In Bearbeitung

Bitte warten ...

Einstellungen

Einstellungen

Gehe zu Anmeldung

1. WO2005050417 - INDIVIDUELLE GÜLTIGKEITSDAUER FÜR PASSWORT, PIN UND PASSPHRASE

Anmerkung: Text basiert auf automatischer optischer Zeichenerkennung (OCR). Verwenden Sie bitte aus rechtlichen Gründen die PDF-Version.

[ DE ]

Individuelle Gültigkeitsdauer für Passwort, PIN und Passphrase

Die Erfindung betrifft ein Verfahren zur Zuweisung einer individuellen Gültigkeitsdauer zu einem Passwort eines Benutzers, insbesondere einem Benutzer von Anwendungen und Geräten der Datenverarbeitungstechnik. Der Begriff „Passwort" wird im Rahmen dieser Erfindung gleichbedeutend zu den Begriffen „Passphrase" oder auch „PIN (Personal Identification Number)" verwendet. Ein Passwort ist eine Information zur Authentifizierung, die nur der rechtmäßige Nutzer kennen soll. Es kann beispielsweise aus Ziffern, Buchstaben, Sonderzeichen, grafischen Elementen oder deren Kombination bestehen.

In der heutigen Welt kommen wir täglich mit vielen verschiedenen Authentifizierungssystemen in Berührung, und ein Großteil dieser Systeme verwendet ein Passwortverfahren, um einen Benutzer gegenüber einem System zu authentifizieren. Der richtige Umgang mit Passwortverfahren ist einer der essentiellsten Faktoren bei der Sicherheit von Rechnersystemen und Daten allgemein. Das Passwortverfahren ist das einfachste Authentifikationsverfahren bei Computersystemen, stationären oder mobilen Terminals und im Internet. Der Benutzer wird aufgefordert, sich mit seiner Benutzerkennung / Accountbezeichnung und dem dazugehörigen Passwort zu authentifizieren. Es gibt auch Systeme, die den Benutzer ausschließlich über ein Passwort (d.h. ohne Angabe einer Benutzerkennung oder Accountbezeichnung) authentifizieren. Diesen Prozess bezeichnet man üblicherweise mit Anmelden oder Einloggen. Die Sicherheit dieses Verfahrens beruht hauptsächlich auf der Geheimhaltung und der Qualität des Passworts. Passwörter sind die Grundsteine, die Eckpfeiler der Computer-Sicherheit, aber auch gleichzeitig eine ihrer größten Schwachstellen.

Aber auch modernere Authentifikationsverfahren kommen selten ohne ein Passwort aus. Eine Chipkarte oder ein sonstiges Hard are-Token etwa, werden üblicherweise durch Eingabe einer numerischen PIN freigegeben. Authentifikationsverfahren, die auf Public-Key-Verfahren beruhen und mit Zertifikaten arbeiten, benötigen Passwörter zur Aktivierung der Private Keys.

Gute Passwörter sind jene, die sich von einem Dritten äußerst schwer ermitteln lassen. Eine gutes Passwort sollte aus folgenden Elementen aufgebaut sein:
- Groß- und Kleinbuchstaben
- Zahlen und Sonderzeichen
- und eine Mindestlänge von 8 Zeichen haben.

Der Nutzer muss sich das Passwort entweder im Gedächtnis merken oder aber es auf logisch u./o. physikalisch sichere Weise deponieren, um Dritten den einfachen Zugriff auf die Information zu verwehren. Denkbar wäre beispielsweise die Niederschrift des Passwortes auf einen Zettel, der anschließend in einem Tresor zu deponieren ist. Um ein sicheres Passwort sich merken zu können, gibt es z.B. den Vorschlag, als Passwort die Anfangszeichen der Wörter eines längeren Satzes zu wählen. So ließe sich das Passwort „Iw,d30%v13=3.9i" über den Satz „Ich weiß, dass 30% von 13 gleich 3.9 ist" merken.

Ein Passwort sollte aus Sicherheitsgründen möglichst oft gewechselt werden, weil mit der Zeit die Chance steigt, dass ein Dritter - absichtlich oder zufällig -unbefugt Kenntnis des Passwortes erlangt. Empfohlen wird meist ein Wechsel etwa alle 30 Tage. Hierbei sollte man das Wiederverwenden von alten Passwörtern genauso wie das mehrfache Benutzen desselben Passwortes auf verschiedenen Konten und/oder Rechnern unterlassen. Einige moderne Betriebssysteme erinnern den Nutzer an den Ablauf der Gültigkeit seines Passwortes und fordern ihn rechtzeitig und ggf. mehrfach in regelmäßigen Abständen (z.B. 8 Tage vorab, 7 Tage vorab, ...) auf, sein Passwort zu wechseln.

