Abo
  • Services:

Schwache Passwörter: Nutzer erziehen mit dem Pavlovian Password Management

Mit einem Erziehungssystem will ein Sicherheitsexperte für sichere Passwörter sorgen. Wer ein zu schwaches Passwort eingibt, muss es häufiger wechseln.

Artikel veröffentlicht am ,
Ein pawlowscher Hund
Ein pawlowscher Hund (Bild: Rklawton/CC-BY 3.0)

Der Sicherheitsexperte Lance James hat genug von schwachen Passwörtern. Denn trotz jahrelanger Beschwörungen durch Sicherheitsexperten vergeben viele Nutzer immer noch Kennwörter wie "1234". Deshalb hat James das sogenannte Pavlovian Password Management ersonnen. Damit sollen Nutzer so konditioniert werden, dass sie sichere Passwörter vergeben.

Stellenmarkt
  1. K & P Computer Service- und Vertriebs-GmbH, Home-Office
  2. Deutsche Bundesbank, Frankfurt am Main

Menschen können genauso programmiert werden wie Rechner, behauptet James. Sein System basiert auf den Experimenten des russischen Mediziners Iwan Petrowitsch Pawlow, der das Prinzip der klassischen Konditionierung entdeckte. Er konditionierte Hunde so um, dass das Läuten einer Klingel die Speichelsekrektion auslöste statt nur der Anblick von Futter.

Nutzer umerziehen

Ähnlich könnten auch Nutzer umerzogen werden, sichere Passwörter zu verwenden, argumentiert James. Sein Plan: Gibt ein Nutzer ein schwaches Passwort ein, muss er kurz darauf ein Neues vergeben. Erst bei der Eingabe einer Passphrase wird der Anwender für längere Zeit in Ruhe gelassen, bis er sie wieder erneuern muss.

Der Zeitraum zwischen der Eingabe neuer Passwörter soll nach der durchschnittlichen Zeit bestimmt werden, die ein Angreifer bei einem Bruteforce-Angriff für das Knacken des Passworts benötigt. Ein schwaches Passwort müsste demnach nach drei Tagen, ein mittelschwaches Passwort nach zwei Wochen und ein starkes Passwort nach 60 Tagen erneuert werden. Eine Passphrase müsste dann alle 90 Tage ausgetauscht werden.

James will ein experimentelles PAM-Modul entwickeln, in dem seine Erziehungsmaßnahmen umgesetzt sind, samt Informationen dazu, wie schnell das vom Anwender verwendete Passwort geknackt werden kann. Er sei noch offen für Vorschläge, schreibt er, denn seine gegenwärtigen Berechnungen beinhalteten beispielsweise keine Angriffe mit Hilfe von Rainbowtables.

James' Vorschlag berücksichtigt allerdings auch nicht, dass jedes noch so starke Passwort nichts nutzt, wenn der Server, auf dem dessen zu schwacher Hashwert gespeichert wird, unsicher ist.



Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. über ARD Mediathek kostenlos streamen

Bigfoo29 07. Mai 2014

Genau deswegen habe ich einfach eine Passwort-Hierarchie. Es gibt ein paar "alte", die...

User_x 07. Mai 2014

anmeldung wird man nicht veehindern können, wer es darauf anlegt wird auch irgendwann...

Drizzt 07. Mai 2014

Stand auch in dem Ars Technica artikel ;-) fällt halt in das selbe schema wie qwertziopü...

gaym0r 07. Mai 2014

Dieses Passwort ist ja verdammt einfach zu merken! ... Dein Ernst?

Kaiser Ming 07. Mai 2014

stimmt der Satz macht so keinen Sinn pw herausbekommen bei -> klartext brutforce...


Folgen Sie uns
       


Far Cry 5 - Fazit

Im Fazit zu Far Cry 5 zeigen wir dumme Gegner, schöne Grafik und erklären, wie Ubisoft erneut viel Potenzial verschenkt.

Far Cry 5 - Fazit Video aufrufen
Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
Projektoren im Vergleichstest
4K-Beamer für unter 2K Euro

Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
Ein Test von Martin Wolf

  1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
  2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
  3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


      •  /