Schluss mit dem Passwort-Humbug
Anlässe wie der „Welt-Passwort-Tag“ sind seit Jahren ein gefundenes Fressen, um die Passwort-Sau öffentlichkeitswirksam durchs Dorf zu treiben. Dabei ist die menschliche Resistenz gegen solche Tipps gar nicht das eigentliche Übel, sondern vielmehr eine fast selbstverständliche Rahmenbedingung, meint unser Autor und fordert, den Fokus auf zusätzliche Sicherheitsebenen zu legen.
Pünktlich zum „Ändere-dein Passwort“-Tag oder zum „Welt-Passwort-Tag“ im Mai überschlagen sich wieder die Experten allerorts mit schlauen Hinweisen, wie ein sicheres Kennwort auszusehen hat. Zeichenlänge, Kombination von Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen, regelmäßige Änderungszyklen …. nichts, was wir nicht schon tausendmal gehört hätten – und die meisten Anwender genauso oft wieder vergessen. Dabei ist die menschliche Resistenz gegenüber solchen Tipps gar nicht das eigentliche Übel, sondern vielmehr eine nahezu selbstverständliche Rahmenbedingung. Es wird immer Leute geben, die der eigenen Bequemlichkeit trotz allen besseren Wissens den Vorrang einräumen. Fatal ist jedoch, dass die Rumreiterei auf Passwort-Best-Practices den Blick auf die eigentliche Problemlösung verstellt. Wir müssen lernen, die Gewohnheiten, die sich sowieso nicht ändern lassen, hinzunehmen. Viel wichtiger ist es, solchen Schwächen in anderer Form etwas entgegenzusetzen.
Sehen wir uns doch mal die gängigsten Methoden an, mit denen Angreifer in den Besitz von Kennwörtern gelangen: Beim sogenannten Wörterbuchangriff wird mittels elektronischer Wörterbücher versucht, das Passwort zu erraten. Natürlich umfassen diese Listen in der Regel die am häufigsten verwendeten Passwörter. Wer immer noch „123456“ verwendet, macht Angreifern das Leben extrem leicht. Das Gleiche gilt im Zuge von Brute-Force-Attacken, bei denen automatisierte Tools zum Einsatz kommen, die so lange jede mögliche Kombination aus Buchstaben, Zahlen und Symbolen ausprobieren, bis das Passwort geknackt ist. In beiden Fällen mögen die bereits angesprochenen Tipps zur Erstellung komplizierterer Passwörter also noch in gewissem Maße ihre Berechtigung haben – zumindest, wenn es um die Zeitachse geht. Aber das war es dann auch schon.
Am Ende kommt es nicht darauf an, dass ein Passwort extrem lang ist, sich dabei aus einem Potpourri aus Zahlen, Buchstaben und Sonderzeichen aus aller Welt bedient und täglich geändert wird. Denn wenn via Social-Engineering – also das Ausnutzen menschlicher Schwächen und Manipulation bzw. Täuschen von Anwendern – so geschickt vorgegangen wird, dass der Anwender persönlich sein Passwort über Phishing-Websites preisgibt, spielt es überhaupt keine Rolle, ob dieses aus drei oder 256 Zeichen besteht. Verschärft wird die Situation durch Datenlecks, bei denen aus Unternehmenssystemen ganze Listen mit gültigen Login-Daten jeder Länge und Komplexität abfließen, die dann nicht selten und ganz schnell im Dark Web wieder auftauchen.
Der Fokus muss also weg vom Passwort und hin zu zusätzlichen Sicherheitsebenen. An einem einfachen Passwort ist grundsätzlich nichts Verwerfliches – solange dessen Verwendung bloß der erste Schritt im Rahmen von Multifaktor-Authentifizierung (MFA) ist. Anstatt sich alle Nase lang mit neuen Passwörtern zu beschäftigen, ist es gerade im Unternehmensumfeld für die Mehrzahl der Beschäftigten beim Zugriff sogar deutlich einfacher, das bestehende Passwort beispielsweise per Klick auf die an das eigene Smartphone gesendete Authentifizierungsnachricht zu bestätigen. Und wenn es im Zuge dessen einen begründeten Verdacht gibt, dass die Daten in die falschen Hände geraten sind, kann die Passphrase immer noch geändert werden. Es steht außer Frage, dass die Absicherung des Zugangs zu vertraulichen Informationen wichtig ist, aber dies gelingt nie und nimmer mithilfe eines „Welt-Passwort-Tages“, ganz im Gegenteil. Also Schluss mit Passwort-Feiertagen! Wenn überhaupt, sollte es den „Welt-MFA-Tag“ geben. Und noch sinnvoller ist es, über MFA nicht nur zu reden, sondern sie einzusetzen!