DE102016012191A1 - Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe - Google Patents
Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe Download PDFInfo
- Publication number
- DE102016012191A1 DE102016012191A1 DE102016012191.2A DE102016012191A DE102016012191A1 DE 102016012191 A1 DE102016012191 A1 DE 102016012191A1 DE 102016012191 A DE102016012191 A DE 102016012191A DE 102016012191 A1 DE102016012191 A1 DE 102016012191A1
- Authority
- DE
- Germany
- Prior art keywords
- password
- hacker
- attack
- attacks
- computer systems
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Die Erfindung betrifft Verfahren zum erhöhten Schutz vor Hackerangriffe und kommt in durch Passwörter geschützten Rechnern und Rechenanlagen zur Anwendung. Da die Rechner immer schneller werden, müssen sie derzeit durch längere Passwörter geschützt werden, um die Angriffsdauer nicht zu verringern. Es wird vorgeschlagen durch eine niedrige Taktrate für das Passworterkennungsmodul die Passworteingabe soweit zu verlangsamen, dass sie die manuelle Eingabe des Nutzers noch nicht störend behindert, für den Hacker aber zu einer so hohen Angriffsdauer führt, dass er möglichst bald seine Versuche beendet. Eine langsame Eingabe der Angriffscodewörter wird auch erzwungen, wenn bei einem vermuteten Hackerangriff in die Zeichenfolge des Passwortes weitere Zeichen eingefügt werden oder auf ein anderes installiertes langes und komplexes Passwort umgeschaltet wird. Dadurch wird erstens das zu erratende Passwort wesentlich verlängert und es muss in voller Gesamtlänge vom Hacker-Rechner generiert und eingegeben werden, und wenn der Nutzer die Füllzeichenfolge oder den Algorithmus dazu auswählt, hat der Nutzer eine zusätzliche Möglichkeit zur weiteren Verschlüsselung. Die Wortlänge kann derart verlängert und codiert werden, dass die Dauer von Angriffen nach der Brute-Force-Methode bzw. nach der Wörterbuch-Methode so groß wird, dass Angriffe von Hackern aus Zeitgründen mit großer Wahrscheinlichkeit nicht mehr erfolgreich sein werden.
Description
- Die Erfindung betrifft ein Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe. Bei Hackerangriffen nach der Brute-Force-Methode oder nach der Wörterbuch-Methode wird mit automatisch generierten Codewörtern versucht, in eine passwortgeschützte Anlage einzudringen. Für die Passwörter stehen üblicherweise 62 alphanumerische Zeichen und etwa 26 Sonderzeichen als Zeichenvorrat zur Verfügung. Die Passwörter werden als Folge solcher Zeichen in großer Länge vorzugsweise so geschickt gebildet, dass sie schwer zu erraten sind und wegen ihrer Länge und Komplexität gegen Hackerangriffe weitgehend geschützt sind.
- Die maximale Anzahl der möglichen Kombinationen errechnet sich aus der Menge des Zeichenvorrats und der gewählten Passwortlänge zu: Zeichenvorrat hoch Passwortlänge. Die Hacker brauchen normalerweise nicht alle maximal möglichen Kombinationen als Passwort auszuprobieren, weil das richtige Passwort erwartungsgemäß früher gefunden wird. Trotzdem ist die Sicherheit gegen erfolgreiche Angriffe bei langen Passwörtern größer als bei kurzen.
- Allerdings werden die Rechner immer schneller. Deshalb müssen sie derzeit durch längere Passwörter geschützt werden, um die Angriffsdauer nicht zu verringern.
- Bekannt sind Methoden zur Erhöhung der Suchdauer eines Passwortes durch Vergrößerung seiner Wortlänge und Erhöhung seiner Komplexität.
- Bekannt ist ferner aus der Anmeldung „Abwehr eines Bruteforceangriffs” (
DE 20 20 2015 006 511 - Bekannt ist auch die Anmeldung „System and method of preventing unauthorized access to computer recources (
EP 1 209 551 vom 13.9.2001 mit Bezug aufEP 00 480 107 - Im Internet sind in Wikipedia in „Die Methoden der Hacker und ihr Schutz davor” von „admin” einige zweckmäßige Hinweise zum Schutz vor Hackerangriffe zusammengestellt. Enthalten ist auch die Empfehlung, nach jedem empfangenen nicht passenden Angriffscodewort durch eine Pause vor der nächsten Eingabe die Eingabedauer zu vergrößern, wobei die Annahme weiterer Codeworte auch für eine gewisse Zeit gesperrt werden kann.
- Bei längeren Pausen nach jedem nicht passenden Passwort kann der Hacker allerdings zeitmultiplex zusätzlich weitere Anlagen angreifen, so dass die Dauer je attackierter Anlage nicht steigt.
