Gehört zu Wissen
Der Nutzer gibt seine digitale Identität und das Passwort ein. Das IT-System vergleicht mit den gespeicherten Daten und authentifiziert bei korrekten Daten den Nutzer. Falsche Angaben werden abgelehnt.
NOTE
Die Sicherheit des Passwortverfahrens beruht auf der Qualität und Geheimhaltung der genutzten Passwörter, beim Nutzer, im IT-System und während der Eingabe und Übertragung.
Mögliche Angriffsvektoren:
Erraten des Passworts
- Erraten des Passworts durch Social Engineering
- Erraten des Passworts durch Ausprobieren:
- Wörterbuchangriff
- Brute-Force-Angriff
Abfangen von Nutzernamen und Passworts während der Übertragung
Angreifer versucht das Passwort im Klartext mitzulesen. Das ist überall möglich, wo das Passwort unverschlüsselt übertragen wird.
Entwenden der Liste von Nutzernamen und Passwörtern
Der Angreifer entwendet die gespeicherten Nutzerdaten vom IT-System.
Sonstige
- Keylogger
- Phishing
- Spear Phishing
- Whaling
- Über die Schulter schauen
- Nutzer überreden Passwörter zu verraten (social Enineering)
- Ein bekanntes Passwort auf einem anderen IT-System ausprobieren.
- Unsicheres Passwort Reset-Verfahren
Sicherheitsmechanismen
Passwortregeln und Passwörter überprüfen
Es wird sicher gestellt, dass die Passwörter nicht zu einfach sind. Die Nutzer werden daran gehindert zu einfache Passwörter zu verwenden
Fehlbedienungszähler
Jede Fehleingabe wird gezählt. Nach einen Anzahl von Fehlversuchen muss eine Pause gemacht werden.
Verschlüsselung
Passwörter werden nie unverschlüsselt übertragen.
Passwort-Hash Verfahren
Es werden nur die Hash-Werte der Passwörter gespeichert. Für das eingegebene Passwort wird auch ein Hash berechnet. Die beiden Hashwerte werden verglichen.