zurück zur Übersicht

Password Day – Willkommen im Sonderzeichendschungel

Wissen Sie, was letzten Donnerstag war? Richtig. Global Password Day.

Oh nein!, werden sie jetzt denken. Nicht schon wieder dieser alte Hut.

Doch. Leider schon. Authentisierung und Autorisierung sind und bleiben ein großes Thema in der IT-Sicherheit. Dabei gibt es inzwischen abseits der immer wiederkehrenden Mahnungen und Tipps einige recht interessante Denkanstöße.

Gutes Passwort, schlechtes Passwort

Zuerst einmal aber zu den Basics, die Sie womöglich liebend gern überspringen, denn sie sind ja weitläufig bekannt und in diversen Medien (etwas sarkastisch auch bei uns) ausgiebig aufgelistet worden. Die wichtigsten Eckpunkte für ein theoretisch sicheres Passwort auf einen Blick:

Genau genommen widersprechen eigentlich alle Punkte auf der Liste dem letzten, denn wer kann schon alle Nase lang seine 27 perfekten, unknackbaren Passwörter mit mindestens genauso komplexen, perfekten Passwörtern ersetzen, ohne irgendwann die Übersicht zu verlieren? Da kommt dann der empfohlene Passwort-Manager ins Spiel, der zugegebenermaßen das Leben sehr viel einfacher macht. Fehlt nun also nur noch das ultimative Passwort für diesen Passwort-Safe. Das sollte allerdings wesentlich einfacher sein, als alle 27 im Kopf zu behalten.

Falls das auf Sie abschreckend wirkt, versuchen Sie mal, Ihr Passwort (vielleicht nicht unbedingt Ihr aktuellstes und am Besten bloß einen Hashwert davon) hier zu testen. Das Wissen darum, dass der eigene Zugangscode für so gut wie alles schon öffentlich im Netz verfügbar ist und wahrscheinlich nicht nur von Ihnen verwendet wird, wirkt manchmal Wunder.

Sind Passwörter überhaupt noch nötig?

So weit so bekannt, aber haben Sie mitbekommen, dass einer der Schöpfer der NIST-Passwortrichtlinien, Bill Burr, letztes Jahr zugegeben hat, dass er manche seiner Ratschläge bereut? Das Problem liegt im Unterschied zwischen Theorie und Praxis.

  1. Ein Mitarbeiter, der alle 90 Tage aufgefordert wird, sein Passwort zu ändern, fängt erfahrungsgemäß spätestens im dritten oder vierten Durchgang frustriert an, sein Passwort nur noch leicht abzuändern. Im schlimmsten Fall wird das Passwort von Durchgang zu Durchgang weniger komplex und einfacher zu erraten, denn es ist ja nur ein temporäres Passwort.
  2. Einem Computer ist es egal, was für Zeichen in einem Passwort enthalten sind. Mit ein bisschen Tuning knackt er „hallo!“ beinahe genauso schnell wie „H41l0!“. Versuchen Sie allerdings mal, sich zu erinnern, wie das zweite Passwort geschrieben war. Wissen Sie es noch, ohne zu mogeln? Fakt ist – wie in diesem XKCD wunderbar treffend abgebildet –, dass wir inzwischen recht gut darin geworden sind, uns selbst Steine in den Weg zu legen. Weniger komplexe, aber dafür leichter zu merkende und wesentlich längere Passwörter können hier Abhilfe schaffen.

Darauf sollten Sie sich allerdings nicht verlassen. Zwei-Faktor- oder biometrische Authentifizierung schafft eine zusätzliche Ebene der Sicherheit. Inzwischen gibt es sogar Sammlungen von Standards und Spezifikationen, um die allgegenwärtige Authentifizierung sowohl einfacher als auch sicherer zu gestalten. Klingt utopisch? Schauen Sie sich das Projekt „FIDO“ einmal genauer an.

Einige Anbieter von Online-Services haben schon reagiert und bieten Zwei-Faktor-Authentifizierung für ihre Kunden an. Hier können Sie nachschauen, welche von Ihren privat häufig genutzten Seiten alternative Anmeldemöglichkeiten anbieten und wie Sie sie konfigurieren können.

Im Dschungel der Passwort-Monster und Sonderzeichen-Schlangen ist also noch nicht alles verloren. Vielleicht lassen sich dann in Zukunft nicht mehr über 50% aller Security Incidents auf den Diebstahl von Credentials oder auf Standardpasswörter zurückführen. Das wäre doch großartig und all die Mühe wert.

 


Bild: ©SecureLink Germany GmbH 2018

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer