Fast jeder Anwender weiß mittlerweile, dass die Sicherheit eines Passwortes unmittelbar von dessen Komplexität abhängt. Dennoch hilft ein gutes Passwort nur gegen simples Erraten, nicht aber gegen Phishingangriffe oder Keylogger. Auch nutzt es nichts, wenn ein Angreifer in unsicherer Form gespeicherte Passwörter mit wenig Aufwand wiederherstellen kann. Angemessene Sicherheitsmaßnahmen kann nur der entwickeln, der in Bedrohungen denkt; eine Vorgehensweise, die man Threat Modeling nennt. Dabei überlegt man zunächst, welche Bedrohungen für den Betrachtungsgegenstand existieren, und definiert dann Gegenmaßnahmen.
Die Authentifizierung mit einem Passwort soll Unbefugten den Zugriff auf ein Benutzerkonto, System oder einen Dienst verwehren. Diese Maßnahme unterliegt aber auch wieder Bedrohungen. Ein Passwort kann zu simpel und damit einfach zu erraten sein oder einen bekannten Standardwert haben.
Angreifer können sich Zugriff auf das Passwort verschaffen, indem sie einen Keylogger auf dem Rechner ihres Opfers installieren. Oder ein Benutzer verwendet dasselbe Passwort bei verschiedenen Diensten. Bringen Angreifer das Passwort bei einem Dienst erfolgreich in ihren Besitz, können sie es bei anderen Diensten auch verwenden und somit verschiedene Konten desselben Anwenders kompromittieren.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!