| Both sides previous revision Previous revision Next revision | Previous revision |
| password_card [2010/05/07 07:13] – dan | password_card [2021/04/18 12:35] (current) – external edit 127.0.0.1 |
|---|
| ====== Passwort Karte ====== | ====== Passwort Karte ====== |
| |
| Vorstellung der muCCC Passwort Karte. | Vorstellung des Prinzips einer Passwortkarte. |
| | |
| | Die Vor und Nachteile des Einsatzes einer solchen Karte und im Alltag. |
| |
| ===== Einstimmung ===== | ===== Einstimmung ===== |
| |
| Da man für alle möglichen und unmöglichen Webseiten im Internet heutzutage ein Account benötigt ist es schwierig sich für jeden ein Passwort auszudenken und auch noch zu merken. Die daraus resultierende Unlust sich ständig Passwörter neu zu auszudenken und auch noch zu merken führt meistens dazu sich nur ein Passwort, das zudem meistens auch noch trivial ist, zu merken. | Da man für alle möglichen und unmöglichen Webseiten im Internet heutzutage einen Account benötigt, ist es schwierig sich für jeden ein Passwort auszudenken und auch noch zu merken. Die daraus resultierende Unlust sich ständig Passwörter neu zu auszudenken und auch noch zu merken führt meistens dazu sich nur ein Passwort, das zudem meistens auch noch trivial ist, zu merken. |
| |
| |
| ===== Das Problem ===== | ===== Das Problem ===== |
| * Nun gibt es eine mehrzahl von moeglichkeiten sich Passwoerter zu merken. Man kann diese auf einen Zettel aufschreiben, was dazu fuehrt das man alle passwoerter so stehen hat und den zettel auch ja nicht verlieren darf. Findet jemand diesen Zettel sind alle account die man hat auch kompromitiert. | * Nun gibt es eine Mehrzahl von Möglichkeiten sich Passwörter zu merken. Man kann diese auf einen Zettel aufschreiben, was dazu führt das man dort alle Passwörter im Klartext stehen hat und den Zettel auch ja nicht verlieren darf. Findet jemand diesen Zettel, sind alle Accounts, die man hat, auch kompromittiert. |
| * Die Moeglichkeit waere auch seine Passwoerter digital irgendwo im Netz zu speichern. Sei es bei einem kommerziellen Anbieter oder auf einem privaten Server-System. Bei einem kommerziellen Anbieter ist natuerlich sofort wieder die Frage ob man die hochsensiblen Daten dem auch anvertrauen mag, man fuehlt sich dabei meistens unwohl. Auf den privaten Server der sich im Netz befindet muss man dann auch staendig zugriff haben. Wie man auf den Server zugreift ist dann wiederrum die andere Frage. ssh waere schoen, funktioniert aber nicht immer und unbedingt in jeder Lebenslage. Per https funktioniert das aber in fast allen Faelle sehr gut, nur ist dann meistens die einsicht auf den Monitor von umstehenden Personen die Gefahr das jemand ein Passwort erhascht. | * Eine andere Möglichkeit wäre, seine Passwörter digital irgendwo im Netz zu speichern; sei es bei einem kommerziellen Anbieter oder auf einem privaten Server-System. Bei einem kommerziellen Anbieter ist natürlich sofort wieder die Frage, ob man die hochsensiblen Daten diesem auch anvertrauen mag; man fühlt sich dabei meistens unwohl. Auf dem privaten Server, der sich im Netz befindet, muss man dann auch ständig Zugriff haben. Wie man auf den Server zugreift ist dann wiederum die andere Frage. ssh wäre schön, funktioniert aber nicht immer und unbedingt in jeder Lebenslage. Per https funktioniert das aber in fast allen Fälle sehr gut, nur besteht dann meistens die Gefahr, dass durch die Einsicht auf den Monitor von umstehenden Personen ein Passwort erhascht wird. |
