Am 4. Mai war der Welt-Passwort-Tag – nicht zu verwechseln mit dem eher umstrittenen Ändere-Dein-Passwort-Tag am 2. Februar. Aber eigentlich ist doch jeder Tag irgendwie ein Passwort-Tag – oder wann haben Sie zuletzt einen Tag ohne eine Passworteingabe verbracht?
Vielleicht gibt auch Ihr Passwortmanager die meisten Passwörter für Sie ein? Eine bequeme Option, für jeden Dienst ein eigenes Passwort zu nutzen. Aber ist die Datenbank dahinter auch sicher abgespeichert? In unserem Januar-Digest hatten wir ja bereits über Vorfälle bei Passwortmanagern berichtet. Bei der unvorhersagbaren Passwortgestaltung sind die Tools deutlich im Vorteil gegenüber Menschen, deren Passwörter häufig erraten werden können. Diese Woche wagte Aaron Toponce einen Blick in die Passwortgenerierungs-Funktion der LastPass-Weboberfläche und fand gleich mehrere Indikatoren für einen nicht ganz so zufälligen Zufallszahlengenerator (die Zeit als Seed und RC4 als Algorithmus). Derart generierte Passwörter sind auch nicht trivial vorhersagbar, aber doch etwas leichter zu erraten als wirklich zufällige.
In unseren Pentests sind Mängel in der Passwortstärke oder der Speicherung einer der fünf häufigsten Befunde, die eine Kompromittierung des Active Directory ermöglichen. Auch ohne Netzwerkzugang kann man an Passwörter gelangen, zum Beispiel durch Schulter-Surfen, Fingerabdrücke auf Touchscreens oder Wärmebilder von Tastaturen. Den letzten Ansatz haben kürzlich Forscher an der Universität Glasgow mit KI-basierten Bildauswertungen noch weiter optimiert und konnten sogar eine Minute nach dem Eintippen kurze Passwörter mit 80 % Erfolgsrate aus den Wärmebildern ableiten. Die Forscher haben noch viele weitere Einflussfaktoren getestet – von der Passwortlänge über die Tippgeschwindigkeit bis zum Material der Tastatur.
Geht es denn wirklich nicht ohne Passwörter? Klar, sagt die FIDO Alliance, die zusammen mit dem W3C schon 2015 den FIDO2-Standard u. a. für Anmeldungen bei Webanwendungen ohne klassische Passwörter definiert hat. Seit letztem Jahr nimmt das Thema deutlich Fahrt auf, weil Apple, Google und Microsoft unter dem Stichwort PassKey die Unterstützung prominent in ihre Endgeräte und Browser einbauen.
- Welt-Passwort-Tag: https://www.heise.de/news/Welt-Passwort-Tag-Auf-die-Laenge-kommt-es-an-8982187.html
- Aaron Toponce zu LastPass: https://fosstodon.org/@atoponce/110367771536321495
- Passwort mit der Wärmebildkamera auslesen:
- Artikel in „ACM Transactions on Privacy and Security“ https://dl.acm.org/doi/10.1145/3563693
- Pressemeldung der Uni: https://www.gla.ac.uk/news/headline_885914_en.html
- Passwortlose Anmeldung