Skip to main content
main-content

30.08.2017 | Elektronische Identifikation | Kommentar | Onlineartikel

So ein Passwort-(V)!5+!

Autor:
Sven Eisenkrämer

Passwörter sind von gestern. Unternehmen, Organisationen und Behörden in aller Welt halten aber weiterhin an einer der größten Schwachstellen der IT-Sicherheit fest. Warum nur?

Der Erfinder der modernen Passwortregeln hat sich bei Computernutzern aus aller Welt entschuldigt. Schwer zu erratende und somit auch für den Nutzer schwer zu merkende Passwörter mit Kombinationen aus Ziffern, Buchstaben und Sonderzeichen seien gar nicht sicherer als beispielsweise lange Sätze, hat der mittlerweile pensionierte US-Amerikaner Bill Burr kürzlich in einer Show des US-Fernsehsenders CBS gesagt. 

Empfehlung der Redaktion

01.04.2016 | Schwerpunkt | Ausgabe 4/2016

Was ist starke Authentisierung?

Es ist unstrittig, dass Passwörter alleine im Allgemeinen kein besonders hohes Sicherheitsniveau bieten. Ungeachtet dessen hat sich in den letzten 10 Jahren wenig an der Situation geändert: (Schlecht gewählte) Passwörter sind weiterhin das mit Abstand am meisten verwendete Authentisierungsmittel.


Bill Burr gilt als Erfinder von Passwörtern wie "P4s5W03я+Er!" oder anderen kuriosen Kombinationen mit allerlei irgendwie möglichen Sonderzeichen. Oft sind diese Varianten ans Leetspeak-Alphabet angelehnt, bei dem Buchstaben durch ähnlich aussehende andere Zeichen ersetzt werden. ! steht dann für i, 5 für s, + für t oder (V) für M.  

Vor 14 Jahren hatte Burr die offizielle Passwortrichtlinie für Regierungsmitarbeiter in den USA geschrieben und dabei die möglichst schwer zu erratenden und zufälligen Mixe vorgeschlagen, die im besten Fall auch häufig gewechselt werden sollen. Auf diesen Zug sind mittlerweile die allermeisten Unternehmen und Organisationen aufgesprungen und fordern von Mitarbeitern oder auch Kunden beim Login in Computer- oder Websysteme Passwörter, die beispielsweise mindestens acht Stellen lang sind, mindestens einen Klein- und einen Großbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen beinhalten. Je nach Plattform dann aber bitte keine Kommata, Unterstriche oder Semikolons. Nur Ausrufezeichen, Fragezeichen, Punkte oder Paragrafenzeichen sind eventuell erlaubt. 

Lange Phrasen sind sicherer als Sonderzeichen

Wie Burr im Fernsehen sagte, habe sich mittlerweile herausgestellt, dass lange, aber einfach zu merkende Phrasen (wie zum Beispiel "NURICHKENNEMEINEIGENESPERSOENLICHESPASSWORT") schwerer zu knacken sind, als eine achtstellige Ziffern-, Buchstaben- und Sonderzeichenkombination. Er selbst habe vielleicht 200 Passwörter und könne sich diese natürlich nicht alle merken. "Diese Passwortrichtlinien frustiert jeden, mich eingeschlossen", sagte Burr und entschuldigte sich vor aller Welt. Burr hätte damals einen besseren Job machen können, sagte er selbstkritisch. 

Doch das eigentliche Problem ist ja ein Grundsätzliches: Weltweit setzen Unternehmen und Organisationen weiterhin auf Passwörter. Mal angeblich sicherer, mal weniger sicher. Dabei sind Passwörter eins der größten Sicherheitsrisiken im IT-Bereich. Das Passwort ist eigentlich ein Relikt aus den Anfängen des weltweiten IT-Rollouts und der Datensicherheit. Ständig tauchen neue Nachrichten über gestohlene Datensätze oder geleakte Passwörter auf. Erst im Juli veröffentlichte das Bundeskriminalamt eine Mitteilung, dass man auf eine Hacker-Sammlung mit rund 500 Millionen E-Mail-Adressen samt zugehörigen Passwörtern gestoßen sei. 

