Vasco-Kommentar zur Authentifizierung im Internet

Passwortkrieg – alles klar zum Gefecht

06.02.13 | Autor / Redakteur: Jan Valcke, Vasco / Stephan Augsten

Mit einem dynamischen Passwort lassen sich diverse Internet-Zugänge absichern. (Bild: Andrea Danti - Fotolia.com)

Verschiedenste Unternehmen – zuletzt auch der Suchmaschinen-Riese Google – haben den Passwörtern den Krieg erklärt. Da werden allerhand biometrische und andere ausgefeilte Authentisierungsgeräte in die Schlacht geworfen. Aber braucht es wirklich so viel neues und schweres Geschütz?

Jan Valcke ist President und COO bei Vasco Data Security, Belgien. (Bild: Vasco)

2012 war das Jahr der geknackten Zugangscodes. Dabei wissen wir nun wahrlich nicht erst seit gestern, dass statische Passwörter unsicher sind. „Hitlisten“ mit den am häufigsten verwendeten Kombinationen kursieren in verschiedensten Medien. Wieder und wieder wird davor gewarnt, dass 90 Prozent aller Passwörter für Hacker angreifbar sind, dass acht Zeichen lange Passwörter nicht ausreichen.

Im Internet lauert der Feind überall. Das ist eigentlich jedem klar, aber keiner glaubt, dass es auch ihn erwischen könnte. Doch getroffen hat es schon viele: Zahlreiche Accounts wurden gestohlen, Unzählige haben schon ihr digitales Leben verloren – zum Glück nur das digitale.

Statische Passwörter sind im Kampf gegen Hacker und Cracker eine stumpfe Waffe: Sind sie zu einfach, können Ganoven sie auch einfach überwinden. Sind sie zu komplex, kann man sie schwerlich im Gedächtnis behalten – sie werden vergessen oder landen auf einem Klebezettel unter der Tastatur. Hier die richtige Balance zwischen Sicherheit und Praktikabilität zu finden, ist mehr als schwierig.

Friendly Fire an allen Fronten

Der durchschnittliche Computeranwender will seine Kreativität nicht dafür opfern, immer neue Passwort-Monster zu erschaffen. Schließlich muss er sich mehrmals am Tag irgendwo einloggen – und er hat Wichtigeres zu tun, als mit ellenlangen Codes zu jonglieren. Stattdessen verwendet man lieber den Namen von Frau, Kind und Hund oder gängige Keyboard-Muster wie etwa den Allzeit-Quotenhit 123456.

Ein und dasselbe Passwort wird für verschiedenste Accounts eingesetzt – und dabei unterscheiden viele Anwender nicht einmal zwischen privaten und beruflichen Zugängen. Damit bietet die Firmen-IT den Hackern nach wie vor eine weit offene Flanke.

Dem Admin im Unternehmen bleibt nur das Sperrfeuer, mit der Anweisung, die Passwörter nach einer festgelegten Zeitspanne (zum Beispiel nach 30 Tagen) zu ändern. Aber die Salve trifft nicht selten auch die eigenen Reihen: Ständig wechselnden Passwörter werden oft vergessen, das Passwort-Management dient als Beschäftigungstherapie für die EDV-Abteilung.