DE102016012191A1 - Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe - Google Patents

Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe Download PDF

Info

Publication number
DE102016012191A1
DE102016012191A1 DE102016012191.2A DE102016012191A DE102016012191A1 DE 102016012191 A1 DE102016012191 A1 DE 102016012191A1 DE 102016012191 A DE102016012191 A DE 102016012191A DE 102016012191 A1 DE102016012191 A1 DE 102016012191A1
Authority
DE
Germany
Prior art keywords
password
hacker
attack
attacks
computer systems
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102016012191.2A
Other languages
English (en)
Inventor
Werner Zühlke
Uwe Zühlke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE102016012191.2A priority Critical patent/DE102016012191A1/de
Publication of DE102016012191A1 publication Critical patent/DE102016012191A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Die Erfindung betrifft Verfahren zum erhöhten Schutz vor Hackerangriffe und kommt in durch Passwörter geschützten Rechnern und Rechenanlagen zur Anwendung. Da die Rechner immer schneller werden, müssen sie derzeit durch längere Passwörter geschützt werden, um die Angriffsdauer nicht zu verringern. Es wird vorgeschlagen durch eine niedrige Taktrate für das Passworterkennungsmodul die Passworteingabe soweit zu verlangsamen, dass sie die manuelle Eingabe des Nutzers noch nicht störend behindert, für den Hacker aber zu einer so hohen Angriffsdauer führt, dass er möglichst bald seine Versuche beendet. Eine langsame Eingabe der Angriffscodewörter wird auch erzwungen, wenn bei einem vermuteten Hackerangriff in die Zeichenfolge des Passwortes weitere Zeichen eingefügt werden oder auf ein anderes installiertes langes und komplexes Passwort umgeschaltet wird. Dadurch wird erstens das zu erratende Passwort wesentlich verlängert und es muss in voller Gesamtlänge vom Hacker-Rechner generiert und eingegeben werden, und wenn der Nutzer die Füllzeichenfolge oder den Algorithmus dazu auswählt, hat der Nutzer eine zusätzliche Möglichkeit zur weiteren Verschlüsselung. Die Wortlänge kann derart verlängert und codiert werden, dass die Dauer von Angriffen nach der Brute-Force-Methode bzw. nach der Wörterbuch-Methode so groß wird, dass Angriffe von Hackern aus Zeitgründen mit großer Wahrscheinlichkeit nicht mehr erfolgreich sein werden.