- Nachteilig beim Verlängern der Passwörter ist, dass die Gefahr des Passwortvergessens beim Nutzer erhöht wird, und dieses von ihm eine Speicherung erfordert, wodurch sich die Möglichkeit zum Ausspähen des Passwortes erhöht.
- Ein Nachteil einer längeren Sperre für weitere Eingaben ist auch, dass Hacker mit einigen falschen Codeworten vorsätzlich fremde Rechner auch für deren Nutzer sperren oder behindern können.
- Der in den Patentansprüchen angegebenen Erfindung liegt das Problem zugrunde, dass die schneller werdenden Rechner immer größere Passwortlängen erfordern, um den Zeitaufwand für Hackerangriffe hoch zu halten.
- Ziel der Erfindung ist ein stark steigender Zeitaufwand für die Hackerangriffe.
- Die Aufgabe wird nach Patentanspruch 1 erfindungsgemäß dadurch gelöst, dass durch eine niedrige Taktrate des Passworterkennungsmoduls eine langsame Eingabe der Angriffscodeworte erzwungen wird.
- Die Taktrate muss nicht erst bei einem Hackerangriff erniedrigt werden. Sie kann auch dauernd so niedrig sein, dass sie die manuelle Passworteingabe des Nutzers noch nicht störend behindert. Sie sollte aber so niedrig sein, dass der Zeitaufwand für den Hacker so weit steigt, dass der Angriff aus Zeitgründen nach wenigen Versuchen beendet wird.
- Nach Patentanspruch 2 wird bei einem vermuteten Hackerangriff automatisch auf eine längere Zeichenfolge umgeschaltet, die zusätzlich zum Passwort installiert ist oder aus der Zeichenfolge des Passwortes nach einem, vorzugsweise vom Nutzer festgelegten, Algorithmus abgeleitet wird.
- Diese Zeichenfolge wird ganz oder stückweise nach eingegebener Vorschrift automatisch an verschiedenen Stellen in die Zeichenfolge des Passwortes eingefügt oder an einem Ende angehängt. Dies Zeichenfolgen können auch wiederholt werden, um ein langes Passwort für den Hacker zu erhalten.
- Die Festlegung des Algorithmus für die Generierung des neuen Passwortes erfolgt zweckmäßigerweise durch den Nutzer. Er erreicht dadurch nicht nur eine Verlängerung dieses Passwortes sondern auch noch eine zusätzliche Verschlüsselung für das lange Passwort. Als Hilfe für die Nutzer kann der Hersteller einige günstige Algorithmen zur Auswahl anbieten.
- Bei Verfahren mit solchen umgeschalteten stark verlängerten Passworten wird dem Hacker eine normale Passworteingabe vorgetäuscht und er muss sehr lange Codeworte ausprobieren.
- Der Hacker muss bei den Verfahren nach Anspruch 2 mit erhöhtem Zeitaufwand nach einem langen Passwort suchen. Er weiß nichts von einer Umschaltung und wird mit diesem quasi normalen Angriff und normaler, wenn auch späterer, Rückmeldung getäuscht und beschäftigt. Das erhöht die Zeit für Gegenmaßnahmen, wie zur Rückverfolgung und Identifizierung des Hackerrechners.
- Die Erfindung wird nachstehend an Ausführungsbeispielen erläutert.
- Wird bei der Passworterkennung nach Anspruch 1 die Taktrate des Rechners von beispielsweise 2 GHz auf eine Taktrate von 20 kHz für das Passworterkennungsmodul erniedrigt, erhöht sich die Dauer für einen Hackerangriff um den Faktor 105. Das bedeutet, dass die Dauer für einen Angriff von beispielsweise 1 μs auf 100 ms steigt und der Hacker nur etwa 10 Angriffscodeworte je Sekunde ausprobieren kann.
- Nach Anspruch 2 wird bei der Ableitung der neuen Zeichenfolge aus den Passwortzeichen beispielsweise die zusätzliche Zeichenfolge {ekjm} zwischen das 6. und 7. Zeichen des achtstelligen Passwortes {ABCDEFGH} eingefügt. Die neue Zeichenfolge lautet {ABCDEFekimGH}. Das Zeichen {e} entsteht nach einem vereinbarten Algorithmus beispielsweise durch eine Verschiebung des ersten Passwortzeichens {A} um vier Schritte im Alphabet, das zweite Zeichen {k} entsteht aus dem vierten Zeichen {D} mit einer Verschiebung um sieben Schritte usw.
(Die eingefügten Zeichen sind zur Kenntlichmachung als Kleinbuchstaben geschrieben. Man kann aber sowohl beim Passwort als auch bei der daraus abgeleiteten Zeichenfolge den vollen Zeichenvorrat nutzen.) - Eine stückweise Einfügung der abgeleiteten Zeichenfolge an programmierten Stellen verlängert das Passwort. Die zusätzliche Verschlüsselung liegt hier im Algorithmus, wenn ihn der Nutzer festlegen kann.
