Benutzer-IDs und Kennwörter: Ebenso wichtig für die Zugriffssicherheit

Ist es an der Zeit, anders über die Anmeldeinformationen der Website nachzudenken? Drei Forscher glauben dies und liefern Gründe, die zum Nachdenken anregen.

-------------------------------------------------- -------------------------------------

Vor einigen Monaten traf ich Dr. Cormac Herley, Hauptforscher bei Microsoft. Nach einigen interessanten Gesprächen schrieb ich einen Artikel: "Haben Benutzer Recht, Sicherheitsratschläge abzulehnen?" Mein Ziel war es, Dr. Herleys Argumente zu präsentieren, warum Benutzer kostspielige und ineffektive Sicherheitspraktiken ablehnen sollten.

Ich bin auf ein anderes Papier gestoßen, das Dr. Herley gemeinsam mit Dr. Dinei Florencio, einem Kollegen von Microsoft, und Dr. Baris Coskun, einem wissenschaftlichen Mitarbeiter an der Polytechnischen Universität, verfasst hat. Ich hatte gehofft, dass dieses Papier genauso provokativ sein würde wie das vorherige, und das war es auch.

"Erreichen starke Webkennwörter etwas?" Versuche zu erklären, was mit der aktuellen Methodik in Bezug auf Benutzer-IDs und Kennwörter von Websites falsch ist. Ich möchte ihren Fall vorstellen. Sehen Sie, ob es mit Ihnen in Resonanz steht.

Hauptbedrohungen

In erster Linie ist der direkte Diebstahl von Anmeldeinformationen für Websites, insbesondere für Finanzinstitute, schwerwiegend. Zu diesem Zweck betrachtet das Papier Folgendes als die wichtigsten Methoden zum Stehlen von Website-Zugriffsinformationen:

  • Phishing
  • Keylogging
  • Spezialwissen oder Zugriffsangriffe (verwenden Sie bekannte Informationen über Benutzer, Schulter-Surfen oder erhalten Sie Zugriff auf Computer)
  • Brute-Force-Angriff auf ein einzelnes Konto
  • Massenangriff auf alle Konten auf der Website

Aktuelle Best Practices

Um sicherzustellen, dass sich alle auf derselben Seite befinden, wird in dem Dokument erwähnt, was derzeit als angemessene Kennwortverwaltung angesehen wird:

  • Wählen Sie sichere Passwörter
  • Ändern Sie Passwörter häufig
  • Schreiben Sie niemals Passwörter auf

Funktioniert nicht

Die Forscher halten diesen Rat für veraltet. "Best Practices" für Kennwörter schützen Ihre Anmeldeinformationen nicht vor Phishing, Keylogging oder Angriffen mit Spezialkenntnissen. Ich vermute, die meisten würden dem zustimmen, aber was ist mit Brute-Force- und Bulk-Guessing-Angriffen?

Brute-Force-Angriffe

Die Autoren halten Vermutungen und Brute-Force-Angriffe für unwirksam. Dies liegt daran, dass Systemadministratoren den Zugriff nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche blockieren. Sie bieten das folgende Beispiel als Beweis dafür, wie gut es funktioniert:

"Wenn eine Bank nur sechsstellige PINs (ein relativ schwaches Passwort) zulässt und nach drei Versuchen ein Konto für 24 Stunden sperrt, kann ein Angreifer in 10 Jahren 3 x 365 x 10 = 1e6 oder 1% des Schlüsselraums durchsuchen. Außerdem wäre das Verhältnis von erfolglosen zu erfolgreichen Anmeldungen sehr groß und leicht zu erkennen. "

Das stimmt wahrscheinlich, aber was ist mit Websites ohne Sperrrichtlinie?

Massenraten-Angriffe

Ich muss gestehen, dass Massenangriffe nie auf meinem Radar waren. Sie hätten sein sollen, wie sie arbeiten. Das folgende Beispiel aus dem Artikel erläutert das Konzept hinter Bulk-Guessing-Angriffen:

"Angenommen, eine Bank verfügt über 10 Millionen Online-Benutzerkonten. Wenn die Bank sechsstellige PINs zulässt, wird jede PIN im Durchschnitt von 10 verschiedenen Benutzern verwendet. Anstatt alle möglichen Passwörter nach einer bestimmten Benutzer-ID zu durchsuchen, kann ein Angreifer alle möglichen durchsuchen Benutzer-IDs für ein bestimmtes Passwort. 10 Millionen Versuche führen zu 10 erfolgreichen Anmeldungen mit dieser Strategie. "

Die Autoren schlagen auch vor, dass dieser Ansatz viel verstohlener ist:

"Wenn der Angreifer den Kennwortbereich einer einzelnen Benutzer-ID angreift, ist es für den Angreifer sehr schwierig, die Versuche unter den tatsächlichen Anmeldungen des Benutzers zu verbergen. Bei der Verteilung des Angriffs auf den gesamten Benutzer-ID-Bereich ändert sich jedoch das Bild: Die 10 Millionen Versuche belaufen sich zu nur einem erfolglosen Login pro Konto. "

Für einige scheinen zehn erfolgreiche Angriffe bei 10 Millionen Mitgliedern trivial zu sein. Es sei denn, Sie sind einer der zehn.