| * Noch eine Idee waere die Daten auf einem privaten elektronischen Geraet dies zu speichern. Das hat den Vorteil das man dort seine daten keinem dritten anvertrauen muss und sofort zugriff auf seine passwoerter hat. Nachteil ist das meistens genau dann der Akku leer ist wenn man es am dringensten braucht oder das Geraet geht kaputt oder schlimmer noch man verliert das Geraet sogar. Die Passwoerter waeren damit auch verloren. | * Noch eine Idee wäre, die Daten auf einem privaten elektronischen Gerät zu speichern. Das hat den Vorteil, dass man dort seine Daten keinem Dritten anvertrauen muss und sofort Zugriff auf seine Passwörter hat. Nachteil ist, dass meistens genau dann der Akku leer ist, wenn man es am dringendsten braucht, oder das Gerät geht kaputt, oder schlimmer noch man verliert das Gerät sogar. Die Passwörter wären damit auch verloren. Es sei denn, man speichert eine Kopie eines verschlüsselten Passwortcontainers bei einem Cloud-Dienst. |
| ===== Der Ansatz ===== | ===== Der Ansatz ===== |
| |
| Die Idee war eine System zu designen das es ermoeglicht auf einer kleinen Flaeche eine vielzahl von Passwoertern unterzubringen und diese dennoch nicht offensichtlich darzulegen. Anstelle einer komplexen folge merkt man sich einfach nur eine simple kombination und kann damit beliebig lange und viele passwoerter generieren und sich merken. | Die Idee war eine System zu designen, das es ermöglicht auf einer kleinen Fläche eine Vielzahl von Passwörtern unterzubringen und diese dennoch nicht offensichtlich darzulegen. Anstelle einer komplexen Folge merkt man sich einfach nur eine simple Kombination und kann damit beliebig lange und viele Passwörter generieren und sich merken. |
| |
| Ebenso sollte der Verlust des Systems nicht dazu fuehren das man seine Accounts sofort kompromitiert sind bzw. man selbst nicht mehr auf seine Daten zugreifen kann. | Ebenso sollte der Verlust des Systems nicht dazu führen, dass seine Accounts sofort kompromittiert sind bzw. man selbst nicht mehr auf seine Daten zugreifen kann. |
| |
| |
| ===== Die Passwort Karte ===== | ===== Die Passwort Karte ===== |
| Das Prinzip der Passwortkarte ist einen zufaellig generierten alphanumerischen Datenstrom dazu benutzen diese in eine Matrix zu setzen. | Das Prinzip der Passwortkarte ist, einen zufällig generierten alphanumerischen Datenstrom dazu zu benutzen, diese in eine Matrix zu setzen. |
| Benoetigt man nun ein Passwort fuer einen Online-Account merkt man sich anstelle eines komplexen Passworts nur eine Buchstaben-Zahlen Kombination. | Benötigt man nun ein Passwort für einen Online-Account, merkt man sich anstelle eines komplexen Passworts nur eine Buchstaben-Zahlen Kombination. |
| |
| Ein Beispiel: | Ein Beispiel: |
| |
| Passwort fuer google e-mail Account. | Passwort für google e-mail Account. |
| Man merkt sich die 7 und 'g' fuer google. | Man merkt sich die 7 und 'g' für google. |
| In Zeile 7 beginnt man nun ab Spalte g das Passwort abzulesen. Dies kann beliebig lang sein. | In Zeile 7 beginnt man nun ab Spalte g das Passwort abzulesen. Dies kann beliebig lang sein. |
| |
| |
| |
| Hat man sehr viel Accounts kann es mitunter Schwierig werden sich die Zahlen-Reihe zu merken fuer welchen Account man benutzt hat. Hier koennte man sich nur auf 2 oder 3 Zahlenreichen beschraenken, was der komplexitaet, im Falle eines Angriffes wenn man die Passworte-Karte kennt keine Verschlechterung darstellt. Der Angreifer weiss nicht auf welche Zahlen man sich eingeschraenkt hat. | Hat man sehr viel Accounts, kann es mitunter schwierig werden, sich die Zahlen-Reihe zu merken welche man für jeden Account man benutzt hat. Hier könnte man sich nur auf 2 oder 3 Zahlenreichen beschränken, was im Falle eines Angriffes, bei dem die Passwort-Karte bekannt wird, keine Verschlechterung darstellt: Der Angreifer weiß nicht auf welche Zahlen man sich eingeschränkt hat. |