- Die Verschiebung arbeitet z. B. modulo Zeichenvorrat. Auch eine am Ende reflektierte Zeichenverschiebung rückwärts ist möglich.
- Wenn der Nutzer das zweite Passwort installiert, kann er eine große Länge wählen, weil er sich dieses Passwort nicht merken muss, und er kann dabei eine weitergehende Verschlüsselung, z. B. mit Sonderzeichen, realisieren. Beim Neustart der Anlage gilt zunächst wieder das erste Passwort.
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- DE 20202015006511 [0005]
- EP 1209551 [0006]
- EP 00480107 [0006]
Claims (2)
- Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe, dadurch gekennzeichnet, dass für Passworteingaben, zumindest bei einem vermuteten Hackerangriff, eine zeitaufwendige langsame Eingabe der Codewortzeichen durch eine niedrige Taktrate für das Passworterkennungsmodul, erzwungen wird.
- Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe, dadurch gekennzeichnet, dass bei einem vermuteten Hackerangriff automatisch eine Umschaltung auf ein langes Passwort erfolgt, das zusätzlich installiert wurde oder automatisch nach einem vom Nutzer festgelegten Algorithmus aus der Zeichenfolge des Passwortes abgeleitet wird.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016012191.2A DE102016012191A1 (de) | 2016-10-12 | 2016-10-12 | Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016012191.2A DE102016012191A1 (de) | 2016-10-12 | 2016-10-12 | Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016012191A1 true DE102016012191A1 (de) | 2018-04-12 |
Family
ID=61696049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016012191.2A Ceased DE102016012191A1 (de) | 2016-10-12 | 2016-10-12 | Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102016012191A1 (de) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0480107A1 (de) | 1990-10-11 | 1992-04-15 | Sumitomo Metal Mining Company Limited | Verfahren zur Herstellung von spritzgegossenen pulvermetallurgischen Produkten |
US5495235A (en) * | 1992-09-30 | 1996-02-27 | At&T Corp. | Access control system with lockout |
WO2000011538A1 (en) * | 1998-08-20 | 2000-03-02 | Comodo Technology Development Limited | Improvements in and relating to access control |
EP1209551A2 (de) | 2000-11-28 | 2002-05-29 | International Business Machines Corporation | System und Verfahren zum Verhindern von unberechtigtem Zugriff auf Ressourcen eines Rechnersystems |
US20030149900A1 (en) * | 2002-02-06 | 2003-08-07 | Glassman Steven Charles | System and method for providing multi-class processing of login requests |
DE102004048959A1 (de) * | 2004-04-08 | 2005-11-03 | Fujitsu Ltd., Kawasaki | Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät |
DE10392126B4 (de) * | 2002-03-15 | 2010-04-08 | Intel Corporation (N.D.Ges.D. Staates Delaware), Santa Clara | Prozessortemperatursteuerungsschnittstelle |
US20140181529A1 (en) * | 2012-12-21 | 2014-06-26 | Advanced Biometric Controls, Llc | Verification of password using a keyboard with a secure password entry mode |
AT515097A4 (de) * | 2014-03-31 | 2015-06-15 | Hödl Josef | Verschlüsselungsverfahren und Pseudo-Zufallszahlengenerator |
DE202015006511U1 (de) | 2015-09-15 | 2015-11-16 | Thomas Seidel | Abwehr eines Bruteforceangriffs |
US20160197937A1 (en) * | 2014-01-07 | 2016-07-07 | Amazon Technologies, Inc. | Hardware secret usage limits |
US20160226853A1 (en) * | 2015-02-02 | 2016-08-04 | Interactive Intelligence, Inc. | Secret Supplemental Username |
-
2016
- 2016-10-12 DE DE102016012191.2A patent/DE102016012191A1/de not_active Ceased
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0480107A1 (de) | 1990-10-11 | 1992-04-15 | Sumitomo Metal Mining Company Limited | Verfahren zur Herstellung von spritzgegossenen pulvermetallurgischen Produkten |
US5495235A (en) * | 1992-09-30 | 1996-02-27 | At&T Corp. | Access control system with lockout |
WO2000011538A1 (en) * | 1998-08-20 | 2000-03-02 | Comodo Technology Development Limited | Improvements in and relating to access control |
EP1209551A2 (de) | 2000-11-28 | 2002-05-29 | International Business Machines Corporation | System und Verfahren zum Verhindern von unberechtigtem Zugriff auf Ressourcen eines Rechnersystems |
