Abwehrmaßnahmen gegen Wörterbuchangriffe

Infineon Security Platform

Infineon Security Platform Lösung

Abwehrmaßnahmen gegen Wörterbuchangriffe

Hinweise:
  • Dieses Thema gilt nur für Security Platforms mit einem Trusted Platform Module 1.2. Die Details des Security Platform Abwehrmechanismus gegen Wörterbuchangriffe gelten nur für Security Platforms mit einer Infineon Trusted Platform Module 1.2.
  • Dieses Thema richtet sich hauptsächlich an Security Platform Besitzer.

Die Security Platform Solution wehrt Wörterbuchangriffe mit folgenden Maßnahmen ab:

  • Bei mehrfachen fehlgeschlagenen Authentifizierungsversuchen wird die Security Platform bis zum nächsten Systemneustart vorübergehend deaktiviert. Der Security Platform Besitzer kann so zusätzliche Maßnahmen gegen die Angriffe ergreifen, bevor die Security Platform erneut aktiviert wird.
  • Zusätzlich ist eine Sperrzeit aktiv: Weitere Authentifizierungsversuche werden für eine gewisse Zeit verweigert. Mit jedem weiteren fehlgeschlagenen Versuch wird die Abwehrstufe erhöht. Das bedeutet, dass die Sperrzeit verdoppelt wird.
  • Treten während eines gewissen Zeitraums keine weiteren fehlgeschlagenen Authentifizierungsversuche auf, wird die Abwehrstufe wieder verringert.
  • Der Security Platform Besitzer kann die Abwehrstufe zurücksetzen.

Die folgenden Darstellungen verdeutlichen diese Maßnahmen.

Erhöhung der Abwehrstufe bei wiederholten fehlgeschlagenen Authentifizierungsversuchen

Die Darstellungen zeigen, wie durch fehlgeschlagene Authentifizierungsversuche die Abwehrstufe und die Sperrzeit erhöht werden, wenn die Security Platform nicht vorübergehend deaktiviert wird.

Abwehr-
stufe
  Sperrzeit
  Zeit 
               Authentifizierungsversuche

In diesem Beispiel liegt der Schwellenwert beim fünften Authentifizierungsversuch. Der Angreifer setzt die Authentifizierungsversuche fort. Das heißt, die Abwehrstufe steigt, sobald die zurzeit aktive Sperrzeit abgelaufen ist.

Vermeiden der Erhöhung der Abwehrstufe durch vorübergehende Deaktivierung der Security Platform

Um in einer frühen Phase weitere Angriffe zu blockieren und lange Sperrzeiten zu verhindern, wird die Security Platform vorübergehend deaktiviert, sobald der Schwellenwert der Abwehr überschritten wird.

Abwehr-
stufe
   
  Sperrzeit    vorübergehend deaktiviert
  Zeit 
               Authentifizierungsversuche

In diesem Beispiel kann die Security Platform nicht mehr angegriffen werden, auch dann nicht, wenn die Sperrzeit abgelaufen ist.Die Security Platform wird erst nach einem Systemneustart wieder aktiviert.

Automatisches Verringern der Abwehrstufe

Diese Darstellung zeigt, dass die Abwehrstufe nach einer gewissen Zeit verringert wird, sofern keine weiteren fehlgeschlagenen Authentifizierungsversuche erfolgt sind.

Abwehr-
stufe
Auto-Verringerungszeit
      Zeit
  Authentifizierungsversuch Auto-Verringern

In diesem Beispiel sehen Sie, wie die Abwehrstufe und die Sperrzeit wegen eines fehlgeschlagenen Authentifizierungsversuchs erhöht wurden (rot). Es wird vorausgesetzt, dass das System nach einer kurzen Zeit (grau) neu gestartet wird. Ist die Auto-Verringerungszeit abgelaufen, wird die Abwehrstufe automatisch verringert. Beachten Sie, dass bei niedrigen Abwehrstufen die Auto-Verringerungszeit viel höher ist als die Sperrzeit.

