DE102013215407A1 - Verfahren zur Erhöhung der Sicherheit von Passwörtern - Google Patents

Verfahren zur Erhöhung der Sicherheit von Passwörtern Download PDF

Info

Publication number
DE102013215407A1
DE102013215407A1 DE102013215407.0A DE102013215407A DE102013215407A1 DE 102013215407 A1 DE102013215407 A1 DE 102013215407A1 DE 102013215407 A DE102013215407 A DE 102013215407A DE 102013215407 A1 DE102013215407 A1 DE 102013215407A1
Authority
DE
Germany
Prior art keywords
password
pattern
static
finite
dynamic part
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102013215407.0A
Other languages
English (en)
Inventor
Kai Tödter
Timo Wolf
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102013215407.0A priority Critical patent/DE102013215407A1/de
Publication of DE102013215407A1 publication Critical patent/DE102013215407A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Document Processing Apparatus (AREA)

Abstract

Die Erfindung betrifft im Wesentlichen ein Verfahren zur Erhöhung der Sicherheit von Passwörtern, bei dem ein Passwort dadurch gebildet wird, dass vom Benutzer ein Muster mit mindestens einem statischen und mindestens einem dynamischen Teil festgelegt wird, dass der mindestens eine statische Teil des Passworts zumindest für eine gewisse Zeit unverändert bleibt und dass der mindestens eine dynamische Teil durch zyklische Auswahl einer bestimmten Anzahl von Zeichen aus einer endlichen Zeichenfolge oder durch zyklische Auswahl einer jeweiligen Zeichenkette aus einer endlichen Liste von beliebigen Zeichenketten gebildet wird und bei dem das Passwort dadurch auf Richtigkeit überprüft wird, dass ein zu überprüfendes Passwort mit Hilfe des Musters in mindestens einen statischen und in mindestens einen dynamischen Teil des zu überprüfenden Passwortes getrennt und diese Teile mit den entsprechenden Teilen des jeweils aktuell gültigen Passwortes verglichen werden. Der Vorteil hierbei ist, dass eine deutliche Sicherheitssteigerung ohne zusätzliche Hardware, wie bspw. Tokencards, nur durch eine reine Software-Lösung erreicht wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Erhöhung der Sicherheit von Passwörtern, bei dem ein Passwort aus einem vom Benutzer ausgedachten Passwortanteil und einem weiteren Anteil gebildet wird.
  • Heutzutage werden in vielen Situationen Passwörter verwendet, zum Beispiel auf Web-Seiten, aber auch bei Geldautomaten oder anderen elektronischen Geräten. Vor allem die Sicherheit von statischen bzw. immer gleichen Passwörtern ist jedoch durchaus problematisch.
  • Das Problem wird bislang damit gelöst, dass der Benutzer im Besitz einer sogenannten Tokenkarte ist, auf der eine Zeichenfolge sichtbar ist, die sich in einem bestimmten Zeitintervall ändert, und dass das Passwort aus einer Kombination eines vom Benutzer ausgedachten Teilpasswortes und des gerade angezeigten Tokens gebildet wird.
  • Die der Erfindung zu Grunde liegende Aufgabe besteht nun darin, ein Verfahren zur Erhöhung der Sicherheit von Passwörtern anzugeben, bei dem möglichst auch ohne zusätzliche Hardware eine deutliche Sicherheitssteigerung erreicht wird.
  • Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 erfindungsgemäß gelöst. Die weiteren Ansprüche betreffen bevorzugte Ausgestaltungen der Erfindung, ein Computerspeichermedium und eine Vorrichtung zur Durchführung dieses Verfahrens.
  • Die Erfindung betrifft im Wesentlichen ein Verfahren zur Erhöhung der Sicherheit von Passwörtern, bei dem ein Passwort dadurch gebildet wird, dass vom Benutzer ein Muster mit mindestens einem statischen und mindestens einem dynamischen Teil festgelegt wird, dass der mindestens eine statische Teil des Passworts zumindest für eine gewisse Zeit unverändert bleibt und dass der mindestens eine dynamische Teil durch zyklische Auswahl einer bestimmten Anzahl von Zeichen aus einer endlichen Zeichenfolge oder durch zyklische Auswahl einer jeweiligen Zeichenkette aus einer endlichen Liste von beliebigen Zeichenketten gebildet wird und bei dem das Passwort dadurch auf Richtigkeit überprüft wird, dass ein zu überprüfendes Passwort mit Hilfe des Musters in mindestens einen statischen und in mindestens einen dynamischen Teil des zu überprüfenden Passwortes getrennt und diese Teile mit den entsprechenden Teilen des jeweils aktuell gültigen Passwortes verglichen werden. Der Vorteil hierbei ist, dass eine deutliche Sicherheitssteigerung ohne zusätzliche Hardware, wie bspw. Tokencards, nur durch eine reine Software-Lösung erreicht wird.
  • Nachfolgend wird die Erfindung anhand von in der Zeichnung dargestellten Ausführungsbeispielen näher erläutert.
  • Mit dem erfindungsgemäßen Verfahren wird ein Konzept vorgestellt, dass die Sicherheit von Passwörtern deutlich erhöht, indem auch hier eine dynamische Komponente eingeführt wird.
