Authentifizierung

Ganz allgemein bedeutet authentifizieren: zu prüfen, ob eine Behauptung zutrifft. Zum Beispiel wird geprüft, ob ein Kunstwerk hinsichtlich der behaupteten Identität, des behaupteten Alters oder der behaupteten Herkunft authentisch, das heisst echt ist.¹⁾ Im Bereich der Computerwissenschaften – unserem Bereich – geht es fast immer um die Prüfung der Identität oder Berechtigung einer Person.

Wie geht das? Wie prüfen wir, ob die Person „auf der anderen Seite“ auch die ist, die sie zu sein behauptet? Diese Frage war auch für die sieben Geisslein im Märchen der Gebrüder Grimm relevant. Dass es sich bei dem Wesen hinter der Tür nicht um ihre Geissen-Mutter, sondern um den Wolf handelte, erkannten Sie zunächst an biometrischen Daten: Stimme und Pfoten-Farbe. Der einigermassen schlaue Wolf schaffte es aber, mit Täuschungsmanövern beide Prüfungen zu bestehen, sodass die Geisslein ihm die Türe öffneten.

In der realen Welt, in der wir uns mit unseren Körpern begegnen, sind solche Täuschungen nicht so einfach: Menschen, die wir kennen, erkennen wir ziemlich gut an Stimme, Aussehen und Verhalten. Es wäre schwierig, jemandem glaubhaft zu machen, z. B. seine Schwester oder sein Bruder zu sein. Wenn wir uns aber als unbekannte Personen vorstellen, könnten wir leicht behaupten, jemand anderes zu sein. Deshalb ist es in manchen Situationen erforderlich, dass wir uns (zum Beispiel mit einer Identitätskarte) ausweisen: So kann die Behauptung „Ich bin X“ authentifiziert werden.

Auch in der virtuellen Welt, in der wir uns über Bildschirme und/oder Lautsprecher begegnen, werden Täuschungen einfacher. Woher weiss ich, dass die Person, mit der ich gerade im Chat schreibe, wirklich diese Person ist? Ob nicht jemand anderes gerade das Smartphone oder den Laptop am anderen Ende bedient?

Aufgabe A – Authentifizierung im Alltag (und in den Ferien)

Authentifizierungen im Internet sind dir bestens bekannt. Nenne vier Situationen im Alltag oder in den Ferien, in denen Authentifizierung „in der realen Welt“ stattfinden.

Auf vielen Webseiten und Plattformen reicht die Angabe eines korrekten Passworts, um zu „beweisen“, dass man eine bestimmte Person oder ein bestimmter Benutzer ist.²⁾ Wer es schafft, an mein Passwort zu kommen, kann auf der jeweiligen Webseite auf mein Benutzerkonto und alle dort vorhandenen Informationen zugreifen. Eine Authentifizierung, die nur auf ein Passwort schaut, gilt daher als relativ unsicher. In diesem Kapitel lernst du, welche Passwörter sicherer sind als andere und weshalb Passwörter grundsätzlich nicht sicher genug sind.

Wir schreiben einen Code, der mit der Brute-Force-Methode versucht, ein geheimes Wort herauszufinden. Dazu geht der Code einfach alle möglichen Kombinationen von Zeichen durch, bis er das richtige Wort gefunden hat.

Python-Kenntnisse auffrischen

Bevor du wieder loslegst mit Programmieren: Hier einige Übungen zum Auffrischen deiner Python-Kenntnisse.

Aufgabe B1 – Brute Force Version 1

Schreibe einen Code, der alle möglichen Wörter, die aus genau zwei Kleinbuchstaben (keine Grossbuchstaben, Zahlen, Sonderzeichen, …) bestehen, in der Konsole ausgibt.

Verwende dazu zwei verschachtelte Schleifen.

Am einfachsten packst du alle Buchstaben in einen String (Text):

alphabet = 'abcdefghijklmnopqrstuvwxyz'

Ein String in Python verhält sich ähnlich wie eine Liste von Buchstaben - du kannst auf die einzelnen Buchstaben mit den eckigen Klammern zugreifen wie auf die Elemente einer Liste. Mehrere Buchstaben (oder Strings) lassen sich mit dem + Operator wieder aneinanderreihen:

word = alphabet[24] + alphabet[4] + alphabet[18]
print(word)

Zudem lässt sich auch eine for-Schleife über alle Buchstaben eines Strings laufen:

for letter in alphabet:
    print(letter)

Aufgabe B2 – Brute Force Version 2

Schreibe einen Code, der ein Passwort, welches aus genau vier Kleinbuchstaben besteht, hacken kann.
Schreibe den Code mit mehreren verschachtelten Schleifen.
Deklariere dazu eine Variable password = input("..."), in welcher dein:e Kolleg:in ein solches Passwort eingeben kann. Dein Code soll dann alle möglichen Kombinationen von vier Kleinbuchstaben durchgehen und mit dem geheimen Wort vergleichen. Dies entspricht dem versuchten Einloggen mit allen möglichen Kombinationen.
Sobald das richtige Wort gefunden wurde, wird das Wort ausgegeben und der Code abgebrochen.
Messe nun noch, wie lange die Suche dauert. Verwende dazu das Time-Modul:

import time # fuege diese Zeile ganz am Anfang ein
t0 = time.time() # bestimmt aktuelle Zeit in Anzahl Sekunden seit 1.1.1970 und speichert in Variablen t0
 
# hier mein anderer Code
 
t = time.time() - t0 # bestimme nach Ausführen des Codes Zeit erneut und subtrahiere Zeit von vorher. Damit erhält man Zeit, die Code dazwischen benötigt hat

Dein Code soll (zusätzlich zum ermittelten Passwort) eine Nachricht wie folgt ausgeben: Die Suche benötigte 264172 Versuche und dauerte 0.124 Sekunden.

Aufgabe B3 – Brute Force Version 3 (optional)

Schreibe nun einen Code, der Passwörter mit einer unbekannten Länge bestimmen kann. Der Code soll also Passwörter wie „ze“ oder „fqie“ hacken können.
Gebe eine obere Grenze an Stellen (z.B. $n=5$) ein, nach der er abbrechen soll.
Dazu soll der Code der Reihe nach alle 1-stelligen, dann 2-stelligen, …Wörter durch, bis das gesuchte Wort gefunden oder die Obergrenze erreicht wurde.
Tipp: Verwende die Funktion itertools.product(..., repeat=n), mit der man alle möglichen Kombinationen durchgehen kann. Wie funktioniert diese? ~~Google~~ Internetsuche!
Anstelle selbst eine Liste mit Symbolen festzulegen, kannst du auch eingebaute Funktionen verwenden:

import string
print(string.ascii_lowercase)
print(string.ascii_uppercase)
print(string.printable)

Aufgabe B4 – Brute Force Version 4 (optional)

Schreibe deine eigene permutation(...) Funktion. Tipp: Verwende dazu Rekursion.

Tipps zu Rekursion

Rekursive Funktionen sind solche, die sich selbst aufrufen.

Beispiel Fakultät: Die Fakultät berechnet sich wie folgt: $$n! = n \cdot (n-1) \cdot \ldots \cdot 3 \cdot 2 \cdot 1$$ Zum Beispiel $5! = 5 \cdot 4 \cdot 3 \cdot 2 \cdot 1$. Offensichtlich gilt also $5! = 5 \cdot 4!$. Um die Fakultät von $5$ zu berechnen, kann man also zuerst die Fakultät von $4$ berechnen und das Resultat mit $5$ multiplizieren. An die Fakultät von $4$ kommt man über die Fakultät von $3$ usw. Ganz wichtig ist, eine Abbruchbedingung einzubauen. Für die Fakultät ist diese, dass $1! = 1$.

Tipp: Schreibe die Funktion factorial(n), die die Fakultät von $n$ rekursiv berechnet.

def factorial(n):
    ...
    ... = factorial(n-1)
    ...

