Ein kanonisches Maß für Passwortstärke: Formalisierung der Sicherheit gegen Ratenangriffe

1. Einleitung

Das Papier adressiert eine grundlegende Lücke in der Diskussion um Passwortsicherheit: das Fehlen einer rigorosen Definition von "Passwortstärke". Es argumentiert, dass aktuelle Ansätze oft anekdotisch sind und die Strategie des Angreifers nicht berücksichtigen. Die Autoren schlagen ein kanonisches Maß vor, das auf der Effizienz potenzieller Ratenangriffe basiert, und verlagern so den Fokus von Passwortmerkmalen auf Angriffsmerkmale.

2. Stand der Technik

Das Papier kritisiert den aktuellen Stand der Passwortsicherheit als "so düster wie die mittelalterliche Medizin" und zitiert Bruce Schneiers Beobachtung, dass viel Ratschlag auf Anekdoten statt auf Analyse basiert. Es hebt das Fehlen einer zufriedenstellenden Methode zur Messung der Stärke eines Passwortdatensatzes hervor, wie in jüngerer Literatur [3] festgestellt. Gängige Passwortstärkemesser werden als Messung von "Nachahmung" abgetan, nicht von echter Resistenz gegen intelligente Angriffe.

3. Kernidee & Logischer Ablauf

Kernidee: Passwortstärke ist keine intrinsische Eigenschaft einer Zeichenkette; sie ist eine relationelle Eigenschaft, die vollständig durch die Ratenstrategie des Angreifers definiert wird. Das Ziel des Verteidigers ist nicht, ein "starkes Passwort" im luftleeren Raum zu erschaffen, sondern eines, das sich gegen die Menge der machbaren Angriffsstrategien, die ein rationaler Gegner einsetzen könnte, schlecht schlägt.

Logischer Ablauf: Das Argument schreitet mit formaler Präzision voran:

Definiere einen Ratenangriff als eine geordnete Liste (Wörterbuch) von Kandidatenpasswörtern.
Beweise, dass sich zwei Angriffe nur durch die Reihenfolge dieser Liste unterscheiden.
Schließe daraus, dass die Stärke eines Passworts gegen einen spezifischen Angriff seine Position im Wörterbuch dieses Angriffs ist.
Da der Verteidiger die genaue Angriffsreihenfolge nicht kennt, muss er eine Menge plausibler Angriffe in Betracht ziehen.
Daher ist das Maß des Verteidigers für Stärke der Erwartungswert der Passwortposition über diese Menge von Angriffen.

Dies dreht das Skript um: Sicherheit wird als ein Spiel modelliert, bei dem der Verteidiger den Strategieraum des Angreifers schätzt.

4. Stärken & Schwächen

Stärken:

Konzeptionelle Strenge: Bietet die erste formale, angriffszentrierte Definition von Passwortstärke und geht über heuristische Faustregeln hinaus.
Spieltheoretische Grundlage: Rahmt die Passwortauswahl korrekt als strategische Interaktion ein, im Einklang mit moderner Sicherheitsanalyse wie in der Spieltheorie für Sicherheit-Forschung.
Entlarvt fehlerhafte Heuristiken: Entkräftet effektiv compliance-orientierte Richtlinien (z.B. "muss eine Zahl und ein Symbol enthalten"), die vorhersehbare Muster erzeugen.

Schwächen & Einschränkungen:

Berechnungskomplexität: Die Kernmetrik – die Berechnung des erwarteten Rangs über alle plausiblen Angriffe – ist für große Passworträume rechnerisch nicht durchführbar. Es ist ein theoretisches Ideal, kein praktisches Werkzeug für Echtzeit-Stärkemesser.
Lässt Schlüsselrealitäten aus: Das Modell geht von einem "Offline-Ratenangriff" mit unbegrenzten Versuchen aus und ignoriert Ratenbegrenzung, Kontosperrungen und Online-Erkennungssysteme, die die Strategie des Angreifers grundlegend verändern.
Keine Anleitung zur Angriffsmenge: Der kritische Sprung des Papiers – die Definition der "Menge machbarer Angriffe" – bleibt unterbestimmt. Wie modelliert ein Verteidiger diese Menge praktisch? Das ist der Kern des Problems.

