Sicherheit von Passwörtern

v.l. Stephan Wiefling (TH Köln) und Philipp Markert (Ruhr-Universität Bochum) (Bild: RUB, Marquard )

Herr Wiefling, woran genau forschen Sie?

Ich befasse mich mit der Sicherheit von Passwörtern. Das eigentliche Problem kennt vermutlich jeder von uns: Sehr lange und komplizierte Passwörter sind sicher, aber auch sehr schwer zu behalten; je leichter zu merken, umso leichter können Hacker in unsere Accounts einbrechen. Als ein Weg zu einer verbesserten Sicherheit für unsere Accounts wurde lange die Zwei-Faktor-Authentifizierung gesehen, bei der der User beim Login neben dem Passwort noch einen sechsstelligen Code eingeben muss, den er separat zum Beispiel auf sein Smartphone bekommt. Dieses System wird aber von den Nutzerinnen und Nutzern nicht angenommen, wahrscheinlich weil es zu kompliziert und aufwendig wird. Knapp neun Jahre nach der Einführung bei Google haben weniger als zehn Prozent der Google-Nutzer die Zwei-Faktor-Authentifizierung aktiviert.

Die Alternative, die ich erforsche, ist die sogenannte „Risikobasierte Authentifizierung“, die die Sicherheit verbessert, ohne den Aufwand für Anwenderinnen und Anwender zu sehr zu erhöhen. Dabei errechnet das Sicherheitssystem einer Webseite bei jedem Login anhand bestimmter Faktoren, wie hoch das Risiko ist, dass nicht ich, sondern ein Unbefugter versucht, sich einzuloggen. Ist das Risiko zu hoch, greift das System ein und fragt den Anwender nach zusätzlichen Sicherheitsfaktoren für den Login – quasi als Beweis, ob der Anwender wirklich ich bin. Das könnte zum Beispiel die Verifizierung meiner hinterlegten E-Mail-Adresse sein.

Auf welche Faktoren greift das System bei der Risikobewertung zurück?

In der Literatur werden die IP Adresse, der verwendete Browser, die verwendete Sprache, die Auflösung des Displays und die Dauer des Logins als typische Faktoren genannt. Welche davon aber in der Praxis tatsächlich eingesetzt werden, ist weitgehend unbekannt, weil die großen Unternehmen diese Informationen nicht weitergeben. Daher habe ich große Online-Dienste wie Google, Amazon oder LinkedIn einem Test unterzogen. Grundlage dafür sind 224 verschiedene eigens erstellte Accounts, mit denen ich mich immer wieder eingeloggt habe, damit das System erkennt, was ein „typischer“ Login dieser Accounts ist. Dann habe ich diese Faktoren variiert und bin quasi in die Hackerperspektive gegangen. Habe also beim Login zum Beispiel ein anderes Gerät genutzt oder der Webseite suggeriert, dass ich mich von einem anderen Kontinent aus einwähle. Es war spannend zu sehen, ob die Webseiten dann eine zusätzliche Authentifizierung etwa über einen per Mail versendeten Code verlangt oder ob ich per Mail einen Sicherheitsalarm erhalten habe. Darüber hinaus konnte ich dann ermitteln, wie sich die risikobasierten Authentifizierungsvarianten der Online-Dienste unterscheiden. Auf dieser Grundlage möchte ich im Rahmen der Dissertation unter anderem freiverfügbare Lösungen zur Integration in Online-Dienste anbieten, damit auch kleinere Unternehmen und Organisationen den gesteigerten Schutz für ihre Userbase umsetzen können.

Was sind die Ergebnisse?

Viele der getesteten Online-Dienste überprüfen mindestens die IP-Adresse, darunter Amazon und der Computerspielvertreiber GOG.com. Bei Google und LinkedIn sind mehrere Faktoren relevant, bei Google zum Beispiel mit absteigender Gewichtung die IP-Adresse, der Zeitpunkt des Logins sowie der verwendete Browser und die Displayauflösung. Die Art, wie die Dienste die risikobasierte Authentifizierung umsetzen, unterscheidet sich dabei deutlich voneinander: Während Google, Amazon und LinkedIn beispielsweise alle Nutzer in gleicher Weise schützen, wurden in unserer Studie bei Facebook nur diejenigen Accounts geschützt, die nach entsprechenden Kriterien als „wichtig“ angesehen wurden. Nach welchen Kriterien die „Wichtigkeit“ berechnet wurde, können wir nicht genau sagen. Das Verhalten des Accounts und der interagierenden Accounts beim Online-Dienst wird aber eine Rolle gespielt haben. Auch die angeforderte zusätzliche Authentifizierung ist sehr divers, von der Verifizierung der E-Mail-Adresse, über dem Drücken eines Buttons auf dem Smartphone bis zur Identifikation von Facebook-Freunden. Damit haben wir erstmals den „state of the art“ der in der Praxis verwendeten Systeme ermittelt.

Bei meinen Untersuchungen bin ich unter anderem auch auf eine Schwachstelle bei Facebook gestoßen, die die Telefonnummer des Nutzers im RBA-Verfahren verraten hatte. Facebook hat diese Schwachstelle dann innerhalb von zwei Tagen geschlossen, nachdem ich sie vertraulich an den Online-Dienst berichtet hatte. Durch meine Forschung konnte ich also RBA-Umsetzungen großer Online-Dienste noch sicherer machen.

Im nächsten Schritt untersuchen wir nun den Faktor Mensch. Wie reagieren die Nutzerinnen und Nutzer darauf, wenn sie zu weiteren Schritten der Authentifizierung aufgefordert werden?

Was ist das Ziel Ihres Projektes?

Wir wollen ein vollumfassendes Verständnis dafür erlangen, wie RBA eingesetzt wird, wie User damit umgehen und wie die Technologie effizient eingesetzt werden kann. Wenn wir für erhöhte Sicherheit nur wenige Daten speichern müssen, ist das auch in Bezug auf den Datenschutz relevant. Wenn uns dies alles gelingt, ist das ein großer Schritt dahin, dass etwa kleine und mittlere Unternehmen die RBA einsetzen können, denn diese ist bisher den Internet-Riesen vorbehalten.