TU Darmstadt / ULB / TUprints

Generating and Managing Secure Passwords for Online Accounts

Horsch, Moritz (2018)
Generating and Managing Secure Passwords for Online Accounts.
Technische Universität
Ph.D. Thesis, Primary publication

[img]
Preview
Text
Generating and Managing Secure Passwords for Online Accounts.pdf - Published Version
Copyright Information: CC BY-NC-ND 4.0 International - Creative Commons, Attribution NonCommercial, NoDerivs.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Generating and Managing Secure Passwords for Online Accounts
Language: English
Referees: Buchmann, Prof. Dr. Johannes ; Mitchell, Prof. Dr. Chris J.
Date: 2018
Place of Publication: Darmstadt
Date of oral examination: 18 September 2017
Abstract:

User accounts at Internet services contain a multitude of personal data such as messages, documents, pictures, and payment information. Passwords are used to protect these data from unauthorized access. User authentication based on passwords has many advantages for both users and service providers. Users can use passwords across many platforms, devices, and applications and do not need to carry an additional device. Service providers can implement password-based user authentication with little effort and operate it with low cost per user.

However, passwords have a key problem: the conflict between security and ease of use. For security reasons, passwords must be attack-resistant, individual for each account, and changed on a regular basis. But, these security requirements make passwords very difficult to use. They require users to create and manage a large portfolio of passwords. This poses three problems: First, the generation of attack-resistant passwords is very difficult. Second, the memorization of many passwords is practically impossible. Third, the regular change of passwords is very time-consuming. These problems are aggravated by the different password requirements, interfaces, and procedures of services. The preservation of passwords for users such as storing passwords on user devices mitigates the memorization problem, but it raises new problems: the confidentiality, availability, recoverability, and accessibility of the preserved passwords. Despite decades of research, the problems of passwords are not solved yet. Consequently, secure passwords are not usable in practice. As a result, users select weak passwords, use them across accounts, and barely change them.

In this thesis, we introduce the Password Assistance System (PAS). It makes secure passwords usable for users. This is achieved by automation and comprehensive support. PAS covers all aspects of passwords. It generates, preserves, and changes passwords for users as well as ensures the confidentiality, availability, recoverability, and accessibility of the preserved passwords. This reduces the efforts and activities of users to deal with passwords to a minimum and thus enables users to practically realize secure passwords for their online accounts for the first time.

PAS is the first solution that is capable of handling the different password implementations of services. This is achieved by a standardized description of password requirements, interfaces, and procedures. Moreover, PAS is solely realized on the user-side and requires no changes on the service-side. Both features ensure the practicability of PAS and make it ready to be used.

PAS solves the password generation problem by creating attack-resistant, individual, and valid passwords for users automatically. Users just need to provide the URL of a service to generate an optimal password for an account. Our uniform description of password requirements provides the information to generate passwords in accordance with the individual password requirements of services. PAS is able to generate the requirements descriptions automatically by extracting the password requirements of services from their websites. So far, this was done for 185,696 services. Moreover, PAS is equipped with an optimal password-composition rule set for the event that services do not explicitly state their password requirements, which is the usual case. By means of the optimal rule set, PAS also generates attack-resistant passwords with the best possible acceptance rate in case of unknown password requirements.

PAS solves the password memorization problem by preserving passwords for users. This releases users from memorizing their passwords and facilitates to use individual passwords for accounts. PAS makes users' password portfolios available on all their devices as well as automatically synchronizes changes. PAS achieves this without storing passwords at servers so that an attacker cannot steal them from servers. Moreover, PAS provides a backup solution to recover the preserved passwords in case of loss. Users need to create backups only once and do not have to update them even when their password portfolios change. Consequently, users can keep backups completely offline at secure, different, and physically isolated locations. This minimizes the risk of compromise and loss as well as enables an emergency access to the passwords for trusted persons. Moreover, PAS has a built-in revocation mechanism. It allows users to completely invalidate devices and backups in case they lose control over them. This guarantees that no passwords can be stolen from lost user devices and backups once revoked. Users always have full control of their passwords.

PAS solves the password change problem by changing passwords automatically for users. Users neither need to create new passwords nor manually log in to their accounts. Our uniform description of password interfaces and procedures provides the information to change passwords at arbitrary services. Moreover, PAS is the first solution that provides autonomous password changes. It changes passwords on a regular basis with respect to the security level of passwords as well as immediately after PAS detects a compromise of users' passwords.

