Dongle soll Passwort-Datenbanken besser schützen

Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr
Ein relativ preiswerter Dongle soll dafür sorgen, dass die Passwort-Datenbanken von Webseiten zukünftig auch dann vor dem Einblick unbefugter geschützt sind, wenn ein Angreifer sich eine Kopie herunterladen konnte.
Entsprechende Attacken hatten in den letzten Jahren immer wieder Aufmerksamkeit erregt. Durch die zunehmende Konzentration von Nutzern bei wenigen großen Diensten stieg dabei auch das Risiko, dass Kriminelle Zugang zu Accounts immer breiterer Kreise erhielten. Denn die ausgelesenen Passwörter kommen bei den meisten Anwendern gleich bei einer ganzen Reihe von Web-Angeboten zum Einsatz.

Dabei liegen die Kennungen nur bei den unvorsichtigsten Anbietern im Klartext vor, sondern sind in der Regel als Hashes kodiert. Doch auch diese bieten keine komplette Sicherheit. Wenn die Hash-Werte nicht noch zusätzlich gesichert sind, genügt es beispielsweise die am häufigsten auftretenden herauszusuchen. So kommt man beispielsweise schnell an alle Accounts, die mit dem Passwort "123456" geschützt sind - und dies sind nicht gerade wenige. Auch viele andere einfache Kombinationen kommen immer wieder vor.

An der University of Cambridge hat man daher nun ein System entwickelt, das eine weitere Sicherheits-Stufe auf die Passwörter legen soll. Dabei kommt eine Methode namens Hash-Based Message Authentication Code (HMAC) zum Einsatz. Vereinfacht gesagt, werden die Hashes der Passwörter dabei noch einmal verschlüsselt.

Der hierbei eingesetzte Key liegt allerdings nicht auf dem gleichen Server oder gar in der selben Datenbank. Statt dessen verbirgt man diesen in einem separaten Dongle, der auf dem Mini-Rechner Raspberry Pi basiert. Sollte es einem Angreifer also gelingen, in einen Server einzudringen, hat er weiterhin keinen Zugang zu dem Schlüssel, mit dem er an die eigentlichen Hashes kommt. Ein relativ simpler Abgleich von Werten führt so nicht zum Ergebnis. Und auch das Durchprobieren bei jedem einzelnen Passwort, was bei Salted Hashes letztlich zum Erfolg führen kann, ist nicht möglich.

Der Nachteil des Verfahrens besteht allerdings darin, dass die Leistungsfähigkeit des Dongles begrenzt ist. Eines der jetzt fertiggestellten Systeme kann rund 330 Passwörter pro Minute authentifizieren. Dies ist bei vergleichsweise kleinen Webseiten völlig ausreichend. Steigen die Nutzerzahlen, können mehrere Dongles im Cluster verwendet werden. Um Webseiten absichern zu können, die täglich mehrere Millionen registrierte Besucher bedienen und damit am ehesten ein interessantes Angriffsziel darstellen, sind allerdings noch einige Optimierungen notwendig. Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr
Diese Nachricht empfehlen
Kommentieren15
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden