Die vorliegende Analyse befasst sich mit der Fragestellung, ob die seit der erstmaligen Veröffentlichung der NIST Special Publication 800-63 im Jahr 2004 gängigen Regeln zur Komplexität von und zum Umgang mit Passwörtern dazu geeignet sind, das Sicherheitsniveau von Organisationen zu verbessern. Tragen die gängigen Regeln zum sicheren Umgang mit Authentisierungs-Passwörtern zum Sicherheitsniveau bei oder bedarf es auf Grund berechtigter Kritik an dem etablierten Standard einer grundlegenden Innovation bei der Benutzerauthentisierung?
Es werden Best Practice-Passwortregeln formuliert, die auf repräsentativen Standards der Informationssicherheit basieren, und auf eine möglicherweise gegebene Innovationsnotwendigkeit hin untersucht. Aus den gewonnenen Erkenntnissen werden Good Practices abgeleitet. Neben einem Set modifizierter Passwortregeln wird ein Vorgehen zur Rollentyp-basierten Authentifizierung vorgeschlagen.
Inhaltsverzeichnis
1 Einleitung
2 Theoretische Grundlagen
2.1 Authentisierung, Authentifizierung und Autorisierung
2.2 Authentisierungsfaktoren und -mittel
2.3 Innovationsnotwendigkeit
3 Passwortvorgaben in (inter-)nationalen Standards
3.1 NIST Special Publication 800-63B
3.2 ISO/IEC 27002:2013 und ISO/IEC 15408:2009
3.3 CAB Forum Network Security Controls
3.4 BSI IT-Grundschutz
3.5 IT Security Guidelines G3
3.6 Best Practice (Stand 09/2017)
4 Sicherheitsanalyse der Passwortregel-Best Practice
4.1 Mindestlänge und Komplexität
4.2 Wortlisten und Wörterbücher
4.3 Benutzerfreundlichkeit
4.4 Passwortwechsel und Historisierung
4.5 Zweckbindung
5 Sichere Authentifizierung: Good Practices
5.1 Passwortregeln
5.2 Sichere Administration
5.3 Rollentyp-basierte Authentifizierung
6 Fazit
Zielsetzung & Themen
Die vorliegende Arbeit untersucht, ob gängige Passwortregeln, die auf Standards wie der NIST Special Publication 800-63 basieren, das Sicherheitsniveau von Organisationen effektiv verbessern oder durch ineffiziente Anforderungen sogar schwächen. Das Ziel ist es, durch eine Sicherheitsanalyse etablierter Best-Practice-Vorgaben Good Practices abzuleiten und ein modernes Vorgehen zur rollentyp-basierten Authentifizierung zu entwerfen.
- Analyse und Kritik bestehender internationaler Passwort-Standards.
- Sicherheitsanalytische Untersuchung von Komplexitäts- und Wechselregeln.
- Ableitung optimierter Good Practices für die Authentifizierung.
- Konzeption einer rollentyp-basierten Authentifizierungsmatrix zur Risikominimierung.
Auszug aus dem Buch
4.1 Mindestlänge und Komplexität
Den Analyseergebnissen aus Kapitel 3.6 folgend sollten Passwörter mindestens acht Zeichen lang sein und aus numerischen und alphabetischen Zeichen bestehen. Ziel ist das Erschweren sogenannter Brute Force-Angriffe. Die Begründung basiert auf der Vergrößerung der zu prüfenden Zahlenräume bei einer zunehmenden Komplexität von Passwörtern. In der Theorie muss ein Angreifer eine größere Menge möglicher Zeichenkombinationen prüfen, um ein längeres und komplexeres Passwort zu erraten. Dürfen beispielsweise nur Passwörter eingesetzt werden, die aus maximal acht Zeichen bestehen, umfasst der Zahlenraum: 2,17 · 10^11.
Der Umfang des Raums resultiert daraus, dass ein Angreifer alle ein- bis achtstelligen möglichen Zeichenkombinationen ausprobieren muss. Müssen hingegen mindestens acht Kleinbuchstaben verwendet werden, reduziert sich die Menge der Möglichkeiten auf: 2,08 · 10^11. Diese Reduzierung erklärt sich in einem psychologischen Effekt: Wird ein Benutzer aufgefordert, ein mindestens acht Zeichen langes Passwort einzugeben, umfasst dieses voraussichtlich genau acht Zeichen. Wird zusätzlich eine Verwendung von beliebig vielen Großbuchstaben gefordert, vergrößert sich der zu prüfende Raum auf: 5,35 · 10^13.