5. Praktische Erkenntnisse

Für Sicherheitspraktiker erfordert dieses Papier einen Paradigmenwechsel:

Hören Sie auf, Nachahmung zu messen: Verwerfen Sie Passwortmesser, die nur Zeichenklassen prüfen. Sie trainieren Benutzer, Passwörter zu erstellen, die stark gegen den Messer sind, nicht gegen einen Angreifer.
Denken Sie in Verteilungen, nicht in Regeln: Anstatt Symbole vorzuschreiben, ermutigen Sie Benutzer, Passwörter aus einer hoch-entropischen Verteilung zu wählen, die wahrscheinlich nicht mit gängigen Angriffswörterbüchern übereinstimmt (z.B. durch Verwendung von Diceware oder Passwortmanagern).
Modellieren Sie Ihren Gegner: Führen Sie für kritische Systeme Threat Modeling durch, um die plausiblen Angriffsstrategien zu definieren (z.B. Brute-Force, Wörterbuch basierend auf früheren Leaks, gezielte persönliche Informationen). Passen Sie Passwortrichtlinien an, um diese spezifischen Strategien zu stören.
Akzeptieren Sie Unsicherheit: Geben Sie zu, dass eine perfekte Stärkemessung unmöglich ist. Das Ziel ist es, die Kosten und Unsicherheit für den Angreifer zu erhöhen, nicht eine perfekte Punktzahl zu erreichen.

6. Technischer Rahmen

6.1 Formales Angriffsmodell

Das Papier modelliert einen Ratenangriff $A$ als eine geordnete Sequenz (Wörterbuch) $D_A = (w_1, w_2, w_3, ...)$ von Kandidatenpasswörtern, wobei $w_i$ ein Wort aus einem endlichen Alphabet ist. Der Angreifer probiert Passwörter in dieser Reihenfolge bis zum Erfolg. Der Angriff ist "offline", was bedeutet, dass die Schnittstelle sofortiges Erfolgs-/Misserfolgs-Feedback ohne Limits liefert.

6.2 Mathematische Formulierung

Sei $p$ ein spezifisches Passwort. Für einen gegebenen Angriff $A$ ist die Stärke von $p$ definiert als sein Rang in $D_A$: $$S_A(p) = \text{rank}_A(p)$$ wobei $\text{rank}_A(p) = i$, wenn $p = w_i \in D_A$.

Da der Verteidiger das genaue $A$ nicht kennt, betrachtet er eine Menge $\mathcal{A}$ möglicher Angriffe. Die kanonische Passwortstärke $C(p)$ ist dann der erwartete Rang: $$C(p) = \mathbb{E}_{A \sim \mathcal{A}}[\,S_A(p)\,] = \sum_{A \in \mathcal{A}} P(A) \cdot \text{rank}_A(p)$$ wobei $P(A)$ die Wahrscheinlichkeit (oder Plausibilität) ist, die dem Angriff $A$ aus der Menge $\mathcal{A}$ zugewiesen wird. Diese Formulierung bindet Stärke direkt an die Überzeugung des Verteidigers über die Strategie des Angreifers.

7. Experimentelle Ergebnisse & Analyse

Konzeptuelles Experiment & Implikation: Während das Papier selbst keine empirischen Daten aus Softwareläufen präsentiert, demonstriert es logisch die Notwendigkeit seines Modells durch ein Gedankenexperiment. Es zeigt, dass zwei Passwörter, "Password123!" und "xQ37!z9pLm", von einem naiven Messer, der Länge und Zeichenvielfalt prüft, ähnliche Scores erhalten könnten. Allerdings wird "Password123!" in einer Brute-Force-Angriffsreihenfolge einen sehr niedrigen Rang (hohe Stärke) haben, aber einen extrem hohen Rang (geringe Stärke) in einem Wörterbuchangriff, der gängige Basiswörter und Muster priorisiert. Das kanonische Maß $C(p)$, das über beide Angriffstypen mittelt, würde die wahre Schwäche von "Password123!" im Vergleich zur zufälligen Zeichenkette aufdecken.

Diagramm-Interpretation (Konzeptuell): Stellen Sie sich ein Balkendiagramm vor, das drei Passwortbewertungsmethoden für eine Stichprobe von Passwörtern vergleicht:

Methode A (Naiver Messer): Zeigt "Password123!" und "xQ37!z9pLm" als gleich stark.
Methode B (Wörterbuchangriffs-Rang): Zeigt "Password123!" als sehr schwach (niedrige Rangzahl) und "xQ37!z9pLm" als stark (hohe Rangzahl).
Methode C (Kanonisches Maß $C(p)$): Zeigt einen gewichteten Durchschnitt. Der Score von "Password123!" stürzt aufgrund seiner hohen Wahrscheinlichkeit in Wörterbuchangriffen ab, während die zufällige Zeichenkette einen hohen Score behält. Dieses Diagramm würde visuell argumentieren, dass $C(p)$ besser mit der realen Knackbarkeit korreliert.

8. Analyse-Framework: Fallstudie

Szenario: Die Passwortrichtlinie eines Unternehmens verlangt: "Mindestens 12 Zeichen, einschließlich Großbuchstaben, Kleinbuchstaben, einer Zahl und eines Symbols."

Traditionelle Analyse: Ein Passwort wie "Summer2024!$" erfüllt die Richtlinie und erhält eine "Stark"-Bewertung von einem typischen Messer.

