Passwortsicherheit – Ein hoffnungsloser Fall?
Allen Optimierungen gemeinsam ist der Wunsch nach mehr Sicherheit.
Spätestens mit dem Aufkommen moderner Passwort-Cracker lässt sich bei einer gegebenen Passwortlänge und einem festgelegten Zeichenvorrat sehr genau abschätzen, wie lange das Brechen eines Passworts mit roher Gewalt („Bruteforce“) dauern wird.
Die Idee ist simpel: Je komplexer und länger das Passwort, umso länger dauert es – und umso sicherer das Passwort. So die gängige Meinung…
Leider ist die Problematik nicht ganz so eindimensional. Inzwischen spielen mehrere Faktoren eine ganz erhebliche Rolle bei der Passwortsicherheit.
Gut?
Inzwischen ist ein Trend zu laxeren Passwortrichtlinien zu beobachten. Weniger im Hinblick auf die Passwortlänge, eher auf den geforderten Zeichenvorrat.
Während manche dies als „weniger sicherheitsaffin“ abtun, sehe ich hier etwas anderes: Immerhin ist das Eingeben von Passwörtern mit Sonderzeichen auf einem mobilen Endgerät aufwändig. Also fordert man nur noch Zeichen, die auf der Standardtastatur von Smartphones einfach zu erreichen sind.
Diese Entscheidung ergibt dann mehr Sinn, wenn man sich die Situation in Helpdesks vor Augen führt.
Am Mobilgerät schwer einzugebende Passwörter sorgen für einen massiv höheren Aufwand beim Anwendersupport. Um dem entgegenzuwirken, werden die Richtlinien manchmal gelockert…
Zu gut gemeint?
Die Forschung zum effizienten Knacken von Passwörtern ist sehr weit fortgeschritten.
Untersuchungen zum Schritt davor – der Frage, wie wir Menschen Passwörter „erdenken“ – tauchen erst in letzter Zeit vermehrt auf.
Eine aktuelle Studie der University of North Carolina kommt zu dem Ergebnis, dass zu häufige Passwortwechsel und zu strenge Vorgaben der Sicherheit eher schaden als nützen.
Dann nämlich neigen Benutzer dazu, das „alte“ Passwort mit einfachen Modifikationen immer weiter zu nutzen – und z. B. nur die Groß-/Kleinschreibung zu ändern oder weitere Zeichen anzuhängen.
Forscher haben vor diesem Hintergrund nun Verfahren entwickelt, die bei einem bestehenden Grundpasswort viele häufige Modifikationen ausprobieren und damit viel schneller zum Ziel kommen.
Gut genug?
In vielen Sicherheitsschulungen wird den Nutzern eingetrichtert, verschiedene Passwörter für verschiedene Zugänge zu nutzen und zwischen Privatem und Geschäftlichem zu trennen.
Doch der Mensch ist ein Gewohnheitstier, die Realität sieht anders aus.
Man muss davon ausgehen, dass viele auch für ihre privaten Accounts gleiche oder ähnliche Passwörter nutzen. Dadurch wird plötzlich auch der Hack eines Drittanbieters oder Lieferanten relevant – besonders, wenn Passwörter im Klartext entwendet werden.
Denn damit haben Angreifer auf einen Schlag eine große Basis an Grundpasswörtern zur Verfügung, die sie mit Modifikationen einfach mal gegen den Firmenzugang ausprobieren können.
Ende gut, alles gut?
Das Beispiel der Passwörter zeigt, dass Sicherheit kein eindimensionaler technischer Prozess ist. Technische Entscheidungen haben direkten Einfluss auf weitere Dimensionen, auf Menschen und Prozesse.
Eine Entscheidung, die das System in technischer Hinsicht sicherer macht, hat unter Umständen massive Einflüsse auf andere Dimensionen, sodass die Sicherheit des Gesamtsystems leiden kann.
Benötigt man wirklich für alle Dienste das Maximale-Sicherheit-mit-Sonderzeichen-Passwort, oder ist eine dem Vertraulichkeitsgrad angemessene Authentifizierung nicht auch „gut genug“?
Oder adressiert andererseits das Rumdoktern am Passwort nicht einfach nur das Symptom? Eventuell ist in bestimmten Fällen eine Authentifizierung via Zwei-Faktor oder Biometrie sinnvoll.
Die Entscheidung, wie welche Zugänge zu schützen sind, hängt von den Mitarbeitern, Diensten, Prozessen und technischen Möglichkeiten ab.
Und diese Entscheidung ist letztlich nach einer Risikobetrachtung und -bewertung, die mehr als nur die technische Dimension berücksichtigt, zu treffen.
Pauschal Richtig oder Falsch gibt es hier nicht – Entscheidungen sind immer im Kontext des Einsatzzwecks und der Risikobereitschaft zu sehen. Und das gilt für Passwörter genauso wie für andere Techniken und Prozesse in der IT-Sicherheit.