Passwortwiederverwendung: Die Vergangenheit schlägt zurück

Master-Studiengang Information Security

Dipl.-Ing. Philipp Allmer, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Ein weiterer Tag, ein weiteres Daten-Leck: Immer häufiger werden wir mit der Tatsache von neu entdeckten Passwort-Daten-Lecks konfrontiert. Die Chance, die eigenen Zugangsdaten darin finden zu müssen, steigt, da auch große Internet-Dienste davor nicht gefeit sind. Werden diese Zugangsdaten auch in Institutionen wiederverwendet, birgt dies ein enormes Risiko und kann unvorhergesehene Kettenreaktionen zur Folge haben.

Vergangene wissenschaftliche Arbeiten beschäftigten sich bereits umfassend mit diesem heiklen Thema und konnten einige suboptimale Verhaltensweisen aufdecken. Doch spiegelt solch ein schwaches Passwort-Verhalten die Realität in österreichischen Institutionen wieder und können diese Passwort-Daten-Lecks zum eigenen Widersacher werden? 

Ziel

Ziel dieser Arbeit ist die Möglichkeit zu schaffen, schwaches Passwort-Verhalten und die Nutzung öffentlich bekannter Passwörter in Institutionen auf sicherem Wege identifizieren und eine Aussage bezüglich der Betroffenheit in österreichischen Umfeld aufstellen zu können. Dafür können zusätzlich eingeschränkte Informationen von Internet-Diensten wie Have-I-Been-Pwned abgerufen werden. Um jedoch tiefer in die Unweiten von Passwort-Daten-Lecks eintauchen zu können, wurde eine zentrale Sammlung solcher Daten konzipiert und umgesetzt.

Ergebnis

Im Zuge dieser Arbeit wurde ein umfangreiches Konzept zur sicheren vor Ort-Überprüfung in Institutionen entwickelt, durch welches die Nutzung schwacher oder öffentlich bekannter Passwörter identifiziert werden kann. Um eine Aussage bezüglich etwaig schwachen Passwort-Verhaltens aufstellen zu können, wurde das Konzept in fünf Windows-Umgebungen österreichischer Institutionen mit unterschiedlichen Größen getestet. Die Ergebnisse bestätigten die verheerenden Wirkungen von zu kurzen Passwort-Änderungszyklen sowie das Fehlen von inhaltlichen Passwort-Vorgaben, da die betroffenen BenutzerInnen vermehrt schwache und öffentlich bekannte Passwörter bevorzugten.

Es konnte eine zentrale Datenbank entwickelt werden, welche die Aufnahme bislang gesammelter Passwort-Daten-Lecks sowie eine zeitsparende Abfrage dieser Daten erlaubt.

Das Thema wird bis zur kompletten Abschaffung des Passworts ein unangenehmer Wegbegleiter sein und bietet noch zahlreiche Möglichkeiten zur Gewinnung neuer Erkenntnisse.