Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER

Passwörter sind wertvoller als Schlüssel

Systeme mit einfachen Passwörtern bieten Hackern ein leichtes Angriffsziel.

Artikel erschienen in Swiss IT Magazine 2003/07

     

Dummheit ist einer der grössten Risikofaktoren im Netz." Zu diesem Schluss kamen die britischen Domain-Registrierer von CentralNIC in einer Untersuchung über die Wahl der Passwörter. Die Ergebnisse waren erschreckend: Von den 1200 befragten Personen in 30 Firmen verwenden knapp die Hälfte den eigenen Namen oder denjenigen von Familienmitgliedern als Kennwort.



Passwörter, die den Zugang zum PC am Arbeitsplatz freigeben, sind ein wichtiger Hinweis auf die psychologische Verfassung des Nutzers, so die Studie. Danach lassen sich die User anhand ihrer Passwörter in vier Gruppen einteilen:





• Familienmenschen (47,5 Prozent) verwenden den eigenen Namen oder den von Familienmitgliedern als Passwort




• Fans (32 Prozent) gebrauchen die Namen von Sport- oder Popstars, Fussballclubs und ähnliches




• Phantasten (11 Prozent) seien in der Regel sehr selbstbezogen und verwenden gerne Bezeichnungen wie "Hengst" oder "Göttin", die als Zeichen der eigenen Überhöhung anzusehen sind




• Geheimniskrämer (9 Prozent) schliesslich greifen zu rätselhaften Kombinationen von Buchstaben und Ziffern sowie Klein- und Grossschreibung, sind sicherheitsbewusst und stets auf der Hut vor Eindringlingen in ihren Rechner.
Damit sind es gerade mal erschreckende neun Prozent aller User, die sich der Problematik und des Sinns von Passwörtern tatsächlich bewusst sind.



Angriffsquellen und Sicherheitsmassnahmen


Einfache Passwörter bleiben eher geheim

Die häufigste Ursache für ein erfolgreiches Eindringen in Computersysteme ist und bleibt das Versagen des Authentifikations-Mechanismus. Die am meisten verbreitete Methode der Benutzeridentifikation basiert auf Passwörtern, die während des Anmeldevorgangs eingegeben werden. Einen wesentlich höheren Sicherheitsstandard erfüllen dagegen Zugangssysteme, die mit Einmalpasswörtern oder Smartcards funktionieren sowie der Einbezug von biometrischen Merkmalen wie Fingerabdruck, Stimme oder Auge.



Eine Tatsache, die aber jedem User klar sein muss: Zugangsname und Kennwort sind wertvoller als jeder Schlüssel. Wenn die Daten in falsche Hände geraten, kann erheblicher Schaden entstehen. Es ist zwar allgemein bekannt, dass man Passwörter nicht auf einem Zettel neben dem PC aufbewahren soll, auch haben einige erkannt, dass die Vornamen von Lebenspartnern und Kindern keine grossen Geheimnisse sind, aber damit endet fast immer das Wissen um die notwendige Sorgfalt bei der Verwendung von Passwörtern.




Ein Problem bei hochsicheren Kennwörtern ist allerdings die begrenzte menschliche Erinnerungsfähigkeit: Gedächtniskünstler sind die einzigen Menschen, die sich lange Ketten zufälliger Zeichenfolgen merken können. Der Einfachheit halber schreibt Otto Normalverbraucher deshalb seine Passwörter auf einen Zettel und legt diesen unter die Mausmatte oder speichert sie in einer Datei auf dem PC. So werden sie zu einem gravierenden Sicherheitsproblem.



Einfache, für den Benutzer leicht zu merkende Passwörter werden aus diesem Grund eher geheim bleiben, ebenso wie Kennwörter, die der Benutzer selbst gewählt hat oder die nicht allzu häufig gewechselt werden.



Natürlich sind diese Passwörter einfacher zu knacken. Andererseits gelingt die grössere Anzahl von Einbrüchen in Computersysteme nicht durch den Einsatz von "Wortlisten", sondern indem Eindringlinge oder Mitarbeiter menschliche Schwächen ausnutzen.




Einmal-Passwörter und Smartcards


Besseren Schutz gegen Passwortdiebstahl bieten lediglich Authentifizierungsmethoden auf der Grundlage von Einmal-Passwörtern, wie sie bei Banken und Versicherungen üblich sind. Jeder Benutzer bekommt dabei regelmässig einen Ausdruck mit mehreren Kennwörtern. Bei jedem Anmeldevorgang wird ein anderes Passwort benutzt und danach von der Liste gestrichen.