| |
| Die Varianten die sich ergeben sind nur durch die jeweilige Phantasie und einfallsreichtung des Individiums eingeschraenkt. | Die Varianten die sich ergeben sind nur durch die jeweilige Fantasie und Einfallsreichtum des Individuums eingeschränkt. |
| Ebenso waere denkbar anstelle 'g' fuer google 'e' fuer e-mail oder 'm' fuer mail zu verwenden. | Ebenso wäre denkbar anstelle 'g' für google 'e' für e-mail oder 'm' für mail zu verwenden. |
| Eine andere Variante waere das man sich zwar 'g' fuer google merkt aber immer erst 1,2 oder 3 buchstaben danach anfaengt das Passwort abzulesen. Also Beispiel fuer 2 Buchstaben danach waere dann das man nicht bei 'g' anfaengt sondern bei 'i'. | Eine andere Variante wäre, dass man sich zwar 'g' für google merkt, aber immer erst 1,2 oder 3 Buchstaben danach anfängt das Passwort abzulesen. Ein Beispiel für 2 Buchstaben danach wäre, dass man nicht bei 'g' anfängt sondern bei 'i'. |
| Ebenso ist denkbar sich google zu merken aber nicht den Anfangsbuchstaben sondern den zweiten oder den letzten Buchstaben der Firma. Bei google waer der zweite buchstabe ein 'o' somit beginnt man hier zu tippen. Alternativ auch der letzte und somit 'e'. | Ebenso ist denkbar sich google zu merken, aber nicht den Anfangsbuchstaben, sondern den zweiten oder den letzten Buchstaben der Firma. Bei google wäre der zweite Buchstabe ein 'o', somit beginnt man hier zu tippen. Alternativ auch der letzte und somit 'e'. |
| |
| Als Europaer ist man gewohnt von links nach rechts zu lesen. Bei der Passwort-Karte kann man sich aber auch ausdenken z.B. von oben nach unten zu lesen. Also in der Spalte nach 'g' einfach nach unten das Passwort zu lesen. Oder auch rueckwaerts, so wie in arabischen Laendern teilweise das ueblich ist. | Als Europäer ist man gewohnt von links nach rechts zu lesen. Bei der Passwort-Karte kann man sich aber auch ausdenken z.B. von oben nach unten zu lesen. Also in der Spalte nach 'g' einfach nach unten das Passwort zu lesen. Oder auch rückwärts, so wie in arabischen Ländern teilweise das üblich ist. |
| |
| Ist man am Zeilen-Ende angelangt kann muss man auch nicht aufhoeren mit der Passwort ablesen. Entweder man liest in der selben Zeile weiter und faengt wieder von vorne an, also im Falle von '7g' faengt man bei '7a' zum weiterlesen an oder man nimmt die zeile darueber oder darunter. Man kann am Zeilen-Ende auch einfach nach unten weiterlesen. | Ist man am Zeilen-Ende angelangt, muss man auch nicht aufhören mit dem Passwortablesen. Entweder man liest in derselben Zeile weiter und fängt wieder von vorne an (also im Falle von '7g' fängt man bei '7a' zum weiterlesen an) oder man nimmt die Zeile darüber oder darunter. Man kann am Zeilen-Ende auch einfach nach unten weiterlesen. |
| |
| Man sieht also das die Kombinationsmoeglichkeiten lediglich durch die eigene Phantasie und die Motivation sich eine Regel auszudenken begrenzt sind. | Man sieht also, dass die Kombinationsmöglichkeiten lediglich durch die eigene Fantasie und die Motivation, sich eine Regel auszudenken, begrenzt sind. |
| |
| |
| === Vorteile der Karte === | === Vorteile der Karte === |
| |