Description

  • Die Erfindung betrifft ein Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe. Bei Hackerangriffen nach der Brute-Force-Methode oder nach der Wörterbuch-Methode wird mit automatisch generierten Codewörtern versucht, in eine passwortgeschützte Anlage einzudringen. Für die Passwörter stehen üblicherweise 62 alphanumerische Zeichen und etwa 26 Sonderzeichen als Zeichenvorrat zur Verfügung. Die Passwörter werden als Folge solcher Zeichen in großer Länge vorzugsweise so geschickt gebildet, dass sie schwer zu erraten sind und wegen ihrer Länge und Komplexität gegen Hackerangriffe weitgehend geschützt sind.
  • Die maximale Anzahl der möglichen Kombinationen errechnet sich aus der Menge des Zeichenvorrats und der gewählten Passwortlänge zu: Zeichenvorrat hoch Passwortlänge. Die Hacker brauchen normalerweise nicht alle maximal möglichen Kombinationen als Passwort auszuprobieren, weil das richtige Passwort erwartungsgemäß früher gefunden wird. Trotzdem ist die Sicherheit gegen erfolgreiche Angriffe bei langen Passwörtern größer als bei kurzen.
  • Allerdings werden die Rechner immer schneller. Deshalb müssen sie derzeit durch längere Passwörter geschützt werden, um die Angriffsdauer nicht zu verringern.
  • Bekannt sind Methoden zur Erhöhung der Suchdauer eines Passwortes durch Vergrößerung seiner Wortlänge und Erhöhung seiner Komplexität.
  • Bekannt ist ferner aus der Anmeldung „Abwehr eines Bruteforceangriffs” ( DE 20 20 2015 006 511 ) vom 24.12.2015, in der nach der fünften falschen Passworteingabe ein zusätzliches Feld mit einer Captcha-angabe, bestehend aus einer fünfstelliger Ziffern- und Buchstabenfolge, angelegt wird, die erst erraten werden muss, bevor eine weitere Eingabe des Passwortes versucht werden darf. (Captcha ist ein Test zur Feststellung, ob die Eingaben automatisch oder von einem Menschen erfolgen).
  • Bekannt ist auch die Anmeldung „System and method of preventing unauthorized access to computer recources ( EP 1 209 551 vom 13.9.2001 mit Bezug auf EP 00 480 107 vom 28.11.2000), wonach erst mit einem einzugebenden Kennwort die Identität desjenigen überprüft wird, der das Computersystem nutzen möchte. Stimmt das Kennwort mit keinem im Computer gespeicherten überein, wird der Zugriff verweigert.
  • Im Internet sind in Wikipedia in „Die Methoden der Hacker und ihr Schutz davor” von „admin” einige zweckmäßige Hinweise zum Schutz vor Hackerangriffe zusammengestellt. Enthalten ist auch die Empfehlung, nach jedem empfangenen nicht passenden Angriffscodewort durch eine Pause vor der nächsten Eingabe die Eingabedauer zu vergrößern, wobei die Annahme weiterer Codeworte auch für eine gewisse Zeit gesperrt werden kann.
  • Bei längeren Pausen nach jedem nicht passenden Passwort kann der Hacker allerdings zeitmultiplex zusätzlich weitere Anlagen angreifen, so dass die Dauer je attackierter Anlage nicht steigt.
  • Nachteilig beim Verlängern der Passwörter ist, dass die Gefahr des Passwortvergessens beim Nutzer erhöht wird, und dieses von ihm eine Speicherung erfordert, wodurch sich die Möglichkeit zum Ausspähen des Passwortes erhöht.
  • Ein Nachteil einer längeren Sperre für weitere Eingaben ist auch, dass Hacker mit einigen falschen Codeworten vorsätzlich fremde Rechner auch für deren Nutzer sperren oder behindern können.
  • Der in den Patentansprüchen angegebenen Erfindung liegt das Problem zugrunde, dass die schneller werdenden Rechner immer größere Passwortlängen erfordern, um den Zeitaufwand für Hackerangriffe hoch zu halten.
  • Ziel der Erfindung ist ein stark steigender Zeitaufwand für die Hackerangriffe.
  • Die Aufgabe wird nach Patentanspruch 1 erfindungsgemäß dadurch gelöst, dass durch eine niedrige Taktrate des Passworterkennungsmoduls eine langsame Eingabe der Angriffscodeworte erzwungen wird.