US20030149900A1 (en) * | 2002-02-06 | 2003-08-07 | Glassman Steven Charles | System and method for providing multi-class processing of login requests |
DE10392126B4 (de) * | 2002-03-15 | 2010-04-08 | Intel Corporation (N.D.Ges.D. Staates Delaware), Santa Clara | Prozessortemperatursteuerungsschnittstelle |
DE102004048959A1 (de) * | 2004-04-08 | 2005-11-03 | Fujitsu Ltd., Kawasaki | Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät |
US20140181529A1 (en) * | 2012-12-21 | 2014-06-26 | Advanced Biometric Controls, Llc | Verification of password using a keyboard with a secure password entry mode |
US20160197937A1 (en) * | 2014-01-07 | 2016-07-07 | Amazon Technologies, Inc. | Hardware secret usage limits |
AT515097A4 (de) * | 2014-03-31 | 2015-06-15 | Hödl Josef | Verschlüsselungsverfahren und Pseudo-Zufallszahlengenerator |
US20160226853A1 (en) * | 2015-02-02 | 2016-08-04 | Interactive Intelligence, Inc. | Secret Supplemental Username |
DE202015006511U1 (de) | 2015-09-15 | 2015-11-16 | Thomas Seidel | Abwehr eines Bruteforceangriffs |
Non-Patent Citations (2)
Title |
---|
Online-Enzyklopädie „Wikipedia", Artikel vom 24.2.2016 zum Begriff „Personal Unblocking Key", im Internet abrufbar unter dem URL https://de.wikipedia.org/w/index.php?title=Personal_Unblocking_Key&oldid=151856188 , abgerufen am 22.9.2017. |
Online-Enzyklopädie „Wikipedia", Artikel vom 24.2.2016 zum Begriff „Personal Unblocking Key", im Internet abrufbar unter dem URL https://de.wikipedia.org/w/index.php?title=Personal_Unblocking_Key&oldid=151856188 , abgerufen am 22.9.2017. * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102014220808B4 (de) | Verfahren und Vorrichtung zum Login bei medizinischen Geräten | |
EP2433242B1 (de) | Verwendung einer zeichenkette in systemen der kryptographie, der statistik, der simulation, der randomisierung, von spielautomaten und dgl. | |
EP1120633A3 (de) | Verfahren zur Informationseingabe in ein elektrisches Gerät | |
DE102007008651B4 (de) | Chipkarte und Verfahren zur Freischaltung einer Chipkarten-Funktion | |
DE102010008538A1 (de) | Verfahren und System zum Erkennen einer Schadsoftware | |
DE102016012191A1 (de) | Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe | |
EP3300522B1 (de) | Bereitstellung zumindest eines passworts | |
DE102008057681B3 (de) | Verfahren zum sicheren Speichern von Daten in einem Speicher eines tragbaren Datenträgers | |
DE10348729B4 (de) | Einrichtung und Verfahren zur Sicherung von geschützten Daten | |
DE102013102092B4 (de) | Verfahren und Vorrichtung zum Authentifizieren von Personen | |
DE102014213071A1 (de) | Verfahren und Vorrichtung zur Verarbeitung von Daten | |
DE102017121497A1 (de) | Netzwerkentität zum verwalten eines passwortes eines nutzers | |
DE10101972A1 (de) | Vorrichtung mit einem Steuergerät und einem nicht-flüchtigen Speicher sowie Verfahren zum Betreiben einer solchen Vorrichtung | |
DE102013215407A1 (de) | Verfahren zur Erhöhung der Sicherheit von Passwörtern | |
DE102009013551A1 (de) | Einmalkennwortmaske zum Ableiten eines Einmalkennworts | |
EP2030145A2 (de) | Verfahren zu kryptographischen authentikation | |
DE102016113148A1 (de) | Automatisierte Authentifizierung und Identifizierung eines Benutzers einer Datenverarbeitungsanlage mit Hilfe dynamischer tippbiometrischer Erkennungsmerkmale | |
WO2005101159A1 (de) | Verfahren zur sicheren anmeldung an ein technisches system | |
EP2834767B1 (de) | Computersystem sowie verfahren zum sicheren booten eines computersystems | |
DE102021211755A1 (de) | Verfahren zur Gewährleistung einer IT-Sicherheit einer Automatisierungsanlage und Sicherheitssystem | |
EP3659057A1 (de) | Verfahren zur zugriffsverwaltung zu einer einrichtung und zugriffsystem | |
EP1566776B1 (de) | Verfahren zum sicheren Betrieb eines tragbaren Datenträgers | |
WO1997016914A1 (de) | Verfahren zur missbrauchserschwerung bei kommunikationsdiensten | |
EP2194499A1 (de) | Verfahren zur Transaktionssicherung | |
DE202015006511U1 (de) | Abwehr eines Bruteforceangriffs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R086 | Non-binding declaration of licensing interest | ||
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |