[CeBit16] Besserer Passwortschutz dank neuartiger Kryptographie-Technologie
Airlock Entwickler haben IBM Research–Zürich bei der Entwicklung eines hocheffizienten kryptographischen Protokolls zum Passwortschutz im Falle von Server Kompromittierung unterstützt. Die neue Technologie wurde erfolgreich in Airlock IAM integriert und kann ab sofort als experimenteller Service von Airlock Kunden getestet werden. Mit dem neuen Verfahren wird die Passwort-Verifizierung auf mehrere Server verteilt, so dass ein Angreifer sämtliche involvierten Server kompromittieren müsste, um Informationen über das Passwort zu erhalten.
Anforderungen an Authentifizierungssysteme
Mit dem wachsenden Angebot digitaler Dienste, die oft persönliche und sensible Daten ihrer Nutzer speichern und verarbeiten, steigen auch die Anforderungen an Authentifizierungssysteme, die den Zugriff auf diese Daten verwalten. Die Systeme prüfen die Identität der Nutzer und sind für eine erfolgreiche Validierung zuständig. Der Schutzbedarf solcher Daten ist über die Jahre deutlich gestiegen, ebenso wie das Interesse von Cyberkriminellen an diesen sensiblen Informationen. Viele Zugänge zu Online-Diensten sind mit Passwörtern geschützt, obwohl Angriffe auf Server und Webapplikationen schon fast an der Tagesordnung sind und Brute-forcing Angriffe selbst Passwörter mit Sonderzeichen knacken können. Eine solche Attacke greift die Hash-Werte der Passwörter an und probiert dank mittlerweile weit verbreiteter grosser Rechenleistung sehr viele Zeichen-Kombinationen in kürzester Zeit aus. Davor kann man sich heute nicht mehr schützen, selbst wenn den Benutzern immer strengere Anforderungen bei der Passwortwahl auferlegt werden, wie zum Beispiel mehrstellige, zufällig gewählte Zahlen- und Buchstabenkombinationen mit Sonderzeichen.
Denn das Problem liegt nicht darin, dass der Benutzer die Passwörter falsch wählt, sondern darin wie Passwörter heute gespeichert werden. Um die Sicherheit digitaler Daten zu verbessern und zu vereinfachen, hat ein Forscherteam von IBM Research – Zürich eine neuartige Passwort-Verifizierung ausgearbeitet, die nun von Ergon Informatik in Airlock IAM implementiert und getestet wurde. Das neue Protokoll geht explizit das Problem kompromittierter Passwortdatenbanken an und hat somit grosses Potenzial, den Ruf von Passwörtern zu rehabilitieren.