Aufgabe C – Wie lange dauert es mit und ohne Sonderzeichen?

Kopiere den Code unten und speichere ihn in einer neuen Datei.
1. Von den Zeilen 5 und 6 muss jeweils eine auskommentiert, also deaktiviert sein und die andere soll aktiviert sein:
  1. wenn Zeile 5 aktiviert ist, werden für jede Passwortstelle 26 Zeichen geprüft (alle Kleinbuchstaben).
  2. wenn Zeile 6 aktiviert ist, werden für jede Passwortstelle 100 Zeichen geprüft (Zahlen (0…9), Klein- und Grossbuchstaben sowie Sonderzeichen)
Teste den Code mit verschiedenen Einstellungen und Passwörtern und notiere in einer Tabelle wie unten (nutze Sheets oder Excel), wie lange die Suche gedauert hat:
1. Probiere für jede Anzahl Stellen jeweils zwei Passwörter aus – ein einfaches wie 'aaa' und ein schwieriges wie 'zzz' – und trage jeweils den Durchnitt der beiden Zeiten in die Tabelle ein.
2. Achtung: Für Passwörter mit Sonderzeichen nicht mehr als 4 Stellen eingeben. Sonst dauerts zu lange
3. In der rechten Spalte (alle Zeichen) hast du für die letzten zwei Zeilen keine Messwerte. Aber du kannst die Zeiten aufgrund der bisherigen Messwerte berechnen. Siehe „Berechnung der Komplexität“ unten.
4. Freiwillig: Erstelle ein Diagramm von deiner Tabelle.
Berechne aufgrund deiner gemessenen Daten: Wie viele Tage dauerte es durchschnittlich, ein 7-stelliges Passwort zu knacken, das auch Sonderzeichen und Ziffern enthält.

Passwortlänge (Anzahl Zeichen)	Zeit Kleinbuchstaben (Sekunden)	Zeit Alle Zeichen (Sekunden)
3	0.000	0.000
4	0.000	0.000
5	0.000
6	0.000

Zur Berechnung der Komplexität

Die Komplexität berechnet sich aus der Länge des Alphabets $l$ und der Passwortlänge $n$ als $l^n$.
Für ein dreistelliges Passwort aus Kleinbuchstaben gibt es also $26^3$ Kombinationen.

Ausprobieren mit dem Code unten oder direkt hier.

Code zum Kopieren:

import string
import itertools
import time
 
alphabet = string.ascii_lowercase # alle Kleinbuchstaben (26 Zeichen)
# alphabet = string.printable # Ziffern 0...9, Klein- und Grossbuchstaben, Sonderzeichen (100 Zeichen)
 
password = input("Bitte Passwort eingeben:")
t0 = time.time()
 
# erst alle einstelligen Kombinationen, dann alle zweistelligen etc.
for i in range(1, len(password) +1):
    for combination_list in itertools.product(alphabet,repeat = i):
        combination_word = ''.join(combination_list)  ## [a,a,b] --> 'aab'
        if combination_word == password:
            t = time.time() - t0
            print("Das Passwort lautet: {}.".format(combination_word))
            print("Die Suche dauerte {:.3f} Sekunden.".format(t))
            break

Längere Passwörter sind sicherer

Du hast oben gesehen, dass es schon für ein 7-stelliges Passwort sehr lange dauern kann, bis es geknackt ist.

„Ist mein Passwort „Arbon77“ also sicher genug?“ denkst du vielleicht. – NEIN! Aus folgenden Gründen:

Unser Code ist nicht sehr effizient und deine CPU, die den Code ausgeführt hat, ist nicht die schnellste.
Mit optimiertem Code und mit dem Einsatz hochwertiger CPUs oder GPUs lassen sich Passwörter deutlich schneller knacken.
Die Rechenleistung kann auf mehrere Computer verteilt und so die Zeit nochmals verkürzt werden (Cloud-Computing).
Wenn dein Passwort eine bekanntes Wort enthält, kann es nochmals viel schneller gehen. Denn der Code könnte zuerst einfach eine Liste mit bekannten Wörtern durchsuchen und jeweils prüfen, ob es im Passwort vorkommt.

