Zu schwacher Passwortschutz ist eine der größten Schwachstellen in IT- und Computersystemen. Das macht es für Kriminelle einfach, Passwörter zu knacken und Informationen zu stehlen. Jüngstes Beispiel ist der Klau von rund 80 Millionen Kundendaten bei Sony.
Forscher des Max-Planck-Instituts für Physik komplexer Systeme in Dresden und von Axioma Research in Palo Alto mit einer neuen Methode passwortgeschützte Captchas (p-Captchas) entwickelt. Das soll einen besseren Passwortschutz gewährleisten und Datendiebe ausbremsen.
Schutz vor Brute-Force-Attacken
Foto: Sergej Flach, MPI für Physik komplexer Systeme
Die Kernidee besteht darin, ein Passwort in zwei Komponenten aufzuteilen. Mit dem ersten, leicht zu merkenden Bestandteil verschlüsseln die Forscher ein Captcha: Das Akronym "Captcha" steht für "Completely Automated Public Turing test to tell Computers and Humans Apart". Es handelt sich um ein Bild, das von Schädlingsprogrammen nur sehr schwer zu entziffern ist.
Die zweite Komponente ist eine Zeichenkombination, mit der das Passwort verschlüsselt wird. Das im Captcha codierte Passwort bietet den Forschern zufolge den Nutzern selbst vor Brute-Force-Angriffen ausreichend Schutz.
Beide Komponenten, Passwort und Captcha, kombinierten die Forscher dann in völlig neuer Form.
Captcha und Passwort neu kombiniert
Zum einen wird das Captcha nicht mehr jedes Mal neu erzeugt, um von Fall zu Fall den menschlichen Nutzer von einer Maschine zu unterscheiden. Zum anderen wird ein im Bild enthaltenes Codewort wie "faboo comments" als eigentliches Passwort verwendet, um Zugriff auf ein soziales Netzwerk zu bekommen oder auf ein Online-Banking-System.
Dieses Passwort verschlüsselten die Forscher zudem mit einer Zeichenkombination. Diese kann sehr einfach sein, wodurch sie leicht zu merken ist. Damit berücksichtigen die Forscher die Neigung der meisten Menschen, sich nur einfache Passwörter einprägen zu wollen oder zu können.
Algorithmus macht Passwörter sicherer
Für das neue Verschlüsselungsverfahren entwickelten die Forscher einen speziellen Algorithmus. Dieser basiert auf nicht linearen, chaotischen Dynamiken, kritischen Phasenübergängen, Captcha-Erkennung und rechenbetonten Round-o-Fehlern. So kann sich das Captcha in einem physikalischen Prozess "chaotisch" entwickeln, bis in der Grafik kein Wort mehr zu lesen ist. Dabei oszillieren die Grafik-Pixel so lange in einer zweidimensionalen Gittermatrix miteinander, bis sich Graustufen ergeben. Vergleichbar ist dies mit Phasenübergängen bei ferroelektrischen Materialien.
Diese "unlesbare" Grafik wird dann mit einer Zeichenkombination verschlüsselt und als passwortgeschütztes Captcha (p-Captcha) gespeichert. Ein wesentlicher Vorteil dieses Verfahrens ist den Forschern zufolge, dass der an der Ausgangsgrafik vollzogene chaotische Entwicklungsprozess umkehrbar ist. Er lässt sich mit der Zeichenkombination rückgängig machen, sodass der Nutzer das Passwort wieder lesen kann.
Veröffentlicht sind die Forschungsergebnisse unter dem Titel "The weak password problem: chaos, criticality, and encrypted p-CAPTCHAs" auf den Seiten der Universitätsbibliothek der Cornell Universität im US-Bundesstaat New York.