Cryptography Reference
In-Depth Information
11 Zukünftige Authentifikationsverfahren im Web
Matthias Baumgart
Motivation
Nicht alle Dienste im Internet benötigen eine Authentifikation des Nutzers. Die
Recherche nach Informationen über Suchmaschinen wie Google oder das Surfen
auf Webseiten von Waren- oder Diensteanbietern erfolgt meist ohne vorherige
Authentifikation oder Registrierung der Benutzer. Sobald jedoch höherwertige
Dienste genutzt werden, erfolgt in der Regel eine Registrierung und darauffolgend
bei einem weiteren Besuch der Webseite eine Nutzerauthentifikation.
Insbesondere kostenpflichtige Dienste verwenden eine Authentifikation, um eine
Bezahlung der Nutzungsgebühren zu ermöglichen. Dabei können verschiedene
Methoden zur Nutzerauthentifikation zum Einsatz kommen. Das meist genutzte
Verfahren ist heutzutage das Benutzername/Passwort-Verfahren. Dabei meldet
sich der Benutzer mit einem Benutzernamen, der öffentlich bekannt sein darf und
einem geheimen Passwort zu einem Dienst an. Als Benutzername wird in vielen
Fällen die eMail-Adresse des Benutzers verwendet. Das Passwort wird im
Allgemeinen von dem Benutzer gewählt und sollte möglichst keiner anderen
Person bekannt sein. Das Verfahren der Authentifikation mittels Benutzername
und Passwort birgt viele Gefahren in sich, die das Verfahren angreifbar machen.
Eine Gefahr besteht darin, dass der Benutzer ein Passwort wählt, welches zu leicht
zu erraten ist. Beliebte Passworte sind zum Beispiel „123456“, „Password“ oder
„iloveyou“. Laut einer Studie der Firma Imperva 1 verwenden rund 30 Prozent aller
Anwender Passwörter mit maximal sechs Buchstaben Länge. Fast 60 Prozent
verwenden nur die einfachsten alphanumerischen Zeichen, also Buchstaben und
Ziffern. Außerdem ist fast die Hälfte aller Passwörter entweder ein Name, ein
Lexikonwort oder ein umgangssprachlicher Ausdruck, der aber nicht im Wörter-
buch steht. Häufig wird auch einfach der Name der Webseite als Passwort genutzt.
Hinzu kommt die Gefahr, dass das Passwort durch Trojaner ausgespäht wird,
welche im einfachsten Fall sämtliche Tastatureingaben mitloggen oder den
Browser manipulieren, so dass dieser die Passwörter im Passwortspeicher des
1
„Consumer Password Worst Practices“, Imperva-Website, 2010,
http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
Search WWH ::




Custom Search