Autokorrektur für Passwörter

Ein zunächst eigenartig wirkendes Konzept könnte Nutzern das Anmelden bei Online-Diensten sehr erleichtern: Forscher wollen die verbreitetsten Fehler bei der Passwort-Eingabe automatisch korrigieren.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Tom Simonite
Inhaltsverzeichnis

Die meisten Nutzer müssen von Zeit zu Zeit ein Passwort neu eingeben, weil sie sich vertippt haben – und wenn das zu oft passiert, wird sogar ihr Zugang erst einmal gesperrt.

Wie eine neue Forschungsarbeit zeigt, ließe sich derartiger Ärger aber vermeiden, und zwar mit derselben Methode, die auch Tippfehler in Texten und Nachrichten behebt: Autokorrektur. Das haben Wissenschaftler mit Hilfe einer Analyse der Anmeldungen bei dem Daten-Speicherdienst Dropbox herausgefunden.

"Unserer Meinung nach ist das eine ziemlich große Sache", sagt Ari Juels, Professor am Jacobs Technion-Cornell Institute der Hochschule Cornell Tech in New York. "Websites sollten ihre Passwort-Politik ändern, um den Nutzern das Leben leichter zu machen. Der Sicherheitsverlust ist ziemlich gering."

Den Zugang zu einem Online-Dienst über Passwörter mit Tippfehlern freizugeben, klingt zunächst einmal nach einer schlechten Idee. Schließlich müsste auch ein Angreifer dadurch nicht mehr das exakt richtige Passwort herausfinden. Facebook wurde bereits dafür kritisiert, dass seine Nutzer sich auch dann anmelden können, wenn sie das erste Zeichen ihres Passworts klein statt groß schreiben oder versehentlich alle Zeichen groß eingeben.

Laut Juels und seinen Kollegen von Cornell Tech, MIT und Dropbox ist die Idee jedoch keineswegs gefährlich, wenn man sie so implementiert, dass berücksichtigt ist, wie Nutzer Passwörter wählen und sich vertippen. Ihren Fachaufsatz dazu haben sie Ende Mai auf dem IEEE Symposium on Security and Privacy vorgestellt.

Reichlich Daten über Tippfehler bekamen die Forscher, indem sie 24 Stunden an Login-Daten bei Dropbox mit seinen hunderten Millionen Nutzern sammelten. Bei fast 10 Prozent der gescheiterten Login-Versuche, so zeigte sich, waren wenige leicht korrigierbare Fehler schuld, zum Beispiel eine gedrückte Caps-Lock-Taste. Rund 3 Prozent der Nutzer, die sich nicht anmelden konnten, hätten keine Probleme gehabt, wenn es eine Autokorrektur der drei häufigsten Einzelfehler gegeben hätte: Caps-Lock-Taste, falsche Schreibung des ersten Zeichens und Vergessen des letzten.

Wenn sich ein Benutzer bei Dropbox registriert, werden in einer Datenbank bei Dropbox Benutzernamen und Passwort abgespeichert. Dabei wird das Passwort mittels einer mathematischen (Hash-)Funktion verschlüsselt und nur in dieser Form in der Datenbank abgelegt.

Meldet sich nun ein Benutzer bei Dropbox an, werden Benutzername und Passwort über eine sichere HTTPS-Verbindung zum Server von Dropbox übertragen. Für kurze Zeit wird im Arbeitsspeicher des Servers das Passwort im Klartext vorgehalten. Dieses soeben eingebene Passwort wird mit der gleichen Funktion verschlüsselt und mit seinem Pendant in der Datenbank verglichen. Stimmen beide verschlüsselte Passwörter überein, hat der Benutzer sein Passwort korrekt eingegeben.

Gibt ein Benutzer sein Passwort fehlerhaft ein (falsche Groß-/Kleinschreibung, Vergessen von Zeichen, benachbarte Tasten), so schlägt der Vergleich fehl. An dieser Stelle setzt nun das "Passwort-Checker" genannte Verfahren der Forscher ein. Basierend auf dem im Arbeitsspeicher vorgehaltenen Passwort werden Modifikationen des Passworts überprüft (erneut Hashes erstellt) und mit dem Passwort-Hash in der Datenbank verglichen.

Dieses Verfahren wird so lange wiederholt, bis entweder der gültige Passwort-Hash gefunden wird oder die Möglichkeiten an Variationen erschöpft sind. Die Forscher betonen, dass vom "Passwort-Checker" korrigierte Passwörter nicht zur erfolgreichen Anmeldung führten, sondern lediglich benutzt wurden, um das Verfahren zu testen.

Bei manchen Passwörtern allerdings würde das Akzeptieren verbreiteter Tippfehler Angreifern tatsächlich helfen. Wenn das Passwort beispielsweise "12345" lautet, und ein Angreifer "123456" probiert, könnte er damit durchkommen. Um solche Fälle zu verhindern, haben Juels und Kollegen Passwort-Checker programmiert, die Tippfehler nur dann tolerieren, wenn das keine Gefahren birgt; die Grundlage dafür waren Listen mit bekannt gewordenen Passwörtern.

In Simulationen wurde getestet, wie diese Checker arbeiten, wenn ein Angreifer 1000 Versuche hat, um ein Passwort herauszufinden (in der Praxis ist das unwahrscheinlich, weil die Zahl der zulässigen Versuche meist deutlich niedriger ist). Der Vorteil des Angreifers erreichte dabei nie mehr als 0,2 Prozent. Laut den Forschern bedeutet das, dass die Vorteile einer fehlertoleranten Passwort-Eingabe für die Nutzer die potenziellen Gefahren dieser Möglichkeit überwiegen dürften.

Darüber hinaus verglichen Juels und Kollegen diese Daten mit Passwort-Mustern, die durch Datendiebstähle wie den von 32 Millionen Passwörtern bei dem Spiele-Anbieter RockYou bekannt geworden sind. Wie sich dabei zeigte, würde eine Korrektur der verbreiteten Fehler es Angreifern kaum leichter machen, die Passwörter zu erraten. In den meisten Fällen haben die "kostenlosen" Versuche, die durch das Ignorieren von Tippfehlern entstehen, keinen hohen Wert für sie. Meist arbeiten Angreifer zunächst mit Listen von verbreiteten Passwörtern. Auf diese eine automatische Rechtschreibkorrektur anzuwenden, führt hier meist nicht zu weiteren häufigen Passwörtern, sondern nur zu sinnlosen Zeichenketten.

(sma)