Abo
  • IT-Karriere:

Bereits kompromittierte Passwörter verbieten

Die interessanteste Empfehlung ist aber, die von Nutzern gewählten Passwörter mit Listen bereits kompromittierter Passwörter abzugleichen, die bei früheren Datenlecks bekannt geworden sind. Diese Empfehlung verhindert gleich mehrere häufige Angriffsszenarien. So versuchen Angreifer oft, Accounts durch Brute-Force-Angriffe zu übernehmen und nutzen hierbei immer wieder Listen mit besonders beliebten Passwörtern.

Stellenmarkt
  1. Kratzer Automation AG, Unterschleißheim
  2. Kassenärztliche Bundesvereinigung (KBV), Berlin

Zudem verhindert ein solches Vorgehen zumindest teilweise sogenanntes Credential Stuffing. Das sind Angriffe, bei denen versucht wird, Zugangsdaten aus Datenlecks bei anderen Services auszuprobieren. Der Grund: Fast alle Nutzer verwenden das gleiche Passwort für viele Services. So kann es vorkommen, dass das alte Myspace-Passwort zu einem kompromittierten Account bei Facebook führt.

Wie soll ein Service eine solche Passwort-Prüfung umsetzen? Natürlich könnte er anfangen, möglichst viele im Netz verfügbare Datenbanken von früheren Datenbreaches zu sammeln. Auch kursieren in manchen Onlineforen ganze Sammlungen von kompromittierten Accountdaten, die aus verschiedenen Breaches zusammengesammelt wurden. Doch das manuelle Sammeln wäre nicht nur aufwendig, es stellen sich dabei auch einige ethische und möglicherweise rechtliche Fragen, da sich in den kompromittierten Datenbanken auch personenbezogene Daten befinden könnten.

Eine Liste mit Hashes von 500 Millionen Passwörtern

Es gibt eine einfachere Lösung: Troy Hunt, der Betreiber des Leak-Checkers haveibeenpwned.com, stellt auf seiner Webseite eine Liste mit SHA1-Hashes von aktuell über 500 Millionen geleakten Passwörtern zum Herunterladen bereit. Darin eingeflossen sind die Passwörter aus allen großen Datenleaks, die öffentlich verfügbar sind, sowie auch Datenleaks, die Troy Hunt auf verschiedene Weise erhalten hat und die nicht direkt öffentlich verfügbar sind.

Eine denkbar einfache Passwort-Richtlinie lässt sich damit umsetzen: Alle Passwörter, die schon einmal Teil eines Datenlecks waren, sind nicht erlaubt. Das gibt Nutzern immer noch einen großen Freiraum für mögliche Passwörter, doch alle besonders schlechten Varianten und alle Zugangsdaten, die leicht mittels Credential Stuffing geknackt werden können, sind ausgeschlossen.

Die Liste ist nicht gerade kurz. Gepackt sind es in der aktuellen Version 4 circa 10 Gigabyte, entpackt ist es eine 23-Gigabyte-Textdatei. Darin zu suchen geht vergleichsweise schnell: Es gibt die Hashes in sortierter Reihenfolge. Damit kann man mittels eines gegebenen Passworts einen Hash mit einer binären Suche finden. Das funktioniert in Sekundenbruchteilen. Doch nicht jeder kann oder will 23 Gigabyte für einen Passwort-Check bereithalten. Würden die reinen Hashes effizienter in binärer Form gespeichert, wären es immer noch etwa zehn Gigabyte.

Ist K-Anonymität genug?

Eine mögliche Lösung stellt Cloudflare bereit: eine Online-API, mit der die Passwörter anhand der Liste von Troy Hunt geprüft werden können. Natürlich wäre es hochgradig problematisch, alle Passwörter der eigenen Nutzer an einen von Dritten betriebenen Service zu schicken. Daher geht diese API anders vor: Sie nutzt eine sogenannte K-Anonymität.

Das Konzept dahinter ist relativ simpel. Ein Service berechnet den SHA1-Hash eines Passworts, schickt an die API aber nicht den ganzen Hash, sondern nur ein kurzes Prefix von fünf Zeichen. Die API schickt dann dem Service eine Liste aller Hashes zurück, die dieses Prefix haben. Nun kann lokal geprüft werden, ob der Hash des getesteten Passworts darunter ist.

