Open Source im professionellen Einsatz

Analyse: Häufige Passwortwechsel bergen Risiken

04.08.2016

Die Professorin Lorrie Cranor, Chief Technologist bei der Federal Trade Commission (FTC) hat bei der BSides Security Conference in Las Vegas den Sicherheitsnutzen von häufigen, verpflichtenden Passwortwechseln in Frage gestellt.

263

Bei ihrem Vortrag in Las Vegas bezog sich Lorrie Cranor auf die zwingend auferlegten Passwortwechsel, für Mitarbeiter von Behörden und Unternehmen. Sie selbst, so Cranor, müsse pflichtgemäß alle 60 Tage ihre sechs bei der FTC genutzten Passwörter ändern. Das Problem bei diesen Wechseln sei, dass Nutzer dazu neigen, ihre Passwörter nach bestimmten Mustern zu ändern. Insgesamt betrachtet werden die Passwörter damit schwächer, so Cranor.

Cranor, die auch eine Professur an der Carnegie Mellon University inne hat, beruft sich bei ihrem Vortrag auf der Bsides Security Conference auf eine schon im Jahr 2010 an der Universität von North Carolina durchgeführten Untersuchung. Dabei hatten die Forscher die Hashes von 10.000 abgelaufenen Accounts untersucht, die Mitarbeiter und Studenten der Universität hinterlassen hatten. Dieser Nutzerkreis war angehalten gewesen, alle drei Monate das Passwort zu wechseln. Den Forschern lagen nicht nur die Daten für die letzten Passwörter vor, sondern für alle vollzogenen Wechsel. Bei der Analyse stellten die Forscher fest, dass die Nutzer dazu neigen, ihre Passwörter nach bestimmten Mustern zu ändern. Aus dem Passwort "tarheels#1“ wird dann etwa "tarheels#11“, "tarheels#111“ und so fort. Auf Basis dieser Ergebnisse und den bei den Änderungen der verwendeten Mustern war es den Forschern möglich, Algorithmen zu entwickeln, die solche methodischen Passwortänderungen einbeziehen können. In einem Versuch gelang es den Forschern, 17 Prozent der Passwörter in nur fünf Versuchen zu knacken. Für Angreifer, die darauf bedacht seien, möglichst wenig Versuche zu benötigen, um nicht geblockt zu werden, sei dies von Vorteil.

Ähnliche Artikel

  • Telekom fordert Kunden zum Passwortwechsel auf

    Die Deutsche Telekom hat ihre Kunden aufgefordert, die Passwörter ihrer T-Online-Accounts zu wechseln. Es sollen im Darknet aktuelle Datensätze von rund einem Dutzend Unternehmen angeboten werden, darunter auch die Telekom.

  • Bruce Perens und US-Unternehmerverband streiten über GPLv3

    Der Open-Source-Aktivist Bruce Perens und der amerikanische Verband ACT sind über den dritten Entwurf der GPL 3 heftig in Streit geraten.

  • Samba 4.7.0 wird sicherer

    Seit Samba 4.7.0 kommt "smbclient" auch ohne SMB1-Server klar, verbessert sich die LDAP- und Replication-Konsistenz und gibt es Support für Samba AD mit MIT Kerberos. Außerdem sind neue Auditing-Möglichkeiten eingebaut. Das sind nur einige der Neuerungen des gerade erschienenen Samba 4.7.0.

  • Passwort-Alternativen

    Oft sind Passwörter per se unsicher. Aber gar keine Authentifizierung wäre es natürlich erst recht. Gibt es einen Ausweg aus diesem Dilemma?

  • Nutzer schützen Handys besser

    Inzwischen verwenden fast drei Viertel aller Handynutzer Sicherheitsabfragen bei Tastensperre.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.