Deshalb sollten deine Passwörter mindestens 8-stellig sein und nicht ein Wort im Wörterbuch sein. Beachte ausserdem die Hinweise im folgenden Kapitel. Am sichersten ist es, wenn neben dem Passwort weitere Faktoren geprüft werden. Siehe |Mehrere Faktoren.

Wenn eine Webseite, eine App oder eine Plattform (wie Instagram oder Microsoft Office) Daten von dir speichert und diese nur durch ein Passwort schützt, ist das relativ unsicher. Denn dein Passwort könnte in die Hände anderer gelangen. Zum Beispiel durch Social-Engineering-Methoden oder dadurch, dass eine Plattform dein Passwort nicht sicher genug speichert: Aufgrund sogenannter Datenpannen (data breaches) gelangen immer wieder mal grosse Mengen von Benutzerdaten an die Öffentlichkeit. Auf der Seite haveibeenpwned.com kannst du nachschauen, ob die Daten aus einem Benutzerkonto zu deiner E-Mail-Adressen mal an die Öffentlichkeit gelangt sind.

Um auch hier eine möglichst hohe Sicherheit zu erreichen, empfiehlt sich:

Verwende starke und unterschiedliche Passwörter: Hier kannst du prüfen, wie sicher ein Passwort ist und erhältst Tipps für sichere Passwörter sowie Empfehlungen für Passwortmanager.
Vor allem dort, wo es dir wichtig ist, dass niemand an deine Daten kommt, solltest du unbedingt ein anderes und stärkeres Passwort verwenden, als beispielsweise für dein Login bei irgendeinem Webshop, bei dem du nur selten was bestellst.
Der einfachste und sicherste Weg: Verwende ein Passwortmanager. Dieser bietet gleich mehrere Vorteile:
1. Du hast ein starkes und einzigartiges Passwort für jede Webseite.
2. Automatische Eingabe: Eine Phishing-Seite wird als solche erkannt, dass Passwort wird dann nicht automatisch eingegeben.
3. Passwörter müssen nicht gemerkt oder irgendwo aufgeschrieben werden.

Angenommen, du hast einen Gegenstand (z.B ein Tagebuch, ein Foto oder ein Superkräfte verleihender Trank), der auf keinen Fall in die Hände von jemand anderem gelangen darf. Du verschliesst den Gegenstand in einem bombensicheren Safe. Um den Safe zu öffnen, braucht es einen Pin Code. Was aber, wenn irgendjemand den Code herausfindet? Um die Sicherheit zu erhöhen, bringst du ein weiteres Schloss an, für das es einen Schlüssel braucht, den nur du hast. Was aber, wenn jemand heimlich eine Kopie deines Schlüssel anfertigt? Du erhöhst die Sicherheit nochmal: Ein weiteres Schloss mit Fingerabdruck-Scanner öffnet sich nur, wenn du deinen Daumen hinhältst.

Dein Safe verfügt nun über eine Drei-Faktor-Authentifizierung. Zwar ist es auch möglich, eine Fingerabdruck-Überprüfung zu täuschen, aber es ist für jemanden ausser dir äusserst schwierig, alle drei Schlösser zu öffnen! Dieser jemand müsste etwas besonderes wissen, das nur du weisst: den Code. Und er müsste etwas besonderes haben, das nur du hast: den Schlüssel. Und er müsste etwas besonderes sein, das nur du bist: Der Mensch mit genau diesem Fingerabdruck.

Das ist die Idee hinter einer Authentifizierung mit mehreren Faktoren: Es sollen Einzelheiten aus unterschiedlichen Kategorien geprüft werden:

Wissensfaktoren (knowledge factors) prüfen etwas, was der Benutzer weiss: Zum Beispiel ein Passwort oder ein Pin-Code.
Besitzfaktoren (ownership fators) prüfen, ob der Benutzer etwas hat: Zum Beispiel einen Schlüssel, ein bestimmtes Smartphone, eine Bank- oder Identitätskarte oder ein Security-Token.
Inhärenzfaktoren (inherence factors) prüfen etwas, das dem Benutzer inhärent (innewohnend, anhaftend) ist. Wir könnten auch sagen: etwas, was der Benutzer ist oder tut: Hierzu gehören biometrische Daten wie Fingerabdruck, Gesichtsmuster oder Stimme. Auch die eigene Unterschrift ist ein Inhärenzfaktor.

Bei einer Zwei-Faktor-Authentifizierung (Two-factor authentication) werden Einzelheiten aus zwei dieser drei Kategorien geprüft. Der Ausdruck Multi-factor authentication lässt offen, ob zwei oder drei Faktoren erforderlich sind.

Ein entscheidender Vorteil der Mehrfaktor-Authentifzierung im Internet besteht darin, dass mehrere Anfgriffsvektoren nötig sind, um ein Benutzerkonto zu knacken:

Es ist wohl einfach, ein einzelnes Token oder Mobiltelefon zu stehlen, aber schwierig, gleich 1000 oder mehr davon zu stehlen. Diese Art des Angriffs lässt sich also nicht leicht skalieren.
Dagegen ist es sehr einfach, ein Virus oder Keylogger auf tausenden von Geräten zu verbreiten oder eine Phishing-Mail an tausende von Benutzer:innen zu senden. Diese Art des Angriffs lässt sich gut skalieren.
Für die meisten Betrüger:innnen lohnt sich der Aufwand eines Angriffs erst dann, wenn damit gleich mehrere Benutzerkonten auf einmal geknackt werden können.

Aufgabe D – Wo und wann werden mehrere Faktoren geprüft?

Angenommen, du hättest an deinem Safe einfach drei Pin-Code-Schlösser. Wäre das dann auch eine Drei-Faktor-Authentifizierung? Wäre sie mehr oder weniger sicher als die Variante mit Schlüssel, Pin-Code und Fingerabdruck?
Überlege zu den Situationen, die du in Aufgabe A genannt hast, welche Faktoren (Wissen, Besitz, Inhärenz) jeweils geprüft werden:
1. Eintritt zu einem Konzert, Mobiltelefon entsperren, Prüfungszulassung (z.B. Aufnahmeprüfung), Reisen in andere Länder (am Zoll), Covid-Zertifikat mit Ausweis, Fahrerlaubnis via Führerschein, Bahnbillet mit Swisspass etc.
Viele Leute zahlen Rechnungen heute direkt mit der E-Banking-App auf ihrem Smartphone: App öffnen, Rechnung scannen, Zahlung bestätigen. Welche Authentifzierung ist dabei erfolgt? Beschreibe mit obigen Fachbegriffen.

Aufgabe E – Prüfe und verbessere deine IT-Sicherheit

Analyse:
1. Erstelle eine Liste aller Webseiten, die du (seltener oder öfter) besuchst und die eine Authentifizierung erfordern.
2. Überlege, bei wie vielen du die gleiche E-Mail-Adresse und das gleiche Passwort nutzt.
3. Du nutzt wohl auch Apps, die eine Authentifizierung verlangen, jedoch nur einmalig, bei jedem erneuten Öffnen ist keine neue Authentifizierung nötig. Was ist die Überlegung dahinter? Was wird vorausgesetzt?
Schwachstellen schliessen:
1. Überlegen, welche Lösung dir am sinnvollsten erscheint: Passwortmanager im Browser? Andere Passwortmanager?
2. Nötige Änderungen vornehmen: Zweifaktor-Authentifzierung aktivieren, evtl. PW-Manager installieren, evtl. einzelne Passwörter ändern.
3. Mindestens Folgende Sicherheitsmassnahmen müssen Sie umgesetzt haben:
  1. Besonderes Passwort und 2FA beim E-Mail-Konto
  2. Laptop und Smartphone mit Passwort/Fingerabdruck o.ä. gesperrt.

Aufgabe F

Brute-Force Attacken, bei denen alle möglichen Buchstabenkombinationen erzeugt werden, funktionieren nur für relativ kurze Wörter. Eine andere Möglichkeit ist, eine lange Liste mit beliebten Passwörtern durchzugehen und sehen, ob eines davon passt.

Schreibe ein Programm, in dem man sein Passwort eingeben kann. Das Programm soll dieses dann mit den am meisten verwendeten Passwörtern vergleichen. Listen mit diesen findest du im Internet (siehe unten).
Verwendest du selbst Passwörter, die in diesen Listen vorkommen? Nutze deinen Code, um nach diesen zu suchen. Falls ja: Ändere diese!
Kommt dein Vorname in dieser Liste vor? An welcher Stelle?

Top-1 Million Passwörter: z.B. Top-1 Million: https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/Common-Credentials/10-million-password-list-top-1000000.txt

Mit dem folgenden Code kann man über die URL auf ein Online-Text-File zugreifen und dieses einlesen.

Hinweis: Der Code funktioniert so nur in TigerJython (oder Python2). Wenn du Python3 (z.B. in Visual Studio Code) verwendest, musst du stattdessen import urllib.request as urllib2 importieren.

import urllib2
 
data = urllib2.urlopen(<Pfad zu File als String>)
 
for line in data:
    print(line.strip()) # Achtung: keine gute Idee, wenn File sehr viele Zeilen beinhaltet! Baue z.B. Counter ein, damit nach z.B. 100 Ausgaben abbricht

Alternativ kann ein File auch heruntergeladen und eingelesen werden.

Aufgabe G

In der Brute-Force Aufgabe weiter oben hast du gesehen, wie man alle möglichen Wörter erzeugen kann. Dies kann nicht nur für Hacker praktisch sein sondern kann dazu verwendet werden, um Fantasiewörter (z.B. Namen für Fantasy-Story) zu erfinden. Hier lohnt es sich aber, die Buchstaben zufällig auszuwählen (Stichwort: random-Modul) und gewisse Regeln zu implementieren, damit die erzeugten Wörter sich auch schön anhören. Einfach Regel: Vokale und Konsonanten sollen sich abwechseln.

Implementiere einen Code, der zufällige Fantasiewörter generiert. Was sind deine besten Kreationen?

Tipp: Hast du einen String s mit lauter Grossbuchstaben, so kannst du diesen mit print(s.capitalize()) in ein Wort umwandeln, welches gross beginnt und danach klein weitergeführt wird.

Du kannst die folgenden zwei Strings mit Konsonanten und Vokalen verwenden:

consonants = 'BCDFGHJKLMNPQRSTVWXYZ'
vowels = 'AEIOU'

¹⁾

Jemand könnte mit einem Gemälde daher kommen und sagen: „Seht her: Dieses Bild ist von Vincent van Gogh!“ – Nun gibt es einige Möglichkeiten, seine Behauptung zu prüfen. Wird festgestellt, dass das Bild tatsächlich (bzw. sehr wahrscheinlich) von Van Gogh ist, ist es als Van-Gogh-Bild authentifiziert. Vielleicht wird auch festgestellt, dass es bloss eine Kopie, nicht echt, nicht authentisch ist.

²⁾

„Benutzer/Benutzerin“ und „Person“ meinen etwas völlig Unterschiedliches. Das wird auch dadurch klar, dass eine Person mehrere Benutzer sein kann und theoretisch für jedes Konto andere Namen und E-Mail-Adressen angeben könnte. Oft aber sind die Informationen, die zu einem Benutzer gespeichert sind, sehr zahlreich und deckungsgleich mit den Informationen über die Person, zu der das Benutzerkonto gehört.

Dies ist eine alte Version des Dokuments!

Authentifizierung

Übersicht

Aufgabe A – Authentifizierung im Alltag (und in den Ferien)