starke Paßwörter ./. Benutzersperre

30. Juni 2011 in IT-Sicherheit, JB, ToP

Die c’t hat in einer ihrer letzten Ausgaben die Möglichkeiten von brute-force Angriffen auf Paßwörter verschiedener Stärke dargestellt. Ein Leserbrief fordert, statt den Nutzer mit Paßwortanforderungen zu quälen, doch nach einer bestimmten Zahl von Fehlversuchen das Nutzerkonto zu sperren.

Der Vorschlag ist sicher im Unternehmensumfeld gut, in den meisten Fällen bringt er jedoch wenig:

Häufig braucht der Hacker nicht ein bestimmtes Konto. Für den Spamversand reicht es aus, ein beliebiges Konto zu kapern. D.h. man probiert nicht verschiedene Paßwörter für ein Konto aus (was die Sperre auslöst), sondern für ein populäres Paßwort (z.B. Passwort, geheim, sex) verschiedene UserID’s. Damit bleibt man bei den meisten Systemen unter dem Radar der Sperre.
Wer kann die Sperre zurücksetzen? Eine Zeitsperre (“bitte warten Sie 5 Minuten”) verlängert zwar die Zeit, verhindert den Angriff aber nicht. Zumal man es ja bei verschiedenen Konten parallel probieren kann.
Eine “harte” Sperre, die nur vom Administrator zurückzusetzen ist, ist äußerst kundenunfreundlich. Ein mir bekannter Mailanbieter verlangt nach einer Vielzahl von Fehlversuchen einen Anruf beim Kundenservice, unter einer 0900-Nummer. Wenn ich jeden Morgen eine solche Nummer anrufen muss, nur weil in der Nacht ein Hacker etwas rumgespielt hat, bleibe ich nicht lange Kunde.
Und zu guter Letzt die normalen Passwort-Recovery-Probleme. Wie will ein Internet-Anbieter, der häufig nicht mehr von mir in der Hand hat als eine Mailadresse und einen Namen mich sicher identifizieren?

Als Beleg, dass schwache Paßwörter und schnelles Sperren funktioniert werden die Bank-PIN’s angeführt. Dort seien keine Mißbrauchsfälle bekannt. Der Vergleich hinkt aber: Beim Online-Banking entsteht der Schaden erst mit der TAN, und wenn ich die rausbekomme, besorge ich die PIN einfach auf gleichem Weg. Und wer bekommt es mit, dass jemand sein Konto anschaut – aber keine Überweisung tätigt.

Genauso interessant:

Tags: Passwort

Daniel Gerwig

1 Kommentar › Kommentar schreiben

HS #

Alte Rechtschreibung… I like!

Kommentar schreiben

Andere Artikel

Heute ist Pi-Tag
14. März 2012 in JB, Statistik
Weltfrauentag (Internationaler Frauentag)
8. März 2012 in JB, Sprüche
Wer bitte unterschreibt solche Verträge II
21. Februar 2012 in JB, Recht, ToP
Achtung: Valentinstag
14. Januar 2012 in JB
Dumpster Diving
18. November 2011 in IT-Sicherheit, JB, ToP
Datenschutz als Verhinderung
17. Oktober 2011 in JB, Recht, Statistik, ToP
Staatliches Inkasso by Infoscore
11. Oktober 2011 in JB, Politik, Recht, ToP
Das Dossier
5. Oktober 2011 in JB, Recht, ToP
Sebastian Edathy
16. September 2011 in JB, Politik
Passwörter
14. September 2011 in IT-Sicherheit, JB, ToP
Fair oder nicht?
9. September 2011 in Allgemein, DRK, JB
Nachgewiesener Eingang
8. September 2011 in JB, RAvsStB, Recht
Fahranfänger
7. September 2011 in JB, Recht
Facebook Like-Buttons für Schleswig-Holstein [Update]
3. September 2011 in IT-Sicherheit, JB, Recht
Datenschutz ./. Facebook [Update]
29. August 2011 in JB, Politik, Recht, ToP

Mein Twitter-Experiment

Lizenz

Fragmente aus dem Datenschutz- und Vollstreckungsbüro von Daniel Gerwig von Daniel Gerwig steht unter einer Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz. Zitate natürlich auch gerne gesehen - bin für Backlinks dankbar.




Read later:
Copy-paste link

aus dem Datenschutz- und Vollstreckungsbüro von Daniel Gerwig