  • Die Taktrate muss nicht erst bei einem Hackerangriff erniedrigt werden. Sie kann auch dauernd so niedrig sein, dass sie die manuelle Passworteingabe des Nutzers noch nicht störend behindert. Sie sollte aber so niedrig sein, dass der Zeitaufwand für den Hacker so weit steigt, dass der Angriff aus Zeitgründen nach wenigen Versuchen beendet wird.
  • Nach Patentanspruch 2 wird bei einem vermuteten Hackerangriff automatisch auf eine längere Zeichenfolge umgeschaltet, die zusätzlich zum Passwort installiert ist oder aus der Zeichenfolge des Passwortes nach einem, vorzugsweise vom Nutzer festgelegten, Algorithmus abgeleitet wird.
  • Diese Zeichenfolge wird ganz oder stückweise nach eingegebener Vorschrift automatisch an verschiedenen Stellen in die Zeichenfolge des Passwortes eingefügt oder an einem Ende angehängt. Dies Zeichenfolgen können auch wiederholt werden, um ein langes Passwort für den Hacker zu erhalten.
  • Die Festlegung des Algorithmus für die Generierung des neuen Passwortes erfolgt zweckmäßigerweise durch den Nutzer. Er erreicht dadurch nicht nur eine Verlängerung dieses Passwortes sondern auch noch eine zusätzliche Verschlüsselung für das lange Passwort. Als Hilfe für die Nutzer kann der Hersteller einige günstige Algorithmen zur Auswahl anbieten.
  • Bei Verfahren mit solchen umgeschalteten stark verlängerten Passworten wird dem Hacker eine normale Passworteingabe vorgetäuscht und er muss sehr lange Codeworte ausprobieren.
  • Der Hacker muss bei den Verfahren nach Anspruch 2 mit erhöhtem Zeitaufwand nach einem langen Passwort suchen. Er weiß nichts von einer Umschaltung und wird mit diesem quasi normalen Angriff und normaler, wenn auch späterer, Rückmeldung getäuscht und beschäftigt. Das erhöht die Zeit für Gegenmaßnahmen, wie zur Rückverfolgung und Identifizierung des Hackerrechners.
  • Die Erfindung wird nachstehend an Ausführungsbeispielen erläutert.
  • Wird bei der Passworterkennung nach Anspruch 1 die Taktrate des Rechners von beispielsweise 2 GHz auf eine Taktrate von 20 kHz für das Passworterkennungsmodul erniedrigt, erhöht sich die Dauer für einen Hackerangriff um den Faktor 105. Das bedeutet, dass die Dauer für einen Angriff von beispielsweise 1 μs auf 100 ms steigt und der Hacker nur etwa 10 Angriffscodeworte je Sekunde ausprobieren kann.
  • Nach Anspruch 2 wird bei der Ableitung der neuen Zeichenfolge aus den Passwortzeichen beispielsweise die zusätzliche Zeichenfolge {ekjm} zwischen das 6. und 7. Zeichen des achtstelligen Passwortes {ABCDEFGH} eingefügt. Die neue Zeichenfolge lautet {ABCDEFekimGH}. Das Zeichen {e} entsteht nach einem vereinbarten Algorithmus beispielsweise durch eine Verschiebung des ersten Passwortzeichens {A} um vier Schritte im Alphabet, das zweite Zeichen {k} entsteht aus dem vierten Zeichen {D} mit einer Verschiebung um sieben Schritte usw.
    (Die eingefügten Zeichen sind zur Kenntlichmachung als Kleinbuchstaben geschrieben. Man kann aber sowohl beim Passwort als auch bei der daraus abgeleiteten Zeichenfolge den vollen Zeichenvorrat nutzen.)
  • Eine stückweise Einfügung der abgeleiteten Zeichenfolge an programmierten Stellen verlängert das Passwort. Die zusätzliche Verschlüsselung liegt hier im Algorithmus, wenn ihn der Nutzer festlegen kann.
  • Die Verschiebung arbeitet z. B. modulo Zeichenvorrat. Auch eine am Ende reflektierte Zeichenverschiebung rückwärts ist möglich.
  • Wenn der Nutzer das zweite Passwort installiert, kann er eine große Länge wählen, weil er sich dieses Passwort nicht merken muss, und er kann dabei eine weitergehende Verschlüsselung, z. B. mit Sonderzeichen, realisieren. Beim Neustart der Anlage gilt zunächst wieder das erste Passwort.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 20202015006511 [0005]
    • EP 1209551 [0006]
    • EP 00480107 [0006]