Bei der Definition eines „sicheren" Passwortes hat ein Benutzer also nahezu konträre Anforderungen zu beachten. Er soll nur möglichst komplexe „kryptische" Passwörter nutzen, er soll diese sicher, das heißt für Dritte unzugänglich speichern oder sich merken und er soll möglichst oft sein aktuelles Passwort wechseln und hierbei ein neues, von ihm bislang nicht verwandtes Passwort wählen. Die Anforderung nach häufigem Wechsel des Passwortes führt in der Praxis entweder zu unsicheren, weil zu simpel aufgebauten Passwörtern oder zu einer unakzeptablen Hinterlegung des Passwortes, z. B. auf einem Notizzettel unter der PC-Tastatur, etc.

Ein weiterer Nachteil der bisher praktizierten Passwortverwaltung ist es, dass ein Benutzer nach einer gewissen Frist, z.B. nach vier / acht / zwölf Wochen, je nach Einstellung im System, vom System automatisch aufgefordert wird, sein Passwort zu wechseln. Die Gültigkeitsdauer eines Passwortes ist in der Regel für alle Benutzer eines Systems gleich lang und unabhängig von der „Qualität" des verwendeten Passwortes. Somit besteht die Gefahr, dass viele Benutzer doch nur relativ simple Passwörter wählen.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren zur Zuweisung eines individuellen Passworts vorzuschlagen, das die Sicherheit bei der Passwortvergabe steigert und den Verwaltungsaufwand in einem Passwortmanagementsystem verringert.

Mit der Erfindung soll allgemein erreicht werden, die Verwendung von sicheren Passwörtern zu vereinfachen und den Benutzer auf diese Weise zu ermuntern, ein sicheres Passwort zu verwenden.

Diese Aufgabe wird erfindungsgemäß durch das in Anspruch 1 angegebene Verfahren gelöst.

Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.

Die Erfindung basiert generell auf folgendem Ablauf:
Der Benutzer eines Datenverarbeitungssystems oder einer Anwendung definiert bei erstmaliger Anmeldung ein Passwort seiner Wahl. Das System ermittelt auf Basis einer internen Bewertungsfunktion (Evaluationsfunktion) automatisch das Sicherheitsniveau des Passwortes.

In bevorzugter Weise wird das Sicherheitsniveau des Passwortes insbesondere anhand von einem oder mehreren der folgenden Kriterien bestimmt: der Länge des Passworts, der Art der verwendeten Zeichen sowie der semantischen Bedeutung des Passwortes insgesamt oder von Teilen des Passwortes.

Das System sollte daher insbesondere prüfen, ob das Passwort gegen sogenannte „Wörterbuchattacken" gefeit ist, also ob es Bestandteile enthält, die in einem landessprachlichen oder auch fremdsprachlichen Wörterbuch vorkommen.

Ein wesentliches Merkmal der Erfindung ist, dass das System in Abhängigkeit des ermittelten Sicherheitsniveaus des Passwortes automatisch die Gültigkeitsdauer dieses Passwortes festlegt. Das heißt, sehr sichere Passwörter dürfen z.B. einige Monate, weniger sichere Passwörter z.B. gar nicht oder nur einige Tage oder Wochen genutzt werden.

In einer bevorzugten Ausgestaltung der Erfindung werden dem Benutzer vor der Zuweisung des Passwortes dessen ermittelte Güteklasse und/oder Gültigkeitsdauer angezeigt, so dass der Benutzer individuell an Hand der Güteklasse und/oder Gültigkeitsdauer entscheiden kann, ob er das Passwort nutzen will oder nicht. Akzeptiert der Benutzer die Bewertung, so wird ihm das Passwort mit der entsprechenden Gültigkeitsdauer zugewiesen.

In einer bevorzugten Ausgestaltung der Erfindung wird der Benutzer rechtzeitig, in der Regel kurz vor Ablauf der Gültigkeit eines Passwortes automatisch vom System aufgefordert, ein neues Passwort seiner Wahl zu definieren. Hierbei überprüft das System automatisch die Passwortvergangenheit, das heißt ein neues Passwort darf keine Übereinstimmung mit den vergangenen Passwörtern zeigen. Es kann dabei ein Vergleich des neuen Passwortes mit den letzten x Passwörtern des Nutzers bzw. der Passwörter des Nutzers aus dem vergangenen Zeitraum y bzw. eine Kombination hiervon durchgeführt werden. Liegt eine Übereinstimmung vor, so wird das Passwort zurückgewiesen.

Im Rahmen der Er indung können dem Nutzer Hinweise gegeben werden, wie er ein einzelnes Passwort sicher wählen und sich merken kann. Zum Beispiel das Passwort „Iw,d30%v13=3.9i", welches sich über den Satz „Ich weiß, dass 30% von 13 gleich 3.9 ist" merken ließe.

Mit anderen Worten geht es bei der Erfindung darum, die Gültigkeitsdauer des Passwortes nicht für alle Nutzer und alle möglichen Passwörter konstant, z. B. vier Wochen, sondern individuell in Abhängigkeit von der Güte des Passwortes festzulegen.

Ziel der Erfindung ist es somit, den Nutzer zu motivieren, ein Passwort mit höherer Güte zu wählen, weil er dann sein Passwort länger nutzen darf und nicht so schnell vom System gezwungen wird, sein Passwort zu wechseln. Auf diese Weise steigt darüber hinaus auch die Sicherheit des Systems insgesamt, insbesondere wenn viele Nutzer ein Passwort mit höherer Güte gewählt haben, so dass auch der Systemverwalter von der Erfindung profitieren kann.

Die Vorteile der Erfindung liegen auf der Hand. Mitarbeiter, die sich ein sehr sicheres Passwort wählen, werden vom System belohnt, indem die Gültigkeit des Passwortes verlängert wird. Danach muss auch dieses Passwort geändert werden. Schlechtere Passwörter wie z. B „Maria123" haben eine vergleichsweise kurze Gültigkeit. Ganz schlechte Passwörter wie „Maria" werden ggf. gar nicht akzeptiert. Den Benutzern wäre entsprechend zu kommunizieren, dass sie für gute Passwörter in dieser Weise belohnt werden, um einen Anreiz zu schaffen, auch wirklich sichere Passwörter zu wählen.

Insgesamt steigt die Sicherheit, da ein sicheres Passwort exponentiell besser als ein schlechtes Passwort ist, die Verlängerung der Gültigkeitsdauer aber dem nur linear entgegensteht. Darüber hinaus steigt die Sicherheit für Unternehmen, in denen ein solches Passwortmanagement durchgeführt wird, insgesamt.

Der Benutzer muss sich weniger oft mit neuen Passwörtern belasten, das spart im Prinzip Zeit und Energie. Da der Benutzer eines sicheren Passwortes durch eine längere Gültigkeitsdauer seines Passwortes belohnt wird, entlastet dies auch die Passwortadministratoren, da in der Regel häufigerer Wechsel zu häufigerem Vergessen der Passwörter bei den Nutzern und somit zu verstärkten Nachfragen bei der Systemadministration führt, das spart ebenfalls im Prinzip Zeit, Energie und auch Kosten.

Anhand eines Ablaufdiagramms gemäß Figur 1 wird nun ein einfaches Ausführungsbeispiel der Erfindung näher erläutert.

Es sei angenommen, dass ein Benutzer ein Computersystem benutzen will, für das ein Passwort erforderlich ist. Zu Beginn (Schritt 1), also bei der erstmaligen Benutzung des Systems wird der Benutzer aufgefordert, ein persönliches Passwort zu kreieren und in das System einzugeben (Schritt 2). Entsprechendes gilt bei Wunsch oder Notwendigkeit, das bisherige Passwort du rch ein neues Passwort abzulösen.

Das Computersystem verfügt zum Beispiel über ein auf Hardware und / oder Software basierendes Passwortmanagementsystern. Das

Passwortmanagementsystem sei so gestaltet, dass es eine systeminterne Bewertungsfunktion, die das vom Benutzer eingegebene Passwort bewertet und einer Güteklasse - z.B. aus mehreren vorgegebenen Güteklassen - zuordnet, umfasse (Schritt 3). Je höher die Güteklasse ist, desto höher ist das Sicherheitsniveau des Passwortes beziehungsweise dessen sicherheitsbezogene Qualität.