  • Die Figur zeigt zur Erläuterung des erfindungsgemäßen Verfahrens beispielhaft wie aus einer Liste L mit bspw. vier Zweiergruppen 1 bis 4 von Zeichen ein zweites Passwort PW2, das aus einem ersten statischen Teil S1, einem aus der zweiten Zweiergruppe 2 der Liste stammenden dynamischen Teil D und einem zweiten statischen Teil S2 besteht, gebildet wird.
  • Ein Benutzer wählt aus einer gegebenen Menge von Mustern ein bestimmtes Muster bzw. Format aus, hier z.B. das Muster <ssss><dd><ssss>, wobei ein „s“ hier für eine Stelle eines statischen Anteils und „d“ für eine Stelle eines dynamischen Anteils im Passwort steht.
  • Nun bestimmt der Benutzer eine Zeichenfolge, aus der der zweistellige dynamische Anteil <dd> hergeleitet werden soll.
  • Um es sich gut merken zu können, wählt der Benutzer bspw. das Geburtsdatum seiner Frau, z.B. 13.08.1970, als Zahlenfolge also 13081970. Aus Dieser Zahlenfolge werden dann später bspw. jeweils 2 Ziffern <dd> in den dynamischen Teil des Musters eingefügt, also für das erste Passwort „13“, für das zweite „08“, usw. Wenn die Liste abgearbeitet ist, beginnt die Auswahl dann wieder von vorne bzw. sie wird einfach zyklisch fortgesetzt. Hieraus wird auch deutlich, dass die Sicherheit durch längere Listen vergrößert werden kann.
  • Für die ersten statischen Teil <ssss> wählt der Benutzer bspw. „blau“, für den zweiten statischen Teil <ssss> wählt er bspw. „yo!!“. Das erste gültige Passwort wäre in diesem Fall also „blau13yo!!“.
  • Nachdem sich der Benutzer mit diesem Passwort erfolgreich identifiziert hat, würde ein weiterer Versuch mit diesem Passwort fehlschlagen, nur das Passwort „blau08yo!!“ würde erfolgreich sein.
  • Ein solches Muster oder Format kann allgemein ein oder mehrere statische und ein oder mehrere dynamische Teile bzw. Anteile aufweisen.
  • Zur Festlegung des Musters ist hier ein festvorgegebenes Muster, eine Liste von auswählbaren Mustern oder ein frei bestimmbares Muster denkbar.
  • Die statischen Teile des Passworts werden entsprechend ihrer Stellen zumindest für eine gewisse Zeit mit den gleichen Zeichenkombinationen belegt.
  • Die dynamischen Teile werden hingegen bspw. durch zyklische Auswahl einer dem Muster entsprechenden Stellenzahl, bspw. 2 im Falle von <dd>, aus einer endlichen Zeichenfolge gebildet.
  • Ferner kann ein dynamischer Anteil alternativ auch durch zyklische Auswahl aus einer Liste von beliebigen Zeichenketten, z.B. „rot“, „grün“, „blau“, „gelb“, gebildet werden, wobei hier der dynamische Teil sogar eine nicht einheitliche Stellenzahl aufweisen kann.
  • Ferner kann ein dynamischer Anteil bspw. auch aus dem aktuellen Monat als zweistellige Ziffernfolge gebildet werden.
  • In entsprechender Weise erfolgt dann auch eine Überprüfung, wobei ein zu überprüfendes Passwort mit Hilfe des Musters in mindestens einen statischen und in mindestens einen dynamischen Teil des zu überprüfenden Passwortes getrennt und diese Teile mit den entsprechenden Teilen des jeweils aktuell gültigen Passwortes auf entsprechende Übereinstimmung verglichen werden.
  • Optional kann das Verfahren auch einen Hinweismechanismus beinhalten, der dem Benutzer vorab, bevor das Passwort eingegeben wird, den mindestens einen dynamische Teil des zuletzt verwendeten Passwortes zur Verfügung stellt. Wenn also bspw. die endliche Zeichenfolge wie im ersten Beispiel 13081970 ist, könnte der Hinweis „19“ sein, wodurch der Benutzer weiß, dass jetzt „70“ der aktuell gültige dynamische Teil sein muss.
  • Das erfindungsgemäße Verfahren tritt an die Stelle einer bisher üblichen Prozedur zur Vereinbarung eines gewünschten Passworts und auch an die Stelle einer bisher üblichen Prozedur für die spätere Verifikation dieses Passworts.
  • Das erfindungsgemäße Verfahren wird dabei entweder in zwei für die Passworterstellung und die Passwortüberprüfung getrennten sicheren Applikationsprogrammen oder aber in einem gemeinsamen sicheren Applikationsprogramm realisiert. Die Applikationsprogramme somit auch in entsprechenden getrennten bzw. unterschiedlichen Geräten oder aber auf ein und demselben Gerät ablaufen.
  • Bei einer sicheren Applikation zur Durchführung des erfindungsgemäßen Verfahrens sollte zumindest die endliche Zeichenfolge bzw. endliche Liste von beliebigen Zeichenketten verschlüsselt gespeichert sein, damit eine Lokalisation bzw. einfache Entnahme aus dem Programmcode verhindert wird.
  • Sowohl die Applikation zur Passworterstellung als auch die Applikation zur Überprüfung kann auf einem Gerät, wie bspw. einem Smartphone oder Tablet, oder aber über eine sichere Internetverbindung auf einem entsprechenden Server laufen. Weiterhin muss der Benutzer vor allem auf sichere Weise den dynamischen Anteil bestimmen können.