Referenzen

Als nächstes wollten die Forscher herausfinden, wie viele digitale Informationen für jede Benutzer-ID / Passwort-Kombination erforderlich sind. Es könnte ein erheblicher Betrag werden, wenn es wie im obigen Beispiel mit 10 Millionen multipliziert wird:

"Die Bank im Beispiel hat 10 Millionen Online-Benutzer und verwendet jeweils ein 20-Bit-Passwort (eine sechsstellige PIN). Die Bank verfügt über einfache Benutzer-IDs. Den Kunden werden fortlaufende siebenstellige Nummern zugewiesen. Dies sind ungefähr 23 Bit. Um Zugang zum Konto eines Mitglieds zu erhalten, muss der Angreifer 43 Bit eingeben. Wir nennen das 43-Bit-Benutzer-ID-Passwortpaar den Berechtigungsnachweis der Bank.

Der Suchbereich für Anmeldeinformationen, in dem der Angreifer lebt, ist also 2 43 . Es gibt ungefähr 2 23 gültige Konten, sodass der Angreifer damit rechnen kann, pro 2 20 Versuche in ein Konto einzubrechen. "

Die Forscher fanden heraus, dass die Erhöhung der Anzahl der Bits, die zum Erstellen individueller Anmeldeinformationen verwendet werden, eine wirksame Abschreckung gegen Angriffe auf Massenraten darstellt. Das Forschungsteam bietet die folgenden mathematischen Beziehungen als Beweis an.

  • Bu : Ist die Größe der Benutzer-ID in Bit
  • Bp : Gibt die Größe des Passworts in Bit an
  • N : Variable, die die Anzahl der Mitglieder darstellt

Der folgende Ausdruck stellt den gesamten Speicherplatz für Anmeldeinformationen dar, nach dem ein Angreifer mit Massenraten suchen müsste:

2 B u + B p

Die nächste Gleichung gibt die Anzahl der Versuche an, die pro erfolgreichem Einbruch erforderlich sind:

(2 B u + B p ) / N.

Aus dem zweiten Ausdruck ist ersichtlich, dass das Erhöhen der Größe der Benutzer-ID oder des Kennworts die Anzahl der Versuche, die erforderlich sind, um eine Übereinstimmung zu erhalten, exponentiell erhöht.

Erhöhen Sie die Anzahl der Benutzer-ID-Bits

Das Erhöhen der Anzahl der Kennwortbits wird nicht empfohlen. Die Forscher haben bereits erklärt, dass eine Erhöhung der Kennwortgröße das Risiko von Phishing-, Keylogging- oder Spezialwissen-Angriffen nicht verringert. Außerdem haben Benutzer genug Probleme, sich einfache Passwörter zu merken. Warum also nicht stattdessen die Benutzer-ID vergrößern? Dadurch erhalten Sie die gleichen Ergebnisse.

Das Durchspielen der Anzahl der Bits in der Benutzer-ID anstelle des Kennworts hat einen weiteren großen Vorteil. Hierfür müssen Benutzer-IDs nicht geheim gehalten werden. Die Benutzer-ID kann für alle sichtbar angezeigt werden. Ein Cyberkrimineller würde es schwer haben, die Benutzer-ID eines jeden von Haftnotizen zu erfassen, die auf Monitoren kleben.

Das Forschungsteam hat ein Problem: Angreifer können vollständige Listen aus der Datenbank der Institution abrufen. Die Forscher gehen davon aus (eine logische, aber immer noch angenommene), dass Benutzer-ID-Listen stark geschützt sind. Sollte eine Liste jemals veröffentlicht werden, könnte diese Einrichtung unter der Androhung eines Denial-of-Service-Angriffs unter Verwendung der Liste der Benutzer-IDs und fehlerhaften Passwörter als Geisel gehalten werden.

Schlussfolgerungen des Papiers

Zusammenfassend bietet das Forschungsteam zwei Lösungen an, eine für große Institutionen und eine für kleine Institutionen:

  • Große Institutionen : Verwenden Sie kurze, einfache Passwörter mit längeren Benutzer-IDs. Dies verringert die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Anmeldeinformationen und erleichtert es dem Benutzer.
  • Kleine Institutionen : Cyberkriminelle möchten nicht mit so wenigen Benutzern die Mühe eines Massenangriffs machen. Das Papier kommt jedoch zu dem Schluss, dass einfache, kurze Kennwörter funktionieren, solange eine Richtlinie für die Sperrung der fehlgeschlagenen Anmeldung vorhanden ist.

Abschließende Gedanken

Ich habe jetzt einen anderen Standpunkt zu Benutzeranmeldeinformationen, nachdem ich beide Artikel gelesen habe. Das Konzept ist interessant, aber einige werden die Forschung kontrovers finden. Es scheint auch, dass Dr. Herley noch nicht fertig ist. In einer kürzlich veröffentlichten E-Mail erwähnte er ein anderes Papier, das er mitautorisierte:

"Das neue Papier erklärt einen Weg, um herauszufinden, welche Passwörter in einer großen Population zu beliebt sind. Wir halten es für einen besseren Ansatz, diejenigen zu verbieten, die zu populär werden, als Benutzer zu zwingen, die Anforderungen an die Komplexität von Passwörtern einzuhalten."

Also, bitte bleiben Sie in Kontakt.

© Copyright 2021 | mobilegn.com