Ein einfaches Beispiel für eine Güteklassifizierung kann folgendermaßen aussehen:

Güteklasse 0 „unsicher"
Güteklasse 1 „wenig sicher"
Güteklasse 2 „akzeptabel sicher"
Güteklasse 3 „sicher"
Güteklasse 4 „sehr sicher"

Dieses Beispiel soll nur dem Verständnis einer solchen Klassifizierung dienen. In der Praxis mag die konkrete Ausprägung einer Güteklassifizierung eine andere sein.

Nachfolgend ist ein einfaches Beispiel für die Zuordnung einer Güteklasse zu einem Passwort angegeben (auch dieses Beispiel soll nur dem Verständnis einer solchen Zuordnung dienen):

Die Bewertungsfunktion gibt für Passwörter mit höchstens vier Zeichen oder für Passwörter, die nur aus Buchstaben bestehen, 0 Punkte.

Wenn das Passwort mindestens 5 Zeichen enthält, gibt die Bewertungsfunktion je 1 Punkt pro Zeichen des Passwortes und zusätzlich je 2 Punkte pro verwendetes Sonderzeichen.

Beispielsweise erhält das Passwort „Morgenlrot" bei dieser Art der Bewertung 10 Punkte, da es aus 10 Zeichen ohne Sonderzeichen besteht. Das Passwort „M%r§e$n" erhält 13 Punkte, da es aus 7 Zeichen inklusive 3 Sonderzeichen (7 + 3*2 = 13) besteht. Die Passwörter „Mondschein" oder „Mo%d" würden 0 Punkte erhalten.

Anhand der Punktezahl können die Passwörter einer der oben genannten Güteklasse zugeordnet werden, beispielsweise auf folgende Weise (auch dieses Beispiel soll nur dem Verständnis einer solchen Zuordnung dienen):

- Passwörter mit 0 Punkten werden der Güteklasse 0 zugeordnet, sind also „unsicher".
Passwörter mit bis zu 8 Punkten werden der Güteklasse 1 zugeordnet, sind also "wenig sicher".
Passwörter mit 9 bis 12 Punkten werden der Güteklasse 2 zugeordnet, sind also „akzeptabel sicher".
Passwörter mit 13 bis 16 Punkten werden der Güteklasse 3 zugeordnet, sind also „sicher".
Passwörter mit mindestens 17 Punkten werden Güteklasse 4 zugeordnet, sind also „sehr sicher".

In der Praxis sollte die Bewertungsfunktion einen Wörterbuch-Check enthalten und zusätzlich auch die Passwort-Vergangenheit (History) des Nutzers auswerten, um zu verhindern, dass der Nutzer ein früher von ihm bereits verwendetes und inzwischen ungültig gewordenes Passwort erneut verwendet.

Passwörter mit zu geringer Güteklasse werden vom System vorzugsweise unmittelbar zurückgewiesen. Zum Beispiel werden alle Passwörter mit Güteklasse 0 (bezogen auf obiges Beispiel) nicht akzeptiert. Der Benutzer wird aufgefordert, ein anderes Passwort einzugeben (Schritt 4).

Wird das Passwort vom System angenommen, dann wird in Abhängigkeit der ermittelten Güteklasse des Passworts automatisch eine maximale Gültigkeitsdauer des Passwortes festgelegt (Schritt 5).

Bei der Verwendung der oben geschilderten Güteklassen kann die Gültigkeitsdauer eines Passwortes z. B. folgendermaßen festgelegt werden: Gültigkeitsdauer in Wochen = 2 * Güteklasse. Das heißt ein „wenig sicheres" Passwort der Güteklasse 1 hat nach obigem Beispiel eine Gültigkeitsdauer von 2*1 , also zwei Wochen, und ein „sehr sicheres" Passwort der Güteklasse 4 darf 2*4 Wochen, also acht Wochen verwendet werden. Auch dieses Beispiel soll nur dem Verständnis einer solchen Zuordnung d ienen. Natürlich kann die Gültigkeitsdauer anhand einer beliebigen mathematischen oder sonstigen Beziehung aus der Güteklasse ermittelt werden oder anhand einer Tabelle festgelegt sein.

Optional kann nun dem Benutzer die ermittelte Güteklasse und maximale Gültigkeitsdauer seines soeben kreierten Passwortes mitgeteilt werden (Schritt 6). Der Nutzer kann individuell an Hand der angezeigten Güteklasseklasse bzw. an Hand der individuellen Gültigkeitsdauer entscheiden, ob er das Passwort wirklich nutzen will oder nicht (Schritt 7). Falls er das Passwort nicht benutzen will, wird der Benutzer zur Eingabe eines neuen Passworts aufgefordert (Schritt 2).