The practicability of PAS is demonstrated by an implementation. The individual components of PAS can be used independently, integrated into other applications, and combined to a single user application, called a password assistant.

In summary, this thesis presents a solution that makes secure passwords usable. This is done by automation and comprehensive support in the generation and management of passwords.

Alternative Abstract:
Alternative AbstractLanguage

Nutzerkonten bei Internetdiensten enthalten eine Vielzahl von personenbezogenen Daten wie Nachrichten, Dokumente, Bilder und Bankdaten. Um diese sensiblen Daten vor unberechtigtem Zugriff zu schützen werden Passwörter verwendet. Eine Passwort-basierte Authentisierung hat für Nutzer und Dienstanbieter viele Vorteile. Nutzer können Passwörter bei verschiedenen Plattformen, Geräten und Anwendungen auf die gleiche Art und Weise nutzen. Dienstanbieter können eine Passwort-basierte Authentisierung leicht implementieren sowie mit wenig Aufwand und geringen Kosten betreiben.

Passwörter haben jedoch ein zentrales Problem: Der Konflikt zwischen Sicherheit und Nutzbarkeit. Aus Sicherheitsgründen müssen Passwörter diversen Angriffen wie Wörterbücher, Brute-Force, usw. widerstehen, sich zwischen Konten unterscheiden und regelmäßig geändert werden. Jedoch führen diese drei Sicherheitsanforderungen dazu, dass Passwörter sehr schwer nutzbar sind. Um die Sicherheitsanforderungen zu erfüllen, müssen Nutzer ein großes Portfolio an Passwörtern erstellen und verwalten. Dies führt zu drei Problem: Erstens ist es sehr schwierig sichere Passwörter zu erstellen. Zweitens ist es praktisch unmöglich sich viele Passwörter zu merken. Drittens ist es sehr zeitaufwendig Passwörter regelmäßig zu ändern. Die unterschiedlichen Passwort-Anforderungen sowie Schnittstellen und Prozeduren zur Nutzung von Passwörtern der Dienstanbieter tragen zu einer Verschärfung dieser Probleme bei. Durch das Speichern von Passwörtern auf Nutzergeräten müssen sich Nutzer zumindest ihre Passwörter nicht mehr merken. Jedoch schafft dieser Lösungsansatz neue Probleme: Die Vertraulichkeit, Verfügbarkeit, Wiederherstellbarkeit und Zugreifbarkeit im Notfall der gespeicherten Passwörter muss gewährleistet werden. Trotz jahrelanger Forschung und unzähligen Lösungsvorschlägen sind die Probleme von Passwörtern bis heute nicht gelöst. Daher können Nutzer in der Praxis sichere Passwörter nicht verwenden. Nutzer wählen daher im Alltag einfache Passwörter, verwenden die gleichen Passwörter für mehrere Konten und ändern Passwörter nur sehr selten.

In dieser Arbeit stellen wir das Password Assistance System (PAS) vor. Es ermöglicht Nutzern sichere Passwörter für ihre Konten bei Dienstanbietern im Internet zu verwenden. Dies geschieht durch eine Automatisierung und einer umfassenden Unterstützung bei der Generierung und Verwaltung von Passwörtern. PAS berücksichtigt und umfasst alle Aspekte und Bereiche von Passwörtern. Es generiert, speichert und ändert regelmäßig die Passwörter von Nutzern. Es stellt außerdem die Vertraulichkeit, Verfügbarkeit, Wiederherstellbarkeit und Zugreifbarkeit im Notfall der gespeicherten Passwörter sicher. PAS reduziert damit den Aufwand und die Aufgaben von Nutzern hinsichtlich ihrer Passwörter auf ein Minimum. Nutzer sind mit PAS das erste Mal in der Lage sichere Passwörter in der Praxis einzusetzen.

PAS ist die erste Lösung, die mit den verschiedenen Implementierungen von Passwörtern bei Dienstanbietern umgehen kann. Dies wird durch eine einheitliche Beschreibung der Passwort-Anforderungen, -Schnittstellen und -Prozeduren erreicht. Außerdem ist PAS eine reine Nutzer-seitige Lösung und erfordert keine Änderungen auf Seiten der Dienstanbieter. Mit diesen zwei Eigenschaften ist der Einsatz von PAS in der Praxis gewährleistet.

