Passwort-Management automatisiert – Behebung der Barriere zwischen End-BenutzerInnen und Web-Diensten

Bachelor-Studiengang IT Security

Philipp Allmer, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Das Passwort ist aktuell eine der wichtigsten Möglichkeiten, um den rechtmäßigen Zugriff von BenutzerInnen auf technische Systemen feststellen zu können. Die Erstellung und die Verwahrung eines Passwortes obliegt den BenutzerInnen. Nun müssen sich Personen immer mehr Passwörter merken und dabei unterschiedliche Richtlinien einhalten. Durch die Komplexität und die Anzahl der Passwörter ist es vielen oftmals nur schwer möglich, die auferlegten Richtlinien einzuhalten: Passwörter werden unter Tastaturen versteckt, mit Arbeitskolleginnen und -kollegen geteilt oder mit Minimalanforderungen erstellt. Die Richtlinien basieren meist auf Vorschlägen renommierter ForscherInnen, sind bereits einige Jahre alt und bedürfen laut aktuellen Studien einer Überarbeitung.

Um BenutzerInnen bei der Erstellung und Verwaltung von Passwörtern zu unterstützen, wurden Passwort-Manager entwickelt. Verschiedene Arten dieser erlauben es, die eigenen Passwörter lokal oder in der Cloud zu speichern. Mit der Zeit wurde das Managen von Passwörtern auch kommerziell betrieben. Die Kombination aus der steigenden Anzahl an Passwörtern und der Regel, dass Passwörter regelmäßig geändert werden sollten, stellt BenutzerInnen von Passwort-Managern mit vielen Passwörtern vor eine Herausforderung: die Änderung aller Passwörter in einem regelmäßigen Abstand.

Ziel

Ziel dieser Arbeit ist es, die Möglichkeiten von End-BenutzerInnen zur automatischen Änderung von Web-basierenden Passwörtern aufzuzeigen und bei Mängeln hinsichtlich der Anpassbarkeit, Verwendbarkeit und Privatsphäre ein alternatives Konzept zu erstellen. Dieses sollte die Schwächen beheben und dabei den BenutzerInnen die Möglichkeit bieten, über die zuvor genannten Kriterien selbst entscheiden zu können.

Ergebnis

Diese Arbeit zeigt auf, dass es lediglich eine proprietäre Lösung für End-BenutzerInnen gibt. Diese ist in der Cloud gespeichert und gibt den AnwenderInnen keinerlei Möglichkeiten zur individuellen Anpassung. So können diese keine weiteren Web-Dienste hinzufügen und sind auf die HerstellerInnen angewiesen. Es wurde eine Alternative für einen Open-Source Passwort-Manager entwickelt, welche es den BenutzerInnen ermöglicht, selbst über die unterstützten Web-Dienste bestimmen zu können und gegebenenfalls eigene Web-Dienste durch die Erstellung von Templates hinzuzufügen. BenutzerInnen können den Quellcode des entwickelten Konzeptes einsehen, zur Entwicklung beitragen, und die eigenen Templates an einer zentralen Stelle veröffentlichen.