Analyse mit kanonischem Maß:

Definiere Angriffsmenge $\mathcal{A}$:
- $A_1$: Wörterbuchangriff mit gängigen Wörtern ("Summer"), Jahreszeiten, Jahren und gängigen Symbol-Suffixen ("!$"). Wahrscheinlichkeit: Hoch (0,7).
- $A_2$: Gezielter Angriff mit Firmennamen, Mitarbeiterinformationen. Wahrscheinlichkeit: Niedrig für Massenangriff (0,1).
- $A_3$: Vollständige Brute-Force im 12-Zeichen-Raum. Wahrscheinlichkeit: Extrem niedrig (0,001).
- $A_4$: Angriff mit Passwörtern aus früheren Leaks ähnlicher Unternehmen. Wahrscheinlichkeit: Mittel (0,199).
Schätze Ränge:
- $\text{rank}_{A1}("Summer2024!$")$: Sehr niedrig (z.B. in den Top 10 Millionen).
- $\text{rank}_{A2}(p)$: Könnte niedrig sein, wenn gezielt.
- $\text{rank}_{A3}(p)$: Sehr hoch (~$95^{12}$).
- $\text{rank}_{A4}(p)$: Potenziell niedrig, wenn das Muster häufig ist.
Berechne $C(p)$: Der erwartete Rang wird vom hochwahrscheinlichen Wörterbuchangriff $A_1$ dominiert, was zu einem niedrigen kanonischen Stärkescore führt und das Versagen der Richtlinie offenbart.

Schlussfolgerung: Die Richtlinie erzeugt eine vorhersehbare Verteilung. Das kanonische Framework zeigt, dass Verteidigung erfordert, diese Vorhersehbarkeit zu brechen, etwa durch Vorschreiben zufällig generierter Passwörter oder die Verwendung einer Blockliste bekannter schwacher Passwörter, was die Wahrscheinlichkeiten in $\mathcal{A}$ direkt verändert.

9. Zukünftige Anwendungen & Richtungen

Adaptive Passwortrichtlinien: Systeme könnten das kanonische Framework nutzen, um dynamische Richtlinien zu erstellen. Anstatt statischer Regeln könnte ein Backend-Dienst $\mathcal{A}$ basierend auf aktueller Threat Intelligence (z.B. neu geleakte Wörterbücher) schätzen und Passwörter mit einem niedrigen $C(p)$-Score gegen dieses aktualisierte Modell ablehnen.
Passwortmanager-Integration: Passwortmanager sind ideal für die Implementierung. Sie können ein lokales Modell von $\mathcal{A}$ (basierend auf globalen Leak-Daten und heuristischen Regeln) pflegen und es nutzen, um Passwörter zu generieren, die $C(p)$ maximieren. Dies verwandelt das theoretische Modell in eine praktische, benutzertransparente Sicherheitsverbesserung.
Formale Sicherheitsbeweise: Das Modell bietet eine Grundlage für formale Beweise der Sicherheitseigenschaften von Passwortgenerierungsalgorithmen in der akademischen Literatur, ähnlich wie Verschlüsselungsalgorithmen analysiert werden.
Hybride Bedrohungsmodelle: Zukünftige Arbeit muss das kanonische Maß mit realen Einschränkungen wie Ratenbegrenzung integrieren. Die Angriffsmenge $\mathcal{A}$ würde dann nicht nur Passwortreihenfolgen, sondern auch Strategien zur Verteilung von Rateversuchen über Zeit und Konten enthalten.
Maschinelles Lernen für $\mathcal{A}$: Das große offene Problem – die Definition der Angriffsmenge – könnte mit ML angegangen werden. Systeme könnten Modelle an tatsächlichen Knackversuchen und geleakten Passwörtern trainieren, um kontinuierlich die Wahrscheinlichkeitsverteilung $P(A)$ über Strategien zu lernen und zu aktualisieren und so ein sich bewegendes Ziel für Angreifer zu schaffen.

10. Referenzen

Panferov, E. (2016). A Canonical Password Strength Measure. arXiv:1505.05090v4 [cs.CR].
Schneier, B. (2007). Schneier on Security. Wiley.
Bonneau, J. (2012). The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords. IEEE Symposium on Security and Privacy.
Shannon, C. E. (1948). A Mathematical Theory of Communication. The Bell System Technical Journal.
Florêncio, D., & Herley, C. (2007). A Large-Scale Study of Web Password Habits. Proceedings of the 16th International Conference on World Wide Web.
Ur, B., et al. (2015). Do Users' Perceptions of Password Security Match Reality? Proceedings of the 2015 CHI Conference on Human Factors in Computing Systems.
NIST Special Publication 800-63B (2017). Digital Identity Guidelines: Authentication and Lifecycle Management.
Wang, D., et al. (2016). The Tangled Web of Password Reuse. NDSS Symposium 2016.