| * Bei Verlust der Karte ist ein Account nicht sofort kompromitiert, vorrausgesetzt das ausgedachte Muster nicht bekannt ist. Oder gar auf der Karte markiert wurde. Dennoch sollte man sich moeglichst bald eine neue Karte erstellen. | * Bei Verlust der Karte ist ein Account nicht sofort kompromittiert, vorausgesetzt das ausgedachte Muster ist nicht bekannt. Oder gar auf der Karte markiert wurde. Dennoch sollte man sich möglichst bald eine neue Karte erstellen. |
| * Man kann sich mehrere Karten ausdrucken und diese auch an Freunde verteilen. Da das ausgedachte Muster entscheidet und nicht der aufgedruckte Code. | * Man kann sich mehrere Karten ausdrucken und diese auch an Freunde verteilen. Da das ausgedachte Muster entscheidet, und nicht der aufgedruckte Code. |
| * Bei der Passwort Eingabe muss die Karte nicht versteckt werden. Es duerfte sehr schwierig zu sehen sein welche Position man gerade mit dem Auge erfasst und eintippt. Ein mitverfolgen des Passworts ist daher wohl auch unmoeglich wenn der potentielle Attacker in direkter naehe befindet. | * Bei der Passwort Eingabe muss die Karte nicht versteckt werden. Es dürfte sehr schwierig zu sehen sein welche Position man gerade mit dem Auge erfasst und eintippt. Ein mitverfolgen des Passworts ist daher wohl auch unmöglich wenn der potenzielle Spion in direkter Nähe befindet. |
| * Verliert man die Karte sind nicht alle Passwoerter verloren insofern man sich die gleiche Ersatzkarte daheim aufbewahrt hat. Alternativ kann auch die gleiche Karte in der Arbeit, daheim und an verschiedenen Orten aufbewahrt werden. | * Verliert man die Karte sind nicht alle Passwörter verloren insofern man sich die gleiche Ersatzkarte daheim aufbewahrt hat. Alternativ kann auch die gleiche Karte in der Arbeit, daheim und an verschiedenen Orten aufbewahrt werden. |
| |
| |
| === Nachteile der Karte === | === Nachteile der Karte === |
| * Es besteht ebenfalls die Gefahr das man zu faul ist seine Passwoerter regelmaessig zu aendern. Verwendet man die Karte laenger koennen Abnutzungserscheiungen auftretten und potentielle Angreifer koennen daraus Rueckschluesse auf verwendete Reihen und Spalten schliessen. | * Es besteht ebenfalls die Gefahr das man zu faul ist seine Passwörter regelmäßig zu ändern. Verwendet man die Karte länger können Abnutzungserscheinungen auftreten und potenzielle Angreifer können daraus Rückschlüsse auf verwendete Reihen und Spalten schließen. |
| * Wird die Karte an zuviele Personen aus dem gleichen Umfeld verteilt kann es vorkommen das aufgrund keiner Muster, gleiche Passwoerter verwendet werden. | * Wird die Karte an zu viele Personen aus dem gleichen Umfeld verteilt kann es vorkommen das aufgrund keiner Muster, gleiche Passwörter verwendet werden. |
| |
| |
| ===== Files ===== | ===== Files ===== |
| |
| Bisher existiert nur die oben angefertigten JPG Files als Mock-UP und eine [[https://tab2.team23.org/~etd32460/pwdkarte/pwdkarte.tex|latex datei]] die allerdings noch nicht komplett ist. Scheitert aktuell an meinem rudimentaeren latex know-how. | Bisher existiert nur die oben angefertigten JPG Files als Mock-UP und eine [[https://tab2.team23.org/~etd32460/pwdkarte/pwdkarte.tex|latex Datei]] die allerdings noch nicht komplett ist. Scheitert aktuell an meinem rudimentären LaTeX know-how. |
| | |
| ===== Erfahrungen ===== | |
| | |
| ??? | |
| |
| | Eine URL mit Online Erstellung einer Passwort Karte - https://passcard.localgrid.de/ |
| |
| |
| |
| ===== Ideen/Kommentare/Updates ===== | |
| |