Eine Anforderung nach mindestens acht Zeichen langen Passwörtern, kleinen und mindestens einem Großbuchstaben reduziert den wahrscheinlichen Zahlenraum wiederum, da Benutzer dazu neigen, große Buchstaben am Anfang eines Wortes zu verwenden. Vom Durchschnitt ausgehend reduziert dies die zu prüfende Menge auf: 8,03 · 10^9.
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung thematisiert die Kritik am NIST-Standard von 2004 hinsichtlich Passwort-Gültigkeitsintervallen und stellt die Forschungsfrage zur Innovationsnotwendigkeit bei der Benutzerauthentisierung.
2 Theoretische Grundlagen: Hier werden die Begriffe Authentisierung, Authentifizierung und Autorisierung definiert sowie Grundlagen zu Authentisierungsfaktoren und dem Begriff der Innovationsnotwendigkeit erläutert.
3 Passwortvorgaben in (inter-)nationalen Standards: Dieses Kapitel stellt Anforderungen verschiedener internationaler Standards (NIST, ISO, BSI etc.) an Passwörter vor und definiert daraus eine "Best Practice" für die weitere Analyse.
4 Sicherheitsanalyse der Passwortregel-Best Practice: Eine kritische Untersuchung der Best-Practice-Regeln hinsichtlich ihrer tatsächlichen Wirkung auf das Sicherheitsniveau und ihrer Resilienz gegenüber Brute-Force-Angriffen.
5 Sichere Authentifizierung: Good Practices: Hier werden modernisierte Good Practices entworfen und ein Ansatz zur rollentyp-basierten Authentifizierung vorgestellt, der Schutzbedarf und Arbeitsumgebung berücksichtigt.
6 Fazit: Das Fazit fasst zusammen, dass keine fundamentale technische Innovation nötig ist, sondern ein Umdenken hin zu sicherer Administration und rollenspezifischen Vorgaben erforderlich ist.
Schlüsselwörter
Passwortregeln, Informationssicherheit, Authentifizierung, NIST, IT-Grundschutz, Brute-Force-Angriff, Best Practice, Good Practice, Entropie, Rollentyp-basierte Authentifizierung, Passwortwechsel, Historisierung, Zweckbindung, RBAC, Identitätsmanagement.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit analysiert, ob die seit 2004 gängigen Passwort-Standards und deren komplexe Anforderungen an Benutzer noch zeitgemäß sind oder ob sie das Sicherheitsniveau in Organisationen durch ineffiziente Vorgaben (wie erzwungene Wechsel) eher schwächen.
Was sind die zentralen Themenfelder?
Die zentralen Themen umfassen Informationssicherheitsmanagement, Passwortrichtlinien nach internationalen Standards, Sicherheitsanalysen von Authentisierungsmechanismen und die Entwicklung nutzerfreundlicher Good Practices.
Was ist das primäre Ziel der Arbeit?
Ziel ist es zu untersuchen, ob eine grundlegende Innovation bei der Benutzerauthentisierung notwendig ist oder ob eine Modernisierung bestehender Methoden (Renovate-to-Innovate-Ansatz) ausreicht, um das Sicherheitsniveau zu erhöhen.
Welche wissenschaftliche Methode wird verwendet?
Es werden repräsentative internationale Standards der Informationssicherheit analysiert, Best-Practice-Regeln daraus abgeleitet und diese anschließend einer sicherheitstechnischen Analyse unterzogen.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Aufarbeitung nationaler und internationaler Passwortvorgaben, deren mathematische und psychologische Analyse sowie die Erarbeitung neuer Good Practices inklusive eines rollentyp-basierten Authentifizierungsmodells.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind Passwortregeln, Informationssicherheit, Authentifizierung, Brute-Force-Angriffe, Innovationsnotwendigkeit und Rollentyp-basierte Authentifizierung.
Warum wird im Fazit von "erzwungenen" Passwortwechseln abgeraten?
Die Arbeit zeigt auf, dass regelmäßige Passwortwechsel Benutzer dazu verleiten, Passwörter aufzuschreiben oder nur leicht zu variieren, was das Sicherheitsniveau faktisch senkt, anstatt es zu erhöhen.
Was ist der Kern der "Rollentyp-basierten Authentifizierung"?
Dieser Ansatz schlägt vor, Sicherheitsvorgaben abhängig vom individuellen Schutzbedarf der Rolle des Nutzers und dem Grad der Öffentlichkeit seines Arbeitsplatzes zu differenzieren, anstatt einheitliche, strikte Regeln für alle anzuwenden.
- Quote paper
- Sebastian Krüsmann (Author), 2018, Kennwortrichtlinien zur Verbesserung der Sicherheit in Unternehmen, Munich, GRIN Verlag, https://www.grin.com/document/502135