Claims (7)

  1. Verfahren zur Erhöhung der Sicherheit von Passwörtern, bei dem ein Passwort dadurch gebildet wird, – dass vom Benutzer ein Muster mit mindestens einem statischen und mindestens einem dynamischen Teil festgelegt wird, – dass der mindestens eine statischen Teil des Passworts entsprechend seiner jeweiligen Stellenzahl belegt wird und zumindest für eine gewisse Zeit unverändert bleibt und – dass der mindestens eine dynamische Teil durch zyklische Auswahl einer bestimmten Anzahl von Zeichen aus einer endlichen Zeichenfolge bzw. durch zyklische Auswahl einer jeweiligen Zeichenkette aus einer endlichen Liste von beliebigen Zeichenketten gebildet wird und bei dem das Passwort dadurch auf Richtigkeit überprüft wird, – dass ein zu überprüfendes Passwort mit Hilfe des Musters in mindestens einen statischen und in mindestens einen dynamischen Teil des zu überprüfenden Passwortes getrennt und diese Teile mit den entsprechenden Teilen des jeweils aktuell gültigen Passwortes auf Übereinstimmung überprüft werden.
  2. Verfahren nach Anspruch 1, bei dem, bevor das Passwort zur Überprüfung eingegeben wird, dem Benutzer vorab der mindestens eine dynamische Teil des zuletzt verwendeten Passwortes zur Verfügung gestellt wird.
  3. Verfahren nach Anspruch 1 oder 2, bei dem das Muster mit Hilfe eines fest vorgegebenen Musters festgelegt wird.
  4. Verfahren nach Anspruch 1 oder 2, bei dem das Muster mit Hilfe eines aus einem aus einer Liste von Mustern auswählbaren Musters vom Benutzer festgelegt wird.
  5. Verfahren nach Anspruch 1 oder 2, bei dem das Muster vom Benutzer frei bestimmbar festgelegt wird.
  6. Computerspeichermedium mit einer sicheren Applikation zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, bei dem zumindest die endliche Zeichenfolge bzw. endliche Liste von beliebigen Zeichenketten verschlüsselt gespeichert ist.
  7. Vorrichtung zur sicheren Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, bei dem ein Applikationsprogramm zur Bildung des Passworts auf einem lokalen Gerät oder über eine sichere Internetverbindung auf einem Dienstleistungsrechner durchführbar ist und/oder ein Applikationsprogramm zur Überprüfung des Passworts auf diesem oder einem weiteren lokalen Gerät oder über eine sichere Internetverbindung auf diesem Dienstleistungsrechner durchführbar ist.
DE102013215407.0A 2013-08-06 2013-08-06 Verfahren zur Erhöhung der Sicherheit von Passwörtern Ceased DE102013215407A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013215407.0A DE102013215407A1 (de) 2013-08-06 2013-08-06 Verfahren zur Erhöhung der Sicherheit von Passwörtern

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013215407.0A DE102013215407A1 (de) 2013-08-06 2013-08-06 Verfahren zur Erhöhung der Sicherheit von Passwörtern

Publications (1)

Publication Number Publication Date
DE102013215407A1 true DE102013215407A1 (de) 2015-02-12

Family

ID=52388728

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013215407.0A Ceased DE102013215407A1 (de) 2013-08-06 2013-08-06 Verfahren zur Erhöhung der Sicherheit von Passwörtern

Country Status (1)

Country Link
DE (1) DE102013215407A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016160837A1 (en) * 2015-03-30 2016-10-06 At&T Intellectual Property I, L.P. Time-varying passwords for user authentication
CN110048834A (zh) * 2019-03-12 2019-07-23 深圳壹账通智能科技有限公司 动态密码发送方法、装置及计算机可读存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016160837A1 (en) * 2015-03-30 2016-10-06 At&T Intellectual Property I, L.P. Time-varying passwords for user authentication
US9842205B2 (en) 2015-03-30 2017-12-12 At&T Intellectual Property I, L.P. Time-varying passwords for user authentication
CN110048834A (zh) * 2019-03-12 2019-07-23 深圳壹账通智能科技有限公司 动态密码发送方法、装置及计算机可读存储介质

Similar Documents

Publication Publication Date Title
DE102012014039A1 (de) System zur Nutzung von Spielautomaten
EP2417549B1 (de) Verfahren und vorrichtung zum sicheren eingeben eines zugangscodes für einen sicheren zugang zu einem elektronischen dienst
DE102013215407A1 (de) Verfahren zur Erhöhung der Sicherheit von Passwörtern
EP2043021A1 (de) Onlinebankingsystem und Onlinebankingverfahren zur datentechnisch gesicherten elektronischen Kommunikation
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
DE10050734A1 (de) Verfahren und Vorrichtung zur Zugangscodeermittlung
DE102014016606A1 (de) Verfahren zum Überprüfen der Gültigkeit eines Tickets; mobile Einrichtung
EP2210241B1 (de) Daten verarbeitende vorrichtung und verfahren zum betreiben einer daten verarbeitenden vorrichtung
DE102016105830A1 (de) Authentifizierungsverfahren und Server
AT413775B (de) Verfahren zur sicheren anmeldung an ein technisches system
DE102013102092B4 (de) Verfahren und Vorrichtung zum Authentifizieren von Personen
EP2492838A1 (de) Verfahren zum Schutz vor maschinengenerierten Zugriffen auf eine zu schützende Resource einer Rechnereinheit
EP2477352A2 (de) Verfahren zur Verifikation von Ausweise daten im Kundenverkehr
WO2011131365A1 (de) Verfahren zum konfigurieren einer applikation für ein endgerät
DE202013100910U1 (de) CAPTCHA zur Unterscheidung von Computern und Menschen bei der Interaktion von Computern
DE102009035004A1 (de) Datenträger mit Displayeinrichtung
DE19859409A1 (de) Mobiler elektronischer Datenspeicher mit Authentifizierungsvorrichtung durch biometrische Merkmale
WO2018011437A1 (de) Automatisierte authentifizierung und identifizierung eines benutzers einer datenverarbeitungsanlage mit hilfe dynamischer tippbiometrischer erkennungsmerkmale
DE102016120111A1 (de) Verfahren und Vorrichtung zum Authentifizieren eines Nutzers eines Gerätes und Informationssystem
EP2230648A1 (de) Einmalkennwortmaske zum Ableiten eines Einmalkennworts
DE102005061999A1 (de) Verfahren zum sicheren, elektronischen Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
AT413894B (de) Nicht personenabhängiger zugangscode
EP4002038A1 (de) Vorrichtung zum schützen eines zugriffs für segmente in verteilten systemen
CH713115B1 (de) Endgerät, dazu programmiert, ein Verfahren zum computergestützten, reproduzierbaren Erzeugen eines Passworts zu unterstützen.
DE102009035005A1 (de) Verfahren zur Übertragung von Transaktionsdaten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final