mrmcd, Sicherheit von Passwörtern

Hanno's Blog

Wednesday, July 19. 2006

mrmcd, Sicherheit von Passwörtern

mrmcdKommendes Wochenende finden in Wiesbaden unter dem Motto »Wer wacht über den Wächter?« (ich hätte das ja nicht übersetzt) die MetaRheinMainChaosdays 100b statt, eine der vielen lokalen Veranstaltungen im Chaos Computer Club.

Ich habe mich relativ spontan entschlossen, dort einen Vortrag zu halten (Samstag, 14 Uhr), in dem ich die gewagte These präsentieren werde, dass Passwörter als Sicherheitsmedium eigentlich komplett untauglich sind. Je nach Feedback und Interesse werd ich das vielleicht weiter ausbauen.
Posted by Hanno Böck in Computer culture, Life at 14:53 | Comments (10) | Trackbacks (0)
Defined tags for this entry: , , , , ,
Related entries by tags:

Trackbacks
Trackback specific URI for this entry

No Trackbacks

Comments
Display comments as (Linear | Threaded)

Wenn Passwörter untauglich sind, was ist dann tauglich ?
Passwörter sind nicht perfekt, aber perfekte Sicherheit gibt es nicht. Gibt es etwas besseres als ein zufälliges Passwort, was lang genug ist, dass es sich nicht durch ausprobieren finden lässt und was nicht geklaut werden kann, weil es nirgendwo aufgeschrieben ist ?
#1 Matz on 2006-07-19 15:27 (Reply)
Ich verweise einfach mal auf die von mir noch zu schreibenden Slides, aber in kürze, ein zufälliges Passwort, was lang genug ist und nirgendwo aufgeschrieben kann sich kaum jemand merken.
Und meine Argumentation wird in Richtung Client-Zertifikate, im Idealfall auf Smartcards, gehen.
#1.1 Hanno (Homepage) on 2006-07-19 15:34 (Reply)
Aber diese Client-Zertifikate müssen irgendwie geschützt werden, damit ein Dieb sie nicht benutzen kann - dafür braucht man dann doch wieder Passwörter, oder ?
#1.1.1 Matz on 2006-07-19 16:19 (Reply)
Zertifikate sind auch per Passwort/-phrase bzw. PIN geschützt. Ob er sich da etwas anderes/besseres hat einfallen lassen, wird sich ja am Sa. zeigen. ;)
#1.1.1.1 Alex (Homepage) on 2006-07-19 16:52 (Reply)
Hab ich jetzt erstmal nicht, weil mir da nur Biometrie eingefallen ist.

Um das nochmal zu klären, die These ist natürlich provokativ verkürzt, lest sie mal »Passwörter alleine taugen nix«.
#1.1.1.1.1 Hanno (Homepage) on 2006-07-19 16:58 (Reply)
Naja...die Länge ist nicht so entscheidend, wenn ich die Anzahl der möglichen Fehlversuche beschränken kann. Wenn ich nur 3 Versuche habe, kann auch ein Passwort von 4-6 Zeichen sicher sein. Ausserdem darf man nie vergessen, was man eigentlich schützen will und ob es nicht "billigere" Wege gibt, als Passwörter zu erraten (Stichwort: Attack Trees)
#1.1.2 freigeist (Homepage) on 2006-07-19 21:55 (Reply)
Anzahl der möglichen Fehlversuche beschränken ist halt je nach Szenario sehr leicht DoS-bar.
#1.1.2.1 Hanno (Homepage) on 2006-07-19 22:06 (Reply)
Ja, aber oft ein akzeptables Risiko, sofern ein einfacher Resetvorgang existiert...eine Zeitverzögerung zwischen den Versuchen kann auch helfen (Ausprobieren muss für den Angreifer nur "teuer" genug werden). Zweifaktor-Authentifizierung ist sicherlich eine gute Methode, schützt, aber vor Blödheit auch nicht (wie war das mit der EC Karte auf der die PIN mit Filzstift geschrieben ist oder mit dem VPN Token, dass samt PostIt mit Pin und dem Notebook in der geklauten Aktentasche war)...womit wir doch wieder bei Biometrie wären...
#1.1.2.1.1 freigeist (Homepage) on 2006-07-19 22:14 (Reply)
Prinzipiell hast du mit deiner These natürlich nicht unrecht...aber meine Erfahrung hat mir zumindest in Unternehmen gezeigt, dass schlecht gewählte Passwörter meistens noch die am wenigsten gravierende Schwachstelle darstellen. Und Biometrie birgt natürlich neben diversen datenschutzrechtlichen Bedenken auch immer die potentielle Möglichkeit, dass der "einmalige" Schlüssel entwendet wird...schließlich ist auch ein Fingerabdruck nach dem Einlesen nur doch eine Folge von 1 und 0. Umso wichtiger ist dann, wie diese Daten im weiteren Verarbeitungsprozess geschützt werden. Sollte nämlich mit dieser digitalen Kopie Missbrauch getrieben werden, möchte ich nicht in der Situation sein, beweisen zu müssen, dass mein Fingerabdruck doch nicht so "einmalig" ist...

Bin gespannt auf deine Folien :)
#2 freigeist (Homepage) on 2006-07-19 21:32 (Reply)
In der Ursprungsversion lautete die Veranstaltung "Quis custodiet ipsos custodes?", ich denke die deutsche Variante ist zumutbarer - aber wir haben auch lange darueber diskutiert.
#3 Ridcully (Homepage) on 2006-07-20 14:48 (Reply)

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA
 
 

About

This blog is written by Hanno Böck. Unless noted otherwise, its content is licensed as CC0.

You can find my web page with links to my work as a journalist here.

I am also publishing a newsletter about climate change and decarbonization technologies.

The blog uses the free software Serendipity and is hosted at schokokeks.org.

Hanno on Mastodon | Contact / Imprint | Privacy / Datenschutz