Zu viele Passwörter gefährden die Sicherheit
Artikel erschienen in Swiss IT Magazine 2005/18
Wenn es um die Sicherheit von PCs und den darauf gespeicherten Daten geht, führt kein Weg an Passwörtern vorbei. Alternativen wie etwa Fingerprint-Scanner, die in letzter Zeit vermehrt in Notebooks und andere Geräte integriert werden, vermochten sich bisher nicht auf breiter Ebene durchzusetzen.
Mit den Passwörtern ist es allerdings so eine Sache: Experten empfehlen generell, dass die Kennwörter so komplex wie nur möglich sein sollten, dass man eine gewisse Mindestanzahl Zeichen nicht unterschreiten, keine Wörter aus Wörterbüchern verwenden und mindestens eine Zahl und ein Sonderzeichen einbauen sollte. Ausserdem sei es sinnvoll, aus Sicherheitsgründen für jede Anwendung und jede Website ein jeweils anderes Passwort zu benutzen. Und nicht zuletzt dürften die Passwörter nirgends notiert oder anderweitig in lesbarer Form gespeichert werden.
All diese Empfehlungen sind in der Theorie sicherlich sinnvoll und können die Datensicherheit wesentlich erhöhen. Die Praxis allerdings schaut anders aus, wie RSA Security in einer aktuellen Studie herausgefunden hat. So muss sich nämlich über ein Viertel der Befragten allein am Arbeitsplatz mit 13 oder mehr Passwörtern herumschlagen, und fast jeder Neunte findet den Umgang mit Kennwörtern ziemlich bis sehr frustrierend. Befragt wurden knapp 1700 amerikanische IT-Anwender – vom Help Desk Administrator über IT-Administratoren bis hin zu CIOs und Chief Security Officer.
Die Hauptaussage der Studie: Viele und komplexe Passwörter generieren neue Sicherheitsrisiken, statt die Sicherheit zu erhöhen. Anwender-unfreundliche Passwort-Policies, die sich an die Empfehlungen der Experten halten und gleichzeitig einen häufigen Kennwortwechsel verlangen, können die Sicherheitsanstrengungen von Unternehmen unterminieren. Ausserdem, so die Studie, würden dadurch die Kosten für den IT-Helpdesk deutlich gesteigert, weil zusätzliche Ressourcen bereitgestellt werden müssen, um bei Passwort-Problemen zu helfen.
Fast 60 Prozent der Befragten müssen sich an mindestens 6 Passwörter erinnern, 23 Prozent sogar an über 15 – ein Ding der Unmöglichkeit. Kein Wunder, dass die Frustration wächst und sich die Angestellten mit alternativen Methoden zur Passwortverwaltung behelfen. So haben 25 Prozent angegeben, dass sie ihre Kennwörter in einem Spreadsheet oder einer anderen Datei auf dem PC gespeichert haben, 22 Prozent bedienen sich zu diesem Zweck eines PDA. 15 Prozent ziehen als Gedankenstütze die Papierform vor, und immerhin 4 Prozent greift auf das bewährte Post-it-Zettelchen am Bildschirm zurück. Gerade die letzteren beiden Möglichkeiten öffnen möglichem Missbrauch Tür und Tor.
Problematisch ist die Vielzahl von komplexen Kennwörtern aber auch für den IT-Support, wie die Studie aufzeigt. Nur 18 Prozent der Befragten kann sich im Fall eines vergessenen oder verlorenen Passworts über einen Self-Service-Mechanismus selber weiterhelfen; das Gros der Betroffenen muss den Helpdesk anfragen, um ein neues Passwort zu erhalten. Und das kann auch in Sachen Produktivität ins Geld gehen, zeigt die Untersuchung doch auf, dass es bei 20 Prozent der Teilnehmer zwischen 6 und 15 Minuten dauert, bis ein neues Passwort zur Verfügung steht. Bei 11 Prozent wird das neue Kennwort innert einer Stunde geliefert, ganze 6 Prozent drehen sogar mehr als eine Stunde lang vor ihrem unbrauchbaren PC Däumchen.
Abhilfe tut Not, kommt die Studie im Einklang mit den Befragten zum Schluss: 98 Prozent sind der Meinung, dass ein zusätzlicher Sicherheits-layer mit einem Master-Passwort wichtig wäre. Das dürfte den
Studien-Autor RSA Security freuen, hat das Unternehmen doch gleich mehrere Produkte zu diesem Behuf im Portfolio.