Seite 2: Berechtigung per Passwort

Inhaltsverzeichnis

Wie stelle ich nun aber sicher, dass nur Berechtigte(s) "passieren" dürfen/darf, wenn ich gar nicht alle meine Pappenheimer, sprich Assets, kenne? Schon vor Jahrtausenden wies man sich durch Parolen oder Losungen als militärischer Bote aus, um nicht als Spion abgefangen zu werden. Oder heute, um als VIP in den Club gelassen zu werden.

Ein Passwort ist also etwas, das ich weiß. Und eventuell auch noch andere – aber Unberechtigte hoffentlich nicht. Aus Sicht des zu schützenden Systems zeichnet die Kenntnis des Passworts als zum Kreis der Berechtigten gehörig aus beziehungsweise definiert diesen Kreis erst. Wir wissen zwar nicht, wer das ist, aber jemand hat dieser Person das geheime Passwort verraten, also wird sie wohl dazugehören, ähnlich wie ein sozialer Code. Das muss reichen in diesem groben System der Regelung des Zutritts, der Zugriff heißt, wenn es sich um digitale Boten(-gänge) handelt.

Nun gibt es eine ganze Wissenschaft und eine noch größere Folklore rund um die Frage, was gute Passwörter sind und was ein guter Umgang mit ihnen. Dabei steckt alles bereits in der Definition: Etwas, das wirklich (nur) ich weiß, lässt sich nicht verlässlich durch Kürze (admin), Wörterbücher (iloveyou), Hochzählen (hunter2) oder ständige Passwortwechsel (johnny2023) produzieren. Zufall hilft wahrscheinlich. Und dieser letzte Satz ist an und für sich so schön, dass man ihn hätte schreiben sollen, selbst wenn er nicht korrekt gewesen wäre. Ein weiterer Teil der Kunst beschäftigt sich mit der Frage, wie Passwörter vor dem Gestohlenwerden geschützt werden können (salzen, pfeffern, verdauen, hashen …) – dazu an anderer Stelle mehr.

Einfach alles schützen

Wenn diese Passierscheine flächendeckend vorliegen, kann ich ein System von Checkpoints einrichten, die diese möglichst engmaschig abfragen, und muss dann im Prinzip gar nicht mehr alle Assets kennen. Die Kenntnis des Passworts oder eines anderen Geheimnisses hat das Verteidigungsproblem von einem militärisch-physischen (Hast du alle Straßen im Blick? Auch im Dunkeln? Erkennst du eine Spionin?) in ein linguistisches transformiert (Kannst du mir das Wort nennen?). Und darin sind Computer unschlagbar. (ur)