Sicherer als herkömmliche Passwörter sind auch Zugangssysteme mit Smartcards oder USB-Token, die in der Lage sind, in direkter Kommunikation mit dem Zielsystem den Authentifikationsprozess zu durchlaufen. Die Passwörter müssen dabei nicht manuell eingegeben werden und können ohne Beeinträchtigung der Handhabbarkeit auch mit langen Zugangscodes arbeiten.





Zentrale Benutzerverwaltung

Ein zentraler Schritt zum besseren Schutz von Netzwerken ist die Regelung der Nutzerrechte durch eine zentrale Benutzerverwaltung (ZBV), in der die Profile jedes einzelnen Benutzers erfasst werden und auch die Anmeldung der Benutzer sowie die Koordination ihrer Aktivitäten übernimmt. Über die zentrale Benutzerverwaltung wird somit nicht nur jeder User eindeutig identifiziert, sondern auch über die Rechteverwaltung festgelegt, zu welchen Prozessen und Systemen der Benutzer Zugang erhält.



Bei der Einführung eines solchen Systems staunen manche Systemadministratoren nicht schlecht. Werden die Zugriffsrechte jedes einzelnen Mitarbeiters genauer betrachtet, stellt man oft fest, dass viele noch Zugang auf Daten und Systeme haben, für die sie längst nicht mehr berechtigt sind. So kommt es vor, dass Mitarbeiter, die vor einigen Jahren in der Finanzabteilung gearbeitet, längst aber die Abteilung gewechselt haben, noch immer uneingeschränkten Zugriff auf die sehr sensiblen Finanzdaten erhalten. Dadurch werden sie zu idealen Opfern für Social Engineering. Durch diese in Vergessenheit geratenen Zugangsrechte entstehen jährliche Schäden in Millionenhöhe, indem sie für Racheakte oder Mobbing genutzt werden.





Getestet und für gut befunden

Wie hoch die Qualität der Passwörter im eigenen Netzwerk ist, lässt sich am besten dadurch überprüfen, dass man mit geeigneten Tools versucht, die Passwortdateien zu entschlüsseln. Will man sich diese Mühe nicht machen oder besitzt man dafür nicht das nötige Know-how, gibt es auch die etwas aussergewöhnliche Methode, Hacker zu engagieren. Wem das zu unsicher ist, wendet sich am besten an eine Firma, die sich auf Security-Tests spezialisiert hat.



BW digitronik




InfoGuard



Integralis



Kompass Security



Logistik Security



Netprotect



Swiss Infosec



Uniq Consulting





Sicheres Passwort

Werden bei der Auswahl von Passwörtern bestimmte Richtlinien befolgt, so bedeutet das eine erhebliche Erhöhung der Sicherheit des Gesamtsystems. Gut gewählte Kennwörter können kaum erraten werden, selbst wenn dem Eindringling die Passwortdatei in die Hände fällt. Auch Social Hacking wird dadurch wirksam erschwert. Im allgemeinen sollte ein Passwort folgenden Kriterien genügen:




• Mindestens 6, besser 8 oder mehr Zeichen





• Kombination aus Zahlen und Buchstaben




• Gross- und Kleinbuchstaben gemischt, zusätzlich Sonderzeichen




• Gut merkbar, aber schwer zu erraten




• Periodische, zwingende Änderung des Kennworts



Selbstverständlich darf ein Passwort niemals einer anderen Person anvertraut werden, auch einem Administrator nicht. Für Notfälle kann es in einem verschlossenen Couvert in einem Tresor hinterlegt werden. Ausserdem sind alle Systeme so zu konfigurieren, dass ein Zugang ohne Passwort unmöglich ist. Bei Verdacht auf Missbrauch eines Passworts muss dieser sofort gemeldet werden.



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
Starke Cyber-Resilienz basiert auf zwei Grundpfeilern
Die neue KMU Business-Software «CustomerCore» ist online
Eidgenössische Finanzkontrolle empfiehlt dem Bund on-prem
Innovativ mit KI
Effizientes Prompt-Engineering mit ChatGPT
LAKE InnovationDay 2024 lockt mit hochkarätigem Programm
GOLD SPONSOREN
SPONSOREN & PARTNER