|
Tintenklekse machen Passwörter sicher Veröffentlicht am: 21.07.2003 09:57:27 Die Psyche als Passwortgenerator Eigentlich kennt man das Prinzip nur vom Psychologen - ein Papier wird mit Tinte beträufelt und zusammengefaltet. Es entsteht eine symetrische Figur, die vom Betrachter gedeutet werden soll. Anhand dieser Deutung soll dann die Psyche des Patienten offentgelegt werden. Das klappt vielleicht nicht immer so, wie es sich der Psychologe vorstellt, trotzdem sieht jeder Mensch seine ganz eigene Interpretation in einem Tintenkleks. Diesen Umstand macht sich Adam Stubblefield vom Microsoft Research Team zu Nutze und will daraus eine neue Art der Passwort-Generierung entwickeln. Noch immer besteht der Großteil der eingesetzten Passwörter aus Namen, Geburtsdaten oder kurzen, einfach zu merkenden Zahlenkombinationen, die durch Brute Force innerhalb kürzester Zeit geknackt werden können. Mit den Tintenkleksen sollen solche Wörter der Vergangenheit angehören. Ein Computerprogramm, das in der Lage ist eine unendliche Zahl von unterschiedlichen Tintenkleksen zu erzeugen, legt dem Anwender 10 Bilder vor. Dieser muss jedem Bild einen Namen geben - bei 10 Tintenkleksen soll es nun, so hofft Stubblefield, nahezu unmöglich sein, dass die gleiche Namens-Kombination mehrmals entsteht. Das Passwort wird dann zusammengesetzt aus jeweils dem ersten und dem letzten Buchstaben des Bildnamens. Somit ergibt sich ein 20 Zeichen langes Wort aus scheinbar sinnlos zusammenhängenden Buchstaben. In der Theorie einleuchtend - in der Praxis muss sich solch ein Verfahren allerdings erst beweisen. In seinen Tests nahm Stubblefield leider nur eine kleine Zahl von Versuchspersonen. Lediglich 25 Tester sollten seine Theorie umsetzen. Man legte jedem die gleichen 10 Bilder vor und ließ die Passwörter zusammenstellen. Am nächsten Tag wurden sie aufgefordert die Passwörter mit Hilfe der Bilder zu wiederholen, was immerhin noch 20 der Testpersonen schafften. Nachdem sie in dem Kleks einmal eine bestimmte Figur erkannten, sahen sie diese auch bei späteren Versuchen noch. 18 von ihnen wussten das Passwort auch noch eine Woche später. Stubblefield ist zuversichtlich, dass mit weniger Bildern eine 100 Prozentige Wiedererkennungsrate gegeben ist - das Passwort aber immernoch viel länger und sicherer ist, als typische Wörter. Fraglich ist nur, ob in einem Feldversuch mit Hunderten von Menschen, die Testpersonen bei jeder Passworteingabe Stift und Zettel zur Hand nehmen und die Prozedur der Namensvergebung durchführen oder sich einfach das x-Zeichen lange Wort merken oder separat notieren. Microsoft Research Ink Blots AlexG |