24.04.2006, 18:18 Uhr
Hüter der Passwörter
Forscher am Fraunhofer Institut wollen mit einer speziellen Passwort-Software die «Post-It-Gefahr» bannen.
Gar mancher Informatik- und Sicherheitschef dürfte auf die Firma 3M nicht allzu gut zu sprechen sein: Denn das US-Unternehmen hat die Haftnotizen Post-It erfunden. So praktisch die selbstklebenden meist gelben Zettel auch sind, sie werden von manchen PC-Anwendern gebraucht, um sich ihre Passwörter zu notieren. Unter IT-Security-Experten grassiert deshalb der Ausdruck «Post-It-Gefahr».
Das Dilemma ist bekannt: Sichere Passwörter bestehen am besten aus Buchstaben, Zahlen und Sonderzeichen. Zudem sind sie lang und werden oft gewechselt. Die Crux: Solche Losungen kann sich niemand merken. Also schreibt man sie sich auf oder speichert sie ab, wodurch sie von Dritten eingesehen werden können.
Eine Lösung des Problems soll der Passwordsitter darstellen, der derzeit am Fraunhofer Institut für Sichere Informations-Technologie (SIT) entwickelt wird. Im Gegensatz zu Konkurrenzsystemen verwaltet der Wächter nicht die Passwörter der Anwender an einem sicheren Ort. Vielmehr generiert das System die Losungen jeweils neu.
Damit schlägt das System mehrere Security-Fliegen mit einer Klappe. Die erzeugten Passwörter sind zum einen sicher, da komplex und lang. Zum anderen werden sie ständig gewechselt. Zudem wird für jeden Dienst ein separates Passwort generiert.
Und so funktionierts: Der Passwordsitter, der als signiertes Java-Applet in den Browser geladen wird und durch ein Masterpasswort gesichert ist, kommuniziert mit einem Server, auf dem die Regeln zur Passworterzeugung hinterlegt sind. Der Anwender wählt einen Dienst aus, bei dem er sich anmelden möchte und flugs generiert ihm die Software ein Passwort, das aus der Zwischenablage kopiert werden kann. In dieser verbleibt die Losung allerdings nur wenige Sekunden, um den Zugriff Dritter zu verhindern. Ist der Nutzer zu langsam beim Kopieren und Einfügen, muss er ein frisches Passwort erzeugen.
Die SIT-Forscher wollen ihren Passworthüter zunächst vor allem Unternehmen schmackhaft machen. Gedacht wird aber auch an eine Verwendung auf Internetportalen. Problem ist hier allerdings noch, dass ja die Gegenstelle mit den generierten Passwörtern etwas anfangen können muss. Eine Demo-Version des Passwordsitter soll in Kürze auf der Webseite der Forscher bereitstehen.