Claims (2)

  1. Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe, dadurch gekennzeichnet, dass für Passworteingaben, zumindest bei einem vermuteten Hackerangriff, eine zeitaufwendige langsame Eingabe der Codewortzeichen durch eine niedrige Taktrate für das Passworterkennungsmodul, erzwungen wird.
  2. Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe, dadurch gekennzeichnet, dass bei einem vermuteten Hackerangriff automatisch eine Umschaltung auf ein langes Passwort erfolgt, das zusätzlich installiert wurde oder automatisch nach einem vom Nutzer festgelegten Algorithmus aus der Zeichenfolge des Passwortes abgeleitet wird.
DE102016012191.2A 2016-10-12 2016-10-12 Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe Ceased DE102016012191A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016012191.2A DE102016012191A1 (de) 2016-10-12 2016-10-12 Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016012191.2A DE102016012191A1 (de) 2016-10-12 2016-10-12 Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe

Publications (1)

Publication Number Publication Date
DE102016012191A1 true DE102016012191A1 (de) 2018-04-12

Family

ID=61696049

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016012191.2A Ceased DE102016012191A1 (de) 2016-10-12 2016-10-12 Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe

Country Status (1)

Country Link
DE (1) DE102016012191A1 (de)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0480107A1 (de) 1990-10-11 1992-04-15 Sumitomo Metal Mining Company Limited Verfahren zur Herstellung von spritzgegossenen pulvermetallurgischen Produkten
US5495235A (en) * 1992-09-30 1996-02-27 At&T Corp. Access control system with lockout
WO2000011538A1 (en) * 1998-08-20 2000-03-02 Comodo Technology Development Limited Improvements in and relating to access control
EP1209551A2 (de) 2000-11-28 2002-05-29 International Business Machines Corporation System und Verfahren zum Verhindern von unberechtigtem Zugriff auf Ressourcen eines Rechnersystems
US20030149900A1 (en) * 2002-02-06 2003-08-07 Glassman Steven Charles System and method for providing multi-class processing of login requests
DE102004048959A1 (de) * 2004-04-08 2005-11-03 Fujitsu Ltd., Kawasaki Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät
DE10392126B4 (de) * 2002-03-15 2010-04-08 Intel Corporation (N.D.Ges.D. Staates Delaware), Santa Clara Prozessortemperatursteuerungsschnittstelle
US20140181529A1 (en) * 2012-12-21 2014-06-26 Advanced Biometric Controls, Llc Verification of password using a keyboard with a secure password entry mode
AT515097A4 (de) * 2014-03-31 2015-06-15 Hödl Josef Verschlüsselungsverfahren und Pseudo-Zufallszahlengenerator
DE202015006511U1 (de) 2015-09-15 2015-11-16 Thomas Seidel Abwehr eines Bruteforceangriffs
US20160197937A1 (en) * 2014-01-07 2016-07-07 Amazon Technologies, Inc. Hardware secret usage limits
US20160226853A1 (en) * 2015-02-02 2016-08-04 Interactive Intelligence, Inc. Secret Supplemental Username

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0480107A1 (de) 1990-10-11 1992-04-15 Sumitomo Metal Mining Company Limited Verfahren zur Herstellung von spritzgegossenen pulvermetallurgischen Produkten
US5495235A (en) * 1992-09-30 1996-02-27 At&T Corp. Access control system with lockout
WO2000011538A1 (en) * 1998-08-20 2000-03-02 Comodo Technology Development Limited Improvements in and relating to access control
EP1209551A2 (de) 2000-11-28 2002-05-29 International Business Machines Corporation System und Verfahren zum Verhindern von unberechtigtem Zugriff auf Ressourcen eines Rechnersystems
US20030149900A1 (en) * 2002-02-06 2003-08-07 Glassman Steven Charles System and method for providing multi-class processing of login requests
DE10392126B4 (de) * 2002-03-15 2010-04-08 Intel Corporation (N.D.Ges.D. Staates Delaware), Santa Clara Prozessortemperatursteuerungsschnittstelle
DE102004048959A1 (de) * 2004-04-08 2005-11-03 Fujitsu Ltd., Kawasaki Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät
US20140181529A1 (en) * 2012-12-21 2014-06-26 Advanced Biometric Controls, Llc Verification of password using a keyboard with a secure password entry mode
US20160197937A1 (en) * 2014-01-07 2016-07-07 Amazon Technologies, Inc. Hardware secret usage limits
AT515097A4 (de) * 2014-03-31 2015-06-15 Hödl Josef Verschlüsselungsverfahren und Pseudo-Zufallszahlengenerator
US20160226853A1 (en) * 2015-02-02 2016-08-04 Interactive Intelligence, Inc. Secret Supplemental Username
DE202015006511U1 (de) 2015-09-15 2015-11-16 Thomas Seidel Abwehr eines Bruteforceangriffs

