Passwörter sind wertvoller als Schlüssel
Artikel erschienen in Swiss IT Magazine 2003/07
Dummheit ist einer der grössten Risikofaktoren im Netz." Zu diesem Schluss kamen die britischen Domain-Registrierer von CentralNIC in einer Untersuchung über die Wahl der Passwörter. Die Ergebnisse waren erschreckend: Von den 1200 befragten Personen in 30 Firmen verwenden knapp die Hälfte den eigenen Namen oder denjenigen von Familienmitgliedern als Kennwort.
Passwörter, die den Zugang zum PC am Arbeitsplatz freigeben, sind ein wichtiger Hinweis auf die psychologische Verfassung des Nutzers, so die Studie. Danach lassen sich die User anhand ihrer Passwörter in vier Gruppen einteilen:
Familienmenschen (47,5 Prozent) verwenden den eigenen Namen oder den von Familienmitgliedern als Passwort
Fans (32 Prozent) gebrauchen die Namen von Sport- oder Popstars, Fussballclubs und ähnliches
Phantasten (11 Prozent) seien in der Regel sehr selbstbezogen und verwenden gerne Bezeichnungen wie "Hengst" oder "Göttin", die als Zeichen der eigenen Überhöhung anzusehen sind
Geheimniskrämer (9 Prozent) schliesslich greifen zu rätselhaften Kombinationen von Buchstaben und Ziffern sowie Klein- und Grossschreibung, sind sicherheitsbewusst und stets auf der Hut vor Eindringlingen in ihren Rechner.
Damit sind es gerade mal erschreckende neun Prozent aller User, die sich der Problematik und des Sinns von Passwörtern tatsächlich bewusst sind.
Angriffsquellen und Sicherheitsmassnahmen
Die häufigste Ursache für ein erfolgreiches Eindringen in Computersysteme ist und bleibt das Versagen des Authentifikations-Mechanismus. Die am meisten verbreitete Methode der Benutzeridentifikation basiert auf Passwörtern, die während des Anmeldevorgangs eingegeben werden. Einen wesentlich höheren Sicherheitsstandard erfüllen dagegen Zugangssysteme, die mit Einmalpasswörtern oder Smartcards funktionieren sowie der Einbezug von biometrischen Merkmalen wie Fingerabdruck, Stimme oder Auge.
Eine Tatsache, die aber jedem User klar sein muss: Zugangsname und Kennwort sind wertvoller als jeder Schlüssel. Wenn die Daten in falsche Hände geraten, kann erheblicher Schaden entstehen. Es ist zwar allgemein bekannt, dass man Passwörter nicht auf einem Zettel neben dem PC aufbewahren soll, auch haben einige erkannt, dass die Vornamen von Lebenspartnern und Kindern keine grossen Geheimnisse sind, aber damit endet fast immer das Wissen um die notwendige Sorgfalt bei der Verwendung von Passwörtern.
Ein Problem bei hochsicheren Kennwörtern ist allerdings die begrenzte menschliche Erinnerungsfähigkeit: Gedächtniskünstler sind die einzigen Menschen, die sich lange Ketten zufälliger Zeichenfolgen merken können. Der Einfachheit halber schreibt Otto Normalverbraucher deshalb seine Passwörter auf einen Zettel und legt diesen unter die Mausmatte oder speichert sie in einer Datei auf dem PC. So werden sie zu einem gravierenden Sicherheitsproblem.
Einfache, für den Benutzer leicht zu merkende Passwörter werden aus diesem Grund eher geheim bleiben, ebenso wie Kennwörter, die der Benutzer selbst gewählt hat oder die nicht allzu häufig gewechselt werden.
Natürlich sind diese Passwörter einfacher zu knacken. Andererseits gelingt die grössere Anzahl von Einbrüchen in Computersysteme nicht durch den Einsatz von "Wortlisten", sondern indem Eindringlinge oder Mitarbeiter menschliche Schwächen ausnutzen.
