Dass Passwörter nicht gerade eine lehrbuchmäßige Lösung für das Problem der Authentifizierung sind, hat sich inzwischen wohl herum gesprochen. Die Kombination aus menschlichem Versagen, Social Engineering und ausgefeilten Verschleierungstechniken hat dazu geführt, dass Passwörter seit Jahren ein Sicherheitsrisiko sind.
Das gilt jedenfalls, wenn es darum geht, dass Firmen sich sicher und reibungslos authentifizieren wollen. Verizon geht sogar so weit zu sagen, dass 80 % aller Hacking-bedingten Verstöße „mit Passwörtern in Zusammenhang stehen“.
Das ist wenig überraschend, wenn man den aktuellen Stand bei der Wiederverwendung von Passwörtern zugrunde legt: Laut Comparitech verwenden 72 % der Anwender Passwörter für ihre persönlichen Konten mehrfach. Es liegt in der Natur der Sache, dass daher auch Passwörter in einer Firmenumgebung mehrfach verwendet werden. Es sind also nicht nur die privaten Konten in Gefahr, sondern auch die der Unternehmen und damit deren Daten.
Praktisch jede neue Erhebung bestätigt diese Befunde. Da macht auch die von One Identity auf der InfoSecurity Europe 2022 durchgeführte Studie keine Ausnahme. 56 % der befragten Sicherheitsfachleute sehen in der gemeinsamen Nutzung oder Wiederverwendung von Passwörtern bei administrativen Tätigkeiten die größte Sicherheitsbedrohung. Für eine Branche, die mit apokalyptischen Statements nur zu vertraut ist, ein besonders vernichtender Befund.
Dies ist einer der wesentlichen Gründe, warum PAM-Tools (Privileged Access Management) überhaupt eingeführt wurden: Wenn 25 Mitarbeiter das Stamm-Passwort für eine zentrale Unternehmenssoftware, wie etwa ein HR-Programm, kennen und sich nicht scheuen Anmeldeinformationen weiterzugeben, gibt es kaum eine Möglichkeit, bei Zugriffs-berechtigungen den Überblick zu behalten. Wenn Sie also Anmeldeinformationen, die mit einem hohen Risiko verbunden sind, beliebig weitergeben, dann haben Sie definitiv ein großes Sicherheitsproblem.
Bei Login-Daten einzelner Anwender liegt das Problem ganz ähnlich. Jedes einzelne Ihrer Konten ist eine potenzielle Angriffsfläche und insofern mit einem Risiko verbunden. Es sei daran erinnert, dass Unternehmen bereits mit Sicherheitsproblemen konfrontiert wurden, die selbst das stärkste Passwort in Mitleidenschaft gezogen hätten. Die Datenschutzverletzung bei GoDaddy 2021 und die Tatsache, dass Facebook Millionen von Passwörtern im Klartext gespeichert hat, wie 2019 bekannt wurde, sind nur zwei Beispiele, bei denen zig-Millionen Passwörter geknackt wurden. Das macht sie genauso anfällig wie jeden anderen Datensatz, der nicht ordnungsgemäß geschützt ist.
Wenn Sie ein und dasselbe Passwort für sämtliche oder doch mehrere Konten verwenden, heißt das, wird nur ein Konto kompromittiert, sind alle Konten, die dieses Passwort nutzen betroffen. Da hilft das stärkste Passwort nicht.
Aber die Umfrage fördert noch ein weiteres Problem zutage: die Abstufung von Passwörtern. Über 94 % der auf der InfoSecurity Europe Befragten, verwenden ihre Passwörter „abgestuft“: je wichtiger das Konto oder System, desto komplexer das Passwort. Banking wurde beispielsweise als einer der Bereiche genannt, für die sich besonders komplexe Passwörter empfehlen.
Das mag auf den ersten Blick eine sinnvolle Idee zu sein. Leider scheitert sie an einem grundlegenden Prinzip: der Leistungsfähigkeit des menschlichen Gehirns. Laut Dashlane verfügt ein durchschnittlicher Erwachsener über etwa 200 Online-Konten, von denen die meisten Passwörter erfordern. Selbst mit abgestuften Passwörtern kann sich kein normaler Mensch eine solche Anzahl merken. Hinzu kommt, dass in unseren immer stärker vernetzten Online-Ökosystemen und angesichts cleverer Social Engineering-Methoden, auch ein scheinbar unwichtiges Konto der „Schlüssel zum Königreich“ werden kann.
Anmeldeinformationen dienen im Grunde genommen als Kontrollmechanismus, um Risiken zu senken. Wenn Sie ein Passwort erneut verwenden, schwächen Sie diese Schutzmechanismus. Je einzigartiger das Passwort ist (in jeder Hinsicht), desto stärker der Grad der Kontrolle. Eine schwache Kontrolle in den sozialen Medien kann sogar eine starke wie im Bankwesen aushebeln.
Passwörter abzustufen kann man durchaus als Zeichen guten Willens betrachten. Besser wäre es, gleich einen Passwort-Manager zu verwenden. Die kämpfen allerdings ihrerseits mit einem Mangel an Vertrauen. Nutzer haben die durchaus berechtigte Sorge verinnerlicht, dass es angesichts der Häufigkeit von Datenschutzverletzungen unklug ist, alle Passwörter an einem Ort zu speichern. Was die Wissenslücke bei Passwort-Managern anbelangt, sollten die Anbieter sie selbst schließen und die Anwender aufklären: Passwörter von Passwort-Managern sind von Natur aus einzigartig und komplex, und sie werden anschließend in einem verschlüsselten Backend gespeichert. Den Entschlüsselungs-Key haben sie oft nicht einmal selbst. Starke Passwörter sind wichtig, aber man sollte sich der menschlichen Grenzen bewusst sein.
Es gibt aber auch gute Nachrichten: 66 % der Befragten verwenden bereits Passwort-Manager für ihre Online-Konten, und fast alle Befragten setzen qua Unternehmensrichtlinie ein MFA-System für Firmenkonten ein.
Fazit
Wir kommen wohl nicht umhin, beim Thema korrekte Authentifizierungspraktiken noch einiges an Aufklärungsarbeit zu leisten. Passwörter sind beileibe nicht perfekt, aber bis wir in nicht allzu ferner Zukunft ganz darauf verzichten können, werden wir auf die genannten Formen zur Schadensbegrenzung nicht verzichten können.
Autor: Dan Conrad, www.oneidentity.com/de