Welt-Passwort-Tag: Alte Weisheit gefährdet sichere Passwörter

Am heutigen Donnerstag ist der Welt-Passwort-Tag (World-Password-Day). Jährlich am ersten Donnerstag im Mai soll dieser Tag auf die Wichtigkeit sicherer Passwörter aufmerksam machen. Und wie wichtig dieser Tag ist, zeigt eine aktuelle Studie.

LastPass, ein Anbieter eines webbasierten Passwortmanager-Online-Dienstes, hat bereits zum dritten Mal einen globalen Report zur „Psychologie der Passwörter“ veröffentlicht. Daraus geht hervor, dass sich das Passwortverhalten in den letzten Jahren verschlechtert hat.

Rund 91% der Menschen wissen, dass die mehrfache Nutzung von denselben Passwörtern unsicher ist. Zwei Drittel (66%) der Befragten weltweit tun es trotzdem und verzichten auf individuelle Passwörter. Die kognitive Dissonanz überwiegt, dass sicherheitsbewusste Denken lässt sich bei den Menschen nicht in Taten umsetzen.

Für die Studie wurden im März 2020 3250 Erwachsene im Alter von 18 bis 60 Jahren befragt, 500 Teilnehmer kamen aus Deutschland.

Unveränderte Passworthygiene ist besorgniserregend

Nicht nur auf Grund der Corona-Pandemie verbringen die Menschen aktuell mehr Zeit online, auch der „Modern Workplace Gedanke“ und das Home-Office sprechen dafür. Das unveränderte Passwortverhalten ist dahingehend besonders besorgniserregend, da Cyber-Kriminelle die aktuelle Krise für sich nutzen möchten; und durch unsichere Passwörter auch können.

53 Prozent der Befragten haben ihre Passwörter in den vergangenen 12 Monaten nicht geändert, obwohl Datenverletzungen publik wurden.

Als Hauptgrund für die Wiederverwendung von Passwörtern wird die Angst vor Vergesslichkeit von den Befragten genannt. Ein weiterer Grund ist der Wunsch, alle Passwörter zu kennen und zu kontrollieren. Das Paradoxe: Die Befragten wollen einerseits einen Überblick über ihre Passwörter behalten, doch mit der wiederholten Nutzung derselben entziehen sich die Accounts in Bezug auf die Sicherheit gegenüber Hackern ihrer Kontrolle.

Alte Weisheit gefährdet sichere Passwörter

„Behandle Passwörter wie deine Unterwäsche“ – diese alte Weisheit stößt seit einiger Zeit auf heftigen Widerstand. Das regelmäßige Ändern der Passwörter verbessert nicht die Sicherheit der Passwörter. Das Gegenteil ist sogar der Fall.

Unternehmen haben in der Vergangenheit Richtlinien erlassen, wonach die Benutzer in regelmäßigen Abständen ihre Passwörter ändern müssen.

Im Jahr 2003 hat das NIST (National Institute of Standards and Technology) eine Empfehlung dafür ausgesprochen. Der damalige Autor, William Burr, rückt nun von dieser Empfehlung wieder ab. (siehe: https://specopssoft.com/blog/father-password-rules-sorry-wasting-time/)

Dieser Haltung schließt sich nun auch das Bundesamt für Sicherheit in der IT (BSI) in der aktuellen Ausgabe der Richtlinien für den IT-Grundschutz an. Im Kapitel „ORP.4.A8: Regelungen des Passwortgebrauchs“ sind alle Regeln aufgeführt, die für den Umgang mit Kennwörtern gelten. Interessant ist darin vor allem das, was nicht mehr in der Regelung steht. Dass Passwörter in regelmäßigen Abständen geändert werden sollen, taucht in den Richtlinien schlichtweg nicht mehr auf. Es heißt dagegen:

„Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“.

Das heißt im Klartext, dass niemand mehr seine Passwörter ändern sollte, es sei denn, jemand anders kennt sie ebenfalls oder der Verdacht dazu besteht.

Menschen neigen zu Bequemlichkeit

Menschen neigen zu Bequemlichkeit und machen es sich so einfach wie möglich. Komplexe und lange Kennwörter sind vielen Nutzern ein Dorn im Auge. Administratoren haben dagegen lange an den Richtlinien gefeilt, um die Wiederverwendung von Passwörter zu unterbinden.

Keiner will sich lange und komplizierte Passwörter merken, geschweige denn, alle paar Wochen ändern. Passwort-Iterationen sind gängige Praxis, aus Passwort1 wird dann Passwort2. Beliebt sind aber auch Tastenkombination á la qwertz1234 oder 123456. Diese Passwörter tauchen regelmäßig in Listen wie „Die 10 schlechtesten Passwörter“ auf.

Kriminelle kennen diese Listen nur allzu gut – und wenn ein Computer eins gut kann, dann ist es stumpf tausende verschiedene Passwörter auszuprobieren. Hilfe bekommen sie dabei auch von „Rockyou“-Listen, die völlig legal im Internet verfügbar sind.

Administratoren nutzen solche Listen häufig, um Blacklisten mit Passwörtern zu erstellen, die im Unternehmen nicht zulässig sind.

Sätze sind die sichereren Passwörter

Ein sicheres Passwort sollte so komplex wie möglich sein. Jeder weitere Buchstabe/Zahl/Sonderzeichen verlängert die Zeit, die ein Computer benötigt, um es zu knacken. Die einfachste Methode ist, statt einem PassWORT einen PassSATZ zu wählen. Sie denken sich dabei einen Satz aus, den Sie sich sicher merken können und schreiben dann nur die Anfangsbuchstaben der Wörter auf. Dabei beachten Sie natürlich die Groß- und Kleinschreibung. Buchstaben wie ein „E“ können Sie dabei auch durch Zahlen („3“) ersetzen, die ähnlich aussehen.

Tipp: Setzen Sie am Ende des Passworts doch einfach Ihren Lieblings-Smiley ein „:-D“

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung

Viele Onlinedienste, z. B. Paypal, bieten darüber hinaus auch die Möglichkeit der Zwei-Faktor-Authentifizierung. Statt sich auf einen wissensbasierten Anmeldefaktor zu verlassen, kann dabei ein weiterer Faktor hinzugefügt werden. Das kann in Form von Sicherheitstokens geschehen, aber auch ein biometrisches Merkmal. Neu ist auch der FIDO2-Token, der ein Passwort ersetzen oder als zweiten Faktor eingesetzt werden kann.

Beliebt sind aber auch Passwort-Manager, wie bereits oben beschrieben LastPass oder 1Password. Die Angebote von kostenlosen und kostenpflichtigen Lösungen ist riesig, sodass für jeden etwas dabei sein sollte.

Kontrollieren Sie regelmäßig

Hackerangriffe kommen immer wieder vor. Kaum eine Seite kann sich 100%ig davor schützen. Ob Ihre Login-Daten zur Beute von Kriminellen wurde, merken Sie meist erst wenn es zu spät ist und bereits Schaden entstanden ist.

Der Identity Leak Checker kann Ihnen hier helfen. Auf der Seite des Hasso-Plattner-Institutes kann jeder nach Eingabe seiner E-Mail-Adresse feststellen, ob Daten, die mit dieser Adresse in Verbindung stehen, bei größeren Datenlecks betroffen waren.

Sollten Ihre Daten betroffen sein, empfiehlt es sich, das Passwort schnell zu ändern oder das besagte Konto zu löschen/deaktivieren.