Die einfachste Form der Benutzerauthentifizierung, insbesondere im Web, ist das Kennwortauthentifizierungsprotokoll. Diese Authentifizierungsmethode zwingt Sie, sich Benutzername/Passwort-Kombinationen zu merken, um auf Konten oder spezielle Bereiche einer Website zuzugreifen. Obwohl sie effektiv und in gewisser Weise ein grundlegender Bestandteil der Online-Sicherheit sind, versagen Protokollauthentifizierungsprotokolle, wenn Sie sie nicht ernsthaft ansprechen. Das bedeutet, komplexe Passwörter zu erstellen und die Geheimhaltung zu wahren. Dies bedeutet auch, dass Entitäten, die die Kennwortauthentifizierung implementieren, Kennwörter in irgendeiner Weise schützen müssen.
Brute-Force-Angriffe und Komplexität
Sie können ein Kennwort normalerweise nicht erraten, es sei denn, Sie wissen etwas über den Benutzer dieses Kennworts, und nur dann, wenn das Kennwort etwas über diesen Benutzer darstellt. Computerprogramme können jedoch Brute-Force-Angriffe auf Passwortsysteme starten. Dies bedeutet, dass ein Programm ein bereitgestelltes Wörterbuch von Begriffen buchstäblich durchliest und jedes Wort versucht, bis die richtige Zeichenkombination das Passwort bricht. Um sich vor diesen Angriffen zu schützen, müssen Sie in der Regel komplexe Passwörter erstellen, die Zahlen, Buchstaben und Sonderzeichen enthalten, die schwer zu merken sind.
Speicherung und Verschlüsselung
Wenn Sie die Kennwortauthentifizierung verwenden, müssen Sie Kennwörter und Benutzernamen in einer Datenbank speichern, um Benutzer zu authentifizieren. Wenn Sie keine starke Serversicherheit haben, kann jemand in die Datenbank einbrechen und die Passwörter lesen. Eine Möglichkeit, dies zu beheben, besteht darin, das Kennwort-Hashing zu verwenden, bei dem das Kennwort durch einen Hash-Algorithmus ausgeführt wird, der einen eindeutigen Wert basierend auf dem Kennwort erzeugt und den Hash-Wert anstelle des Kennworts selbst speichert. Wenn die Datenbank verletzt wird, kann der Angreifer nur die Hashes lesen und hat keine Ahnung, was die Passwörter sind. Hashing in diesem Sinne existiert jedoch nur aufgrund der inhärenten Schwäche der Klartext-Passwortauthentifizierung.
Geheimhaltung und öffentliche Nutzung
Wie viele Menschen nutzen Sie das Internet wahrscheinlich an öffentlichen Orten wie Bibliotheken oder Cafés. Unweigerlich werden Sie sich an diesem öffentlichen Ort wahrscheinlich auch mit Passwörtern bei verschiedenen Websites anmelden. Dies führt zu mehreren Sicherheitsproblemen, die der Kennwortauthentifizierung inhärent sind. Erstens kann jemand in Ihrer Nähe über Ihre Schulter schauen und Ihr Passwort lesen oder auf Ihre Tastatur schauen und Ihre Tastenanschläge notieren. Zweitens könnte eine mit dem Netzwerk verbundene Person versuchen, Ihre Passwortinformationen abzufangen, während Sie sich mit Netzwerkprogrammen anmelden, die den lokalen Wi-Fi-Hotspot überwachen.
Benutzerinteraktion
Am wichtigsten ist vielleicht, dass Passwörter nur so stark und sicher sind, wie der Aufwand für ihre Pflege entspricht. Sie werden möglicherweise feststellen, dass viele Benutzer gängige Passwort-Tropen wie "Passwort", "1234" oder "Pass" als Passwörter für die von ihnen verwendeten Websites verwenden. Darüber hinaus verwenden viele das gleiche Passwort für mehrere Sites, was bedeutet, dass, wenn eine Site kompromittiert wird, auch jede andere Site, die dieses Passwort verwendet, kompromittiert wird. Außerdem werden Sie feststellen, dass viele Benutzer die Standardkennwörter nicht ändern, z. B. Kennwörter, die von Softwareherstellern definiert wurden, die nur vorübergehend funktionieren sollen. Wenn jemand das Standardpasswort des Herstellers für ein Produkt kennt, muss er diese Passwörter zuerst ausprobieren.