Kaminsky.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Dan Kaminsky: Sichere Zufallszahlen zum Standard machen
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Cloudgaming-Dienst
Google schließt Stadia

Google steigt aus dem Cloud-Gaming-Geschäft aus und stellt seinen Dienst Stadia ein. Kunden erhalten ihr Geld zurück.

Cloudgaming-Dienst: Google schließt Stadia
Artikel
  1. Axel-Springer-Chef: Döpfner schlug Musk den Kauf von Twitter vor
    Axel-Springer-Chef
    Döpfner schlug Musk den Kauf von Twitter vor

    "Das wird lustig": Wenige Tage vor seinem Einstieg bei Twitter erhielt Elon Musk eine interessante Nachricht von Axel-Springer-Chef Döpfner.

  2. Flexpoint, Bfloat16, TensorFloat32, FP8: Dank KI zu neuen Gleitkommazahlen
    Flexpoint, Bfloat16, TensorFloat32, FP8
    Dank KI zu neuen Gleitkommazahlen

    Die Dominanz der KI-Forschung bringt die Gleitkommazahlen erstmals seit Jahrzehnten wieder durcheinander. Darauf muss auch die Hardware-Industrie reagieren.
    Von Sebastian Grüner

  3. Probefahrt mit EQS SUV: Geländegängiger Luxus auf vier Rädern
    Probefahrt mit EQS SUV
    Geländegängiger Luxus auf vier Rädern

    Nach einer Testrunde in Colorado versteht man, was Mercedes beim EQS SUV mit Top-End Luxury meint.
    Ein Bericht von Dirk Kunde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek nur noch heute • Xbox Series S + FIFA 23 259€ • MindStar (Mega Fastro SSD 1TB 69€, KF DDR5-6000 32GB Kit 229€) • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ • Alternate (Be Quiet Tower-Gehäuse 89,90€) • PS5-Controller GoW Ragnarök Limited Edition vorbestellbar [Werbung]
    •  /