PAS löst das Problem der Erstellung sicherer Passwörter indem es automatisch Passwörter für Nutzer generiert. Diese Passwörter sind sicher gegen Angriffe, unterschiedlich für jedes Nutzerkonto und entsprechen den jeweiligen Passwort-Anforderungen der Dienstanbieter. Dazu müssen Nutzer nur die URL eines Dienstanbieters angeben. PAS generiert dann ein optimales Passwort automatisch. Eine einheitliche Beschreibung der verschiedenen Passwort-Anforderungen bildet die Grundlage um Passwörter im Einklang mit den jeweiligen Passwort-Anforderungen der Dienstanbieter zu generieren. PAS ist in der Lage diese Beschreibungen automatisch zu erstellen, indem es die Passwort-Anforderungen von den Webseiten der Dienstanbieter extrahiert. Die einheitlichen Beschreibungen der Passwort-Anforderungen wurden in dieser Arbeit bereits für 185.696 Dienstanbieter erstellt. Des Weiteren nutzt PAS optimierte Regeln für die Erstellung von Passwörtern für den Fall, dass die Passwort-Anforderungen eines Dienstanbieters nicht zur Verfügung stehen. Dies gilt für die Mehrheit der Dienstanbieter im Internet, wie wir in einer umfassenden Studie in dieser Arbeit zeigen. Mit diesen Regeln generiert PAS Passwörter, die sicher gegen Angriffe sind und von der Mehrzahl der Dienstanbieter akzeptiert werden.

PAS löst das Problem das sich Nutzer nur wenige Passwörter merken können indem es die Passwörter speichert. Damit ist es möglich unterschiedliche Passwörter für Nutzerkonten zu verwenden. PAS sorgt darüber hinaus dafür, dass die Passwörter auf allen Geräten der Nutzer zur Verfügung stehen einschließlich neuer und geänderter Passwörter. Dies geschieht jedoch ohne die Passwörter auf Servern im Internet zu speichern. Angreifer sind daher nicht in der Lage, die Passwörter von Servern zu stehlen. PAS stellt auch eine Backup Lösung bereit, so dass Nutzer ihre Passwörter nicht verlieren können. Ein Backup muss dabei nur einmal erstellt werden. Eine Aktualisierung ist nicht erforderlich, auch wenn sich Passwörter ändern. Diese Eigenschaft erlaubt es, Backups an sicheren und verschiedenen Orten aufzubewahren. Dies reduziert das Risiko, dass Backups selbst verloren oder zerstört werden, sowie Angreifer Zugriff auf diese erhalten. Darüber hinaus können damit Backups bei vertrauenswürdigen Personen hinterlegt werden, so dass diese im Notfall Zugriff auf die Passwörter haben. PAS bietet darüber hinaus ein Revokationsmechanismus für Nutzergeräte und Backups an. Mit diesem sind Nutzer in der Lage darauf enthaltenen PAS-spezifischen Daten nutzlos zu machen. Angreifer können dann keine Passwörter von gestohlenen Geräten oder Backups entwenden. Nutzer haben damit zu jeder Zeit die volle Kontrolle über ihre Passwörter.

PAS löst ebenfalls das Problem der regelmäßigen Änderungen von Passwörtern. Dies erledigt PAS vollautomatisch. Nutzer müssen weder neue Passwörter erstellen, noch sich bei ihren Konten anmelden. Die einheitliche Beschreibung der Password-Schnittstellen und -Prozeduren der Dienstanbieter ermöglicht eine Automatisierung von Passwort-Änderungen bei beliebigen Diensten. Außerdem ist PAS die erste Lösung die Passwörter autonom ändert. Dies geschieht in regelmäßigen Abständen mit Hinblick auf das Sicherheitsniveau der Passwörter und sobald PAS ein Missbrauch von Passwörtern feststellt.

Die Praxistauglichkeit von PAS ist durch eine Implementierung demonstriert. Die Komponenten von PAS können dabei einzeln genutzt sowie in andere Anwendungen integriert werden. Verbunden zu einer Nutzerapplikation bilden sie den Password Assistant.

Zusammenfassend stellt diese Arbeit ein System bereit, das die Nutzung von sicheren Passwörtern bei Nutzerkonten ermöglicht. Dies wird durch eine Automatisierung und einer umfangreichen Unterstützung bei der Generierung und Verwaltung von Passwörtern erreicht.

German
URN: urn:nbn:de:tuda-tuprints-70039
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Theoretical Computer Science - Cryptography and Computer Algebra
Date Deposited: 01 Feb 2018 10:26
Last Modified: 09 Jul 2020 01:56
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/7003
PPN: 425383881
Export:
Actions (login required)
View Item View Item