Besseren Schutz gegen Passwortdiebstahl bieten lediglich Authentifizierungsmethoden auf der Grundlage von Einmal-Passwörtern, wie sie bei Banken und Versicherungen üblich sind. Jeder Benutzer bekommt dabei regelmässig einen Ausdruck mit mehreren Kennwörtern. Bei jedem Anmeldevorgang wird ein anderes Passwort benutzt und danach von der Liste gestrichen.
Sicherer als herkömmliche Passwörter sind auch Zugangssysteme mit Smartcards oder USB-Token, die in der Lage sind, in direkter Kommunikation mit dem Zielsystem den Authentifikationsprozess zu durchlaufen. Die Passwörter müssen dabei nicht manuell eingegeben werden und können ohne Beeinträchtigung der Handhabbarkeit auch mit langen Zugangscodes arbeiten.
Ein zentraler Schritt zum besseren Schutz von Netzwerken ist die Regelung der Nutzerrechte durch eine zentrale Benutzerverwaltung (ZBV), in der die Profile jedes einzelnen Benutzers erfasst werden und auch die Anmeldung der Benutzer sowie die Koordination ihrer Aktivitäten übernimmt. Über die zentrale Benutzerverwaltung wird somit nicht nur jeder User eindeutig identifiziert, sondern auch über die Rechteverwaltung festgelegt, zu welchen Prozessen und Systemen der Benutzer Zugang erhält.
Bei der Einführung eines solchen Systems staunen manche Systemadministratoren nicht schlecht. Werden die Zugriffsrechte jedes einzelnen Mitarbeiters genauer betrachtet, stellt man oft fest, dass viele noch Zugang auf Daten und Systeme haben, für die sie längst nicht mehr berechtigt sind. So kommt es vor, dass Mitarbeiter, die vor einigen Jahren in der Finanzabteilung gearbeitet, längst aber die Abteilung gewechselt haben, noch immer uneingeschränkten Zugriff auf die sehr sensiblen Finanzdaten erhalten. Dadurch werden sie zu idealen Opfern für Social Engineering. Durch diese in Vergessenheit geratenen Zugangsrechte entstehen jährliche Schäden in Millionenhöhe, indem sie für Racheakte oder Mobbing genutzt werden.
Wie hoch die Qualität der Passwörter im eigenen Netzwerk ist, lässt sich am besten dadurch überprüfen, dass man mit geeigneten Tools versucht, die Passwortdateien zu entschlüsseln. Will man sich diese Mühe nicht machen oder besitzt man dafür nicht das nötige Know-how, gibt es auch die etwas aussergewöhnliche Methode, Hacker zu engagieren. Wem das zu unsicher ist, wendet sich am besten an eine Firma, die sich auf Security-Tests spezialisiert hat.
Werden bei der Auswahl von Passwörtern bestimmte Richtlinien befolgt, so bedeutet das eine erhebliche Erhöhung der Sicherheit des Gesamtsystems. Gut gewählte Kennwörter können kaum erraten werden, selbst wenn dem Eindringling die Passwortdatei in die Hände fällt. Auch Social Hacking wird dadurch wirksam erschwert. Im allgemeinen sollte ein Passwort folgenden Kriterien genügen:
Mindestens 6, besser 8 oder mehr Zeichen
Kombination aus Zahlen und Buchstaben
Gross- und Kleinbuchstaben gemischt, zusätzlich Sonderzeichen
Gut merkbar, aber schwer zu erraten
Periodische, zwingende Änderung des Kennworts
Selbstverständlich darf ein Passwort niemals einer anderen Person anvertraut werden, auch einem Administrator nicht. Für Notfälle kann es in einem verschlossenen Couvert in einem Tresor hinterlegt werden. Ausserdem sind alle Systeme so zu konfigurieren, dass ein Zugang ohne Passwort unmöglich ist. Bei Verdacht auf Missbrauch eines Passworts muss dieser sofort gemeldet werden.