Falls er das Passwort nutzen will, weist das System dem Nutzer das soeben kreierte Passwort mit entsprechender Gültigkeitsdauer zu (Schritt 8). Der Nutzer kann das Passwort solange verwenden, bis die Gültigkeitsdauer abgelaufen ist (Schritt 9). Das Verfahren ist danach beendet (Schritt 10).

Optional ist vorgesehen, dass der Benutzer rechtzeitig, in der Regel kurz vor dem Ablauf der Gültigkeitsdauer des Passwortes vom System automatisch aufgefordert werden kann, sein Passwort zu wechseln und ein neues Passwort zu kreieren. Ebenso kann der Nutzer zu jedem beliebigem Zeitpunkt auf eigenen Wunsch sein Passwort wechseln. Das Verfahren wird jeweils ab Schritt 2 erneut ausgeführt.

Chipkarten (oder andere Hardware-Tokens) haben üblicherweise keinen internen Timer. Zudem ist die PIN üblicherweise rein numerisch. Aber selbst dann ließe sich obiges Verfahren sinngemäß nutzen, um zu erreichen, dass der Kunde seine PIN wechselt und einen Anreiz erhält, eine sichere(re) PIN zu wählen: • Auch wenn Chipkarten keine internen Timer haben sollten, ist es aber doch möglich, interne Prozeduren, die gewissen Events zugeordnet sind, zu zählen. So beschreibt die DE 198 18 830 A1 die Erfassung der Anzahl der in der Chipkarte ausgeführten Authentifizierungsprozeduren. Denkbar wäre es auch, die Anzahl von Schreibzugängen auf gewissen Datenfeldern in der

Chipkarte zu erfassen z. B. auf das Datenfeld „Last Number Dialied", um auf diese Weise die Anzahl der abgehenden Gespräche zu kontrollieren. Weitere Möglichkeiten bestünden darin, die Anzahl der PIN-Abfragen bzw. die Anzahl entweder der richtigen oder der falschen oder aller PIN- Eingaben zu erfassen.
• Wenn nun ein solcher hierfür ausgewählter Zähler in der Chipkarte einen gewissen Grenzwert erreicht oder überschritten hat, könnte der Nutzer zur Änderung der PIN aufgefordert werden. Hierzu wertet die Applikation (etwa im mobilen Endgerät) den ausgewählten Zähler in der Chipkarte bzw. den zugehörigen Status der Chipkarte aus und zeigt dem Nutzer dann, wenn der Zähler einen Grenzwert erreicht oder überschritten hat, die entsprechende Eingabemaske zur Änderung der PIN an (üblicherweise zunächst Eingabe der bisherigen PIN, dann Eingabe einer neuen PIN sowie Bestätigung durch erneute Eingabe dieser neuen PIN). Die Chipkarte speichert dann diese neue PIN und setzt den ausgewählten Zähler und zugehörigen Status zurück.
• Chipkarten sind darüber hinaus auch von außen ansprechbar (z. B. über OTA-Prozeduren). Es wäre somit auch denkbar, den o.a. ausgewählten Zähler von außen zu beeinflussen und soweit hochzuzählen, dass ein gewisser Grenzwert erreicht wird und der Nutzer wiederum, wie soeben beschreiben, zur Änderung der PIN aufgefordert wird
• Auch wenn die PIN rein numerisch ist, sind üblicherweise unterschiedliche Längen (etwa 4 bis 8-stellig) zugelassen.
• Die Bewertungsfunktion für numerische PIN berücksichtigt daher insbesondere die Länge der PIN, da offensichtlich die PIN grundsätzlich desto sicherer wird je länger sie vom Nutzer gewählt wird.

Wählt der Nutzer nun eine sicherere, sprich längere PIN, so könnte der Grenzwert hochgesetzt werden. Der Nutzer würde daher in der Regel (ähnliches Nutzungsverhalten der Karte wie bislang vorausgesetzt) erst später erneut zu einem PIN-Wechsel aufgefordert werden. Somit hätte der Nutzer auch hier, also bei der Nutzung einer Chipkarte, deren Zugang durch rein numerische PINs geschützt ist, den grundsätzlichen Vorteil, die sicherere PIN länger als eine weniger sicherere PIN nutzen können. Dies würde erst recht für Chipkarten oder sonstige Hardware-Tokens gelten, deren Zugang nicht nur mit rein numerischen, sondern beispielsweise mit alphanumerischen PIN geschützt sind.