Zauberwort: Multifaktor-Authentifizierung

Das Problem lässt sich eigentlich längst lösen: Multifaktor-Authentifizierung (MFA) lautet das Zauberwort. Dabei müssen zur Berechtigung, beispielsweise zum Zutritt zu einem Gebäude oder auch zum Login in ein PC-System, mindestens zwei der folgenden Faktoren erfüllt sein:

  • Wissen (also etwas, das der Berechtigte weiß, wie eine Pin oder ein Passwort)
  • Besitz (etwas, das der Anwender hat, wie ein Security-Token)
  • Sein (der Anwender selbst, eine biometrische Authentifizierung also)

In der Praxis kann das heute sehr einfach und effizient aussehen. Mit einer Multifaktor-Authentifizierung über ein mobiles Endgerät zum Beispiel. Mit dem Smartphone mit integriertem Fingerabdruckscanner, das der Nutzer sowieso immer bei sich trägt, könnte er sich über eine sichere App im Firmnennetzwerk anmelden und den eigenen Desktop-Rechner damit freischalten. Als weitere Einschränkung lässt sich auch ein Geofence einrichten, also ein virtueller Zaun: Nur wenn der Mitarbeiter mit seinem Smartphone auch im/am Firmengebäude ist, wird der Rechner freigeschaltet. Dank GPS-Satelliten-Signal weiß das Gerät schließlich, wo es sich befindet. Auch die Kombination eines Near-Field-Communication-(NFC)-Chip im Smartphone mit einer Lesestation am Schreibtisch ist implementierbar. Nur wenn das Handy dann auch in der Nähe des Rechners ist, kann der Nutzer eingeloggt sein. 

Solche Lösungen sind längst auf dem Markt und Weiterentwicklungen auch aus deutschen IT-Security-Schmieden, bei denen beispielsweise QR-Codes von Bildschirmen mit der Sicherheitsapp zur Authentifizierung abgescannt werden müssen, klingen vielversprechend. 

Single-Sign-on-Lösungen fürs Internet

Im Netz, vor allem für den Endverbraucher interessant, wird derzeit parallel an Single-Sign-on-Lösungen gearbeitet. 2017 kündigten in Deutschland zwei Allianzen von Medien- und Handelsunternehmen an, Lösungen zu entwickeln, mit denen sich Kunden einmal im Internet mit ihren Nutzerdaten oder auch über eine MFA anmelden und dann alle angekoppelten Dienste wie E-Mail-Postfächer, Online-Shops, Soziale Netzwerke, etc. eingeloggt nutzen können. Das ständige Eingeben von E-Mail-Adresse und verschiedener "P4s5W03я+Er!" entfällt. 

Auch das ist ein Schritt in die richtige Richtung. Bei der Authentifizierung muss ein Umdenken stattfinden. Denn Passwörter sind von gestern und bleiben eine Gefahr für die IT-Sicherheit. Oder auch kurz gesagt: So ein Passwort-(V)!5+!

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

01.04.2016 | Schwerpunkt | Ausgabe 4/2016

Die Zeit nach dem Passwort

2016 | OriginalPaper | Buchkapitel

Passwörter & PINs

Quelle:
Ich glaube, es hackt!

01.04.2016 | Schwerpunkt | Ausgabe 4/2016

Mobile Multifaktor – Authentisierung

01.04.2016 | Schwerpunkt | Ausgabe 4/2016

Was ist starke Authentisierung?

Das könnte Sie auch interessieren

15.12.2016 | Elektronische Identifikation | Im Fokus | Onlineartikel

Hat das Passwort bald ausgedient?

15.08.2017 | Verwaltungsmanagement | Nachricht | Onlineartikel

Die meisten Heimnetzwerke sind unsicher

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!