22.03.2002

SECURITY

Bildquelle: ORF ON

Microsoft ersetzt Passwörter durch Bilder

Microsoft-Programmierer arbeiten an einem Ersatz für die herkömmliche Authentifizierung per Passwort.

In Zukunft sollen Bilder die Aufgaben der bisherigen Log-ins übernehmen.

Diese Methode könnte nach Ansicht der Forscher zwei wesentliche Vorteile bringen: Nutzer vergessen Bilder nicht so schnell wie Passwörter, und potenzielle Angreifer hätten es schwerer, einen Zugang zu knacken.

Prototyp des neuen Passwortsystems
Darko Kirovski, Kryptographie- und Anti-Piracy-Forscher bei Microsoft, präsentierte am Mittwoch in Mountain View, Kalifornien, den Prototypen des neuen Passwortsystems.

Microsoft Research

Das neue System

Auf einem Bildschirm voll mit Fotos verschiedener Flaggen klickt der Nutzer mit der Maus in einer bestimmten Reihenfolge verschiedene Bereiche des Bildes an.

Diese angeklickten Pixel werden dann der Reihe nach in einen zufälligen Zahlencode umgewandelt und am Computer als Passwort gespeichert.

Der User muss sich nur merken, wo er genau hingeklickt und in welcher Reihenfolge er das getan hat.

"Dictionary attacks" knacken Passwörter und Phrasen
"Ich glaube nicht, dass es möglich ist, sich ein leicht zu merkendes 20-stelliges Passwort auszudenken", sagt Kirovski. Wegen ihrer beschränkten Merkfähigkeit wählen die Leute oft Namen oder einfache Wörter und Phrasen als ihre Passwörter. Nur können diese innerhalb von Minuten durch so genannte "dictionary attacks" geknackt werden, einer Software, die systhematisch alle möglichen Wörter ausprobiert, bis das als Passwort benutzte gefunden ist.

Komplexe Passwörter als "große Sicherheitslüge"

Bilder oder Videos verwenden

Nach Meinung von Kirovski sollte man stattdessen Bilder, je komplexer, desto besser, oder sogar Videos verwenden. Die Bilder müssten dann von einer Software, welche die Bildpunkte in einen Zahlencode umwandelt, bearbeitet werden.

Diese Methode sei einfacher zu merken und sicherer in der Anwendung.

Einziger Schwachpunkt: Auch das neue System kann nicht verhindern, dass einem jemand beim Eintippen beziehungsweise Anklicken über die Schultern schaut.

Bruce Schneier

Problem: Lausige Passwörter

Solche bildbasierten Passwort-Forschungen sind laut dem Kryptographie-Experten Bruce Schneier keineswegs neu.

"In der Security-Community wird schon seit über an einem Jahrzehnt daran gearbeitet. Die Idee, die dahinter steckt, ist, dass sich das menschliche Gehirn Gesichter und Bilder besser einprägen kann als Buchstaben und Zahlen."

Er gehe aber davon aus, dass das Bildsystem vor allem deswegen sicherer wäre, weil die Menschen immer noch so lausige Passwörter wählten.