Hinweise:
  • Die Auto-Verringerungszeit hängt nicht von der Sperrzeit und dem Systemneustart ab.
  • Auto-Verringern erfordert keinen Systemneustart.
  • Bei niedrigen Abwehrstufen ist die Auto-Verringerungszeit viel höher, als die Sperrzeit.

Zurücksetzen der Abwehrstufe

Diese Darstellung zeigt die vom Security Platform Besitzer zurückgesetzte Abwehrstufe.

Abwehr-
stufe
 
      Zeit
Authentifizierungsversuch reset

Wie in der vorhergehenden Darstellung sehen Sie die Erhöhung der Abwehrstufe, die Sperrzeit (rot) und die vorübergehende Deaktivierung des Systems bis zum nächsten Neustart (grau). Hier wird angenommen, dass der Security Platform Besitzer die Abwehrstufe zurückgesetzt hat, da er die schrittweise automatische Verringerung der Abwehrstufe nicht abwarten will.

Standard-Abwehreinstellungen gegen Wörterbuchangriffe

Die folgende Tabelle zeigt einige für Infineon Trusted Platform Module übliche Standard-Abwehreinstellungen gegen Wörterbuchangriffe. Die aufgelisteten Werte können bei Ihrem Trusted Platform Module abweichen.

Zugelassene Versuche zur Schlüsselauthentifizierung (z. B. zur Security Platform Benutzerauthentifizierung verwendet)

5 Nach 5 fehlgeschlagenen Versuchen innerhalb von 6 Stunden werden Abwehrmaßnahmen gegen Wörterbuchangriffe ergriffen (siehe Richtlinie Schwellenwert für Wörterbuchangriffe konfigurieren und Abwehreinstellungen gegen Wörterbuchangriffe konfigurieren).

Erlaubte Authentifizierungsversuche für Security Platform Besitzer

3 Nach 3 fehlgeschlagenen Versuchen innerhalb von 6 Stunden werden Abwehrmaßnahmen gegen Wörterbuchangriffe ergriffen (siehe Richtlinie Schwellenwert für Wörterbuchangriffe konfigurieren und Abwehreinstellungen gegen Wörterbuchangriffe konfigurieren).

Zugelassene Versuche zur Datenauthentifizierung (z. B. bei Windows BitLocker in Kombination mit einer PIN verwendet)

10 Nach zehn fehlgeschlagenen Versuchen innerhalb von sechs Stunden werden Schutzmaßnahmen gegen Wörterbuchangriffe eingeleitet (siehe Richtlinie Schwellenwert für Wörterbuchangriffe konfigurieren und Abwehreinstellungen gegen Wörterbuchangriffe konfigurieren).

Minimale Sperrzeit

~10 s Die anfängliche Sperrzeit nach dem Überschreiten des Schwellenwerts beträgt 10 Sekunden.

Maximale Sperrzeit

~24 h Die maximale Sperrzeit beträgt 24 Stunden. Dieses Limit wird bei weniger als 15 fehlgeschlagenen Authentifizierungsversuchen nach dem Überschreiten des Schwellenwerts erreicht.

Abwehrstufe Auto-Verringerungszeit

~6 h Ungefähr 6 Stunden nach dem Erreichen einer bestimmten Abwehrstufe wird die Abwehrstufe automatisch um 1 verringert.
Beachten Sie, dass dies nur zutrifft, wenn innerhalb von 6 Stunden keine weiteren fehlgeschlagenen Authentifizierungsversuche erfolgt sind. Das würde zu einer Erhöhung der Abwehrstufe um 1 führen.

Diese Einstellungen gewährleisten bei einem tatsächlichen Wörterbuchangriff eine höhere Sicherheitsstufe. Andererseits werden unbeabsichtigt falsche Kennworteingaben flexibel und benutzerfreundlich behandelt.

Die Sperrzeit und die Auto-Verringerungszeit für die Abwehrstufe laufen nur auf eingeschalteten Systemen ab.


©Infineon Technologies AG