Arbeitskreis Usable Security & Privacy | Beitrag vom
–
Passwörter – Usabilitydefizite und Empfehlungen
Mit einer kleinen Serie von Blogbeiträgen möchten wir als Arbeitskreis "Usable Security & Privacy" für den sicheren Umgang mit Passwörtern sensibilisieren, mit einigen Mythen aufräumen und zugleich einige Tipps und Empfehlungen geben, die aus unserer Sicht geeignet sind. Im ersten Teil geht es um Schwächen bei der heutigen Praxis der Passwort-Verwendung, insbesondere Usabilitydefizite.
Was ist an der heute gängigen Praxis schlecht?
- Passwörter werden auf Zettel/Post-its geschrieben.
- Oft verwenden Nutzer für verschiedene Konten dieselben Passwörter, ggf. durchpermutiert oder mit einem Anhängsel wie "123" versehen. Die Folge: Erbeutet ein Hacker ein Passwort, kann er leicht die übrigen Zugänge knacken.
- Die IT muss dauernd Zugänge zurücksetzen, weil Nutzer sich die Passwörter nicht merken können und es keinen Self-Service für ein Password-Reset gibt (oder dieser zu kompliziert ist).
- Oft gibt es keine Beschränkung der fehlgeschlagenen Login-Versuche (Lockdown). Ein Angreifer kann also beliebig oft versuchen, die richtige Kombination aus Benutzernamen und Passwort zu erraten.
- Passwörter sind oft unzureichend geschützt, werden z. B. im Klartext gespeichert und unverschlüsselt übertragen.
Jahrelang wurde auf falsche Regeln zur Passwortsicherheit vertraut, indem z. B. die Verwendung von Sonderzeichen oder das regelmäßige Ändern der Passwörter vorgeschrieben wurde:
Verwendung von Sonderzeichen vs. Passwortlänge
Bei einem sogenannten Brute-Force-Angriff – dies ist eine beliebte Angriffsmethode, bei der Passwörter wahllos und automatisiert "erraten" werden – ist auch ein Sonderzeichen lediglich ein weiteres Zeichen. Da jedes zusätzliche Zeichen die Passwortsicherheit erhöht, ist jedoch ein langes Passwort ohne Sonderzeichen sicherer als ein kurzes Passwort mit Sonderzeichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher, für Onlinezugänge Passwörter mit mindestens zwölf Zeichen, für WLAN-Zugänge Passwörter aus mindestens zwanzig Zeichen zu verwenden [2]. Phrasen, die gerade beliebt sind ("DuKommstNichtVorbei"), sollten natürlich vermieden werden.
Ändern der Passwörter
Ein Passwort, das in falsche Hände geraten ist, nutzt dem Angreifer nur bis zur nächsten Änderung. Daher schreiben viele Organisation vor, sämtliche Passwörter regelmäßig zu ändern. Zu häufige Passwortwechsel bergen allerdings die Gefahr, dass die Nutzer sich die Passwörter schlechter merken können und durcheinanderkommen. In der Folge werden oft schwache Passwörter verwendet, Hilfsmittel wie Post-its genutzt oder allzu vorhersehbare Änderungen durchgeführt, wie z. B. das Hochzählen. Eine an sich sinnvolle Regelung [3] sorgt in diesem Fall also für weniger statt mehr Sicherheit [4].
Nutzerunfreundlichkeit fördert das Missachten von Sicherheitsvorgaben
Für viele Nutzer ist es wichtig, sich Passwörter merken zu können. Ist dies nicht der Fall, greifen sie zu unsicheren Hilfsmitteln. Daher sind sehr lange Passwörter bzw. Passphrasen, die nicht in Wörterbüchern stehen und bei denen nach persönlichen Regeln Abkürzungen, Sonderzeichen oder Austauschungen verwendet werden, kryptischen Passwörtern vorzuziehen, die man sich nicht merken kann. Dies ist insbesondere dann der Fall, wenn eine unbeschränkte Anzahl von Versuchen mit verschiedenen Passwörtern nach der Brute-Force-Methode möglich ist.
Weiterführende Links:
Süddeutsche Zeitung: Fünf Regeln für bessere Passwörter
SECUSO für den Bürger / für KMU mit Schulungseinheiten zum Schutz von Benutzerkonten und Quiz
National Cyber Security Centre: Password policy: updating your approach
Quellen:
[1] Thycotic’s Cyber Security Blog: 5 Shocking Insights into the Social Network Habits of Security Professionals [And Infographic]
[2] BSI für Bürger: Passwörter
[3] Carleton University: 4 Reasons to Change Your Password Regularly
[4] SECUSO: Hintergrundwissen zum regelmäßigen Ändern von Passwörtern