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Online-Enzyklopädie „Wikipedia", Artikel vom 24.2.2016 zum Begriff „Personal Unblocking Key"‎, im Internet abrufbar unter dem URL https://de.wikipedia.org/w/index.php?title=Personal_Unblocking_Key&oldid=151856188 , abgerufen am 22.9.2017.
Online-Enzyklopädie „Wikipedia", Artikel vom 24.2.2016 zum Begriff „Personal Unblocking Key"‎, im Internet abrufbar unter dem URL https://de.wikipedia.org/w/index.php?title=Personal_Unblocking_Key&oldid=151856188 , abgerufen am 22.9.2017. *

Similar Documents

Publication Publication Date Title
DE102014220808B4 (de) Verfahren und Vorrichtung zum Login bei medizinischen Geräten
EP2433242B1 (de) Verwendung einer zeichenkette in systemen der kryptographie, der statistik, der simulation, der randomisierung, von spielautomaten und dgl.
EP1120633A3 (de) Verfahren zur Informationseingabe in ein elektrisches Gerät
DE102007008651B4 (de) Chipkarte und Verfahren zur Freischaltung einer Chipkarten-Funktion
DE102010008538A1 (de) Verfahren und System zum Erkennen einer Schadsoftware
DE102016012191A1 (de) Verfahren zur Erhöhung des Schutzes passwortgeschützter Rechner und Rechenanlagen vor Hackerangriffe
EP3300522B1 (de) Bereitstellung zumindest eines passworts
DE102008057681B3 (de) Verfahren zum sicheren Speichern von Daten in einem Speicher eines tragbaren Datenträgers
DE10348729B4 (de) Einrichtung und Verfahren zur Sicherung von geschützten Daten
DE102013102092B4 (de) Verfahren und Vorrichtung zum Authentifizieren von Personen
DE102014213071A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Daten
DE102017121497A1 (de) Netzwerkentität zum verwalten eines passwortes eines nutzers
DE10101972A1 (de) Vorrichtung mit einem Steuergerät und einem nicht-flüchtigen Speicher sowie Verfahren zum Betreiben einer solchen Vorrichtung
DE102013215407A1 (de) Verfahren zur Erhöhung der Sicherheit von Passwörtern
DE102009013551A1 (de) Einmalkennwortmaske zum Ableiten eines Einmalkennworts
EP2030145A2 (de) Verfahren zu kryptographischen authentikation
DE102016113148A1 (de) Automatisierte Authentifizierung und Identifizierung eines Benutzers einer Datenverarbeitungsanlage mit Hilfe dynamischer tippbiometrischer Erkennungsmerkmale
WO2005101159A1 (de) Verfahren zur sicheren anmeldung an ein technisches system
EP2834767B1 (de) Computersystem sowie verfahren zum sicheren booten eines computersystems
DE102021211755A1 (de) Verfahren zur Gewährleistung einer IT-Sicherheit einer Automatisierungsanlage und Sicherheitssystem
EP3659057A1 (de) Verfahren zur zugriffsverwaltung zu einer einrichtung und zugriffsystem
EP1566776B1 (de) Verfahren zum sicheren Betrieb eines tragbaren Datenträgers
WO1997016914A1 (de) Verfahren zur missbrauchserschwerung bei kommunikationsdiensten
EP2194499A1 (de) Verfahren zur Transaktionssicherung
DE202015006511U1 (de) Abwehr eines Bruteforceangriffs

Legal Events

Date Code Title Description
R086 Non-binding declaration of licensing interest
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final