Sichere Passwörter erzeugen mit Hashing

BildWie bereits hier dargelegt, verleiten die widersprüchlichen Anforderungen an ein Password auch gutwillige Benutzer oft dazu, allerhöchstens zwei davon zu erfüllen, schon alleine der Vielzahl von Logins wegen, die der Durchschnittsbenutzer verwalten muss. Ansätze, das Problem mittels Software zu lösen, gehen prinzipiell in zwei Richtungen: Die Generierung starker Passwörter mittels Hashing eines Benutzer-Passwortes und dem Namen des Bereichs, an dem er sich anmelden will und die Speicherung der Passwörter hinter einem Master-Passwort.

Beide Verfahren erlauben es, dass sich der Benutzer nur ein starkes Passwort wirklich merken muss, alle anderen kann er daraus generieren beziehungsweise damit zugänglich machen. Die Nachteile liegen ebenfalls auf der Hand: Vergisst er dieses Passwort, ist er aus allen Sites ausgesperrt, setzt er ein zu schwaches Master-Passwort oder verrät er es, haben Eindringlinge ein leichtes Spiel, über dieses an alle weiteren zu kommen.

Passwort-Hasher

Nur als Firefox-Erweiterung: Wijjo Password HasherDa viele der Password-Hasher sich im Web befinden und über Suchworte gut gefunden werden können und ein gehashtes Passwort vom Administrator nicht als solches erkannt werden kann, hat es wenig Sinn, sie den Benutzern schlicht zu verbieten. Sperrt man alle Sites, die solche Dienste anbieten, können sie zur Not sogar über zuvor heruntergeladene Scripts ohne Funkverbindung auf einem Mobiltelefon erzeugt werden.

Nicht zuletzt ist die Verwendung von Password-Hashern generell immer noch ein kooperativeres Verhalten verglichen mit jenem, das die IT-Sicherheit als Hindernis ansieht und deren Prüfmechanismen aushebeln will - sowohl der Passwort-Checker von Microsoft als auch der von Password Meter haben etwa gegen „Pa$$w0rd“ kaum formale Einwände.

Was man eigentlich per Policy verbieten müsste, wäre das Starten von Java-Scripts im Browser. Der Grund: Password-Hasher wie SuperGenPass bieten dem Benutzer die Möglichkeit, das Master-Passwort im Browser einzutragen und danach per Klick alle Passwort-Felder mit dem Hash-Ergebnis zu befüllen. Das ist sehr bequem, aber auch sehr gefährlich, weil bösartige Sites auf diesem Wege das Master-Passwort abgreifen können. Auf Akzeptanz im Unternehmen dürfte das kaum stoßen, darum der Konjunktiv im ersten Satz.

An lückenlosem Single Sign-On führt nichts vorbei

Administratoren, die sicherheitsbewusst agieren, sollten sich im Klaren darüber sein, dass sie eine große konzeptionelle Lücke aufreißen, wenn sie ihre Anwender mit dem Passwort-Paradoxon alleine lassen oder dieses subjektiv für sie verschlimmern, etwa durch Wechsel-Richtlinien, womöglich noch mehrere für jeweils verschiedene Anmeldungen. Eine wirklich befriedigende Lösung erhält man nur durch lückenlose Umsetzung von SSO und Privilegienmanagement, alles andere bleibt Flickwerk.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen