Umgang mit Passwörtern
Derzeit sind Benutzernamen und Kennwortanmeldeinformationen die am häufigsten für die Authentifizierung verwendeten Anmeldeinformationen. Auch wenn andere Arten von Anmeldeinformationen, z. B. Zertifikate und Biometrie, beginnen, ihren Weg in die Welt der Systeme und Netzwerke zu finden, werden sie häufig durch Kennwörter gesichert. Und selbst wenn Zertifikate verwendet werden, müssen ihre Verschlüsselungsschlüssel geschützt werden. Benutzernamen und Kennwörter werden also in absehbarer Zeit weiterhin für Anmeldeinformationen verwendet.
Angesichts der Tatsache, dass Kennwörter und Verschlüsselungsschlüssel eine Weile herumgehen, ist es wichtig, dass Softwaresysteme sie auf sichere Weise verwenden. Wenn ein Netzwerk- oder Computersystem sicher bleiben soll, müssen Kennwörter vor Eindringlingen geschützt werden. Dies mag zunächst trivial erscheinen. System um System und Netzwerk um Netzwerk wurde kompromittiert, weil ein Angreifer die Passwörter der Benutzer ausspähen konnte. Die Probleme reichen von Benutzern, die ihre Kennwörter für jemanden freigeben, bis hin zu Software, die von einem Angreifer durchgedrungen werden kann.
Es ist unmöglich, geheime Informationen in softwaresicherer Weise zu speichern. Und da das Speichern von Kennwörtern und Verschlüsselungsschlüsseln in einem Softwaresystem niemals vollständig sicher sein kann, wird empfohlen, dass sie nicht in einem Softwaresystem gespeichert werden.
Wenn Jedoch Kennwörter in einem Softwaresystem gespeichert werden müssen, was in der Regel der Fall ist, gibt es Vorsichtsmaßnahmen, die getroffen werden können. Die primäre Vorsichtsmaßnahme besteht darin, es für einen Eindringling so schwierig wie möglich zu machen, ein Kennwort zu ermitteln. Genau wie bei verriegelten Haustüren, wenn jemand entschlossen ist, einzubrechen, ist es fast unmöglich, ihn daran zu hindern. Aber hoffentlich haben Sie den Schwierigkeitsgrad ausreichend erhöht, dass der Eindringling eher leichtere Beute finden würde.
Es gibt viele Möglichkeiten, es Angreifern schwerer zu machen, Kennwörter zu entdecken. Das Ausmaß dessen, was tatsächlich getan werden kann, ist in der Regel ein Kompromiss mit dem, was die Benutzer des Netzwerks oder Systems bereit sind zu akzeptieren. Nehmen Sie z. B. den Fall, in dem "Einmaliges Anmelden" nicht verwendet wird, und der Benutzer jedes Mal, wenn eine Anwendung gestartet wird, zur Eingabe eines Kennworts aufgefordert wird. In den meisten Fällen würde dies eine erhebliche Belastung für die Benutzer verursachen, und sie würden sich wahrscheinlich beschweren. Nicht nur das, aber das Fehlen eines einmaligen Anmeldens ist ineffizient und würde die Produktivität der Benutzer beeinträchtigen. Praktischerweise wird ein Kennwort in der Regel nicht von einem Benutzer erfasst, außer zum Zeitpunkt der Anmeldung.
Da Kennwörter in der Regel auf dem Softwaresystem gespeichert werden müssen, ist es wichtig, sicherzustellen, dass Kennwörter so sicher wie möglich aufbewahrt werden und dass die Benutzerfreundlichkeit beibehalten wird. Weitere Informationen finden Sie in den folgenden Themen:
Anmerkung
Wenn Sie die Verwendung von Kennwörtern in Anwendungen abgeschlossen haben, löschen Sie die vertraulichen Informationen aus dem Speicher, indem Sie die SecureZeroMemory-Funktion aufrufen.