Doch auch wenn diese Methode recht schlau ist: Manche Servicebetreiber fühlen sich sicher generell unwohl damit, Daten an Dritte zu schicken, die immer noch potenziell Rückschlüsse zulassen. Zudem ist es auch grundsätzlich sinnvoll, sich möglichst wenig von Services Dritter abhängig zu machen, wenn es Alternativen gibt. Denn natürlich kann niemand wissen, wie lange Cloudflare diesen kostenlosen Service bereitstellt.

Bloom-Filter spart Platz und ermöglicht lokalen Check

Eine Alternative, die ohne eine externe API und auch ohne die Speicherung einer riesigen Hash-Liste auskommt, sind sogenannte Bloom-Filter. Mit einem Bloom-Filter ist es möglich, eine Liste von Daten komprimiert zu speichern und dann abzufragen, ob bestimmte Daten darin enthalten sind.

Dabei müssen Kompromisse eingegangen werden, denn Bloom-Filter haben eine gewisse Fehlerwahrscheinlichkeit. Implementiert man den Passwort-Check mit einem Bloom-Filter, ist es möglich, dass in seltenen Fällen ein Passwort abgelehnt wird, das überhaupt nicht in der Liste enthalten ist. Dabei gilt: Je mehr Fehlerwahrscheinlichkeit akzeptiert wird, desto besser können die Daten komprimiert werden. Fehler gibt es nur in eine Richtung. Ein Passwort, das akzeptiert wird, ist auch mit Sicherheit nicht Teil des Bloom-Filters.

Der Softwareentwickler Hektor Martin hat eine passende Bloomfilter-Implementierung für Python unter der freien MIT-Lizenz bereitgestellt. Wird eine Fehlerwahrscheinlichkeit von 0,05 Prozent akzeptiert, benötigt der Bloom-Filter für die Passwort-Liste von Troy Hunt nur etwa ein Gigabyte. Das ist immer noch einiges, aber deutlich weniger als die gesamte Hash-Liste. Damit ist es eine sehr gute Lösung, um schlechte Passwörter abzulehnen.

Natürlich ist das Ablehnen von unsicheren Passwörtern nicht der einzige Aspekt einer sicheren Implementierung einer Nutzer-Authentifizierung. Passwörter sollten immer als Hashes gespeichert werden und zudem einen Salt nutzen. Dabei sollte eine spezielle Passwort-Hashfunktion verwendet werden. Stand der Technik ist hier Argon 2, aber auch ältere Algorithmen wie Bcrypt oder Scrypt bieten einen vergleichsweise guten Schutz.

Zudem ist es generell sinnvoll, Zwei-Faktor-Authentifizierung anzubieten. SMS als zweiter Faktor sind dabei nicht unbedingt empfehlenswert, etwas besser sind Codes nach dem TOTP-Standard, die etwa mit der Google-Authenticator-App erzeugt werden können. Am sichersten sind Hardware-Tokens, für die es seit kurzem den neuen Webauthn-Standard gibt.

 Passwort-Richtlinien: Schlechte Passwörter vermeiden
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. (aktuell u. a. Corsair Glaive RGB Gaming-Maus für 32,99€, Microsoft Office 365 Home 1 Jahr für...
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)

FaLLoC 08. Jul 2019

Ich hatte bereits Zusatzentropie für die Falschschreibung berücksichtigt. Und geschickte...

Blacki 29. Apr 2019

Naja, das kommt drauf an. Manchmal geht das Backend ja nicht. Dann kann man das nur über...

Missingno. 26. Apr 2019

https://www.zeit.de/1995/33/Wie_das_Ue_ins_Tuerkische_kam/seite-2

Olliar 17. Apr 2019

Wie verhindert man, das die NSA den Dienst betreibt und einen Hash, der in der Liste ist...

robinx999 12. Apr 2019

Im Artikel steht doch "Wer seine Passwörter aus ganzen Sätzen konstruiert, überschreitet...


Folgen Sie uns
       


iPhone 11 - Test

Das iPhone 11 ist das günstigste der drei neuen iPhone-Modelle - kostet aber immer noch mindestens 850 Euro. Dafür müssen Nutzer kaum Kompromisse bei der Kamera machen - das Display finden wir aber wie beim iPhone Xr antiquiert.

iPhone 11 - Test Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

    •  /