Eine Chance für sichere Passwörter

Bei Vielen herrscht der Irrglaube, dass kein Krimineller etwas mit scheinbar belanglosen Daten von Privatpersonen anfangen könnte. Die Folge davon ist meist ein allzu fahrlässiger Umgang bezüglich des Schutzes von vertraulichen Informationen. Dies fängt bereits bei der Passwort-Vergabe an – verschiedene Studien belegen, dass die Mehrheit der Internetnutzer  ein einziges Kennwort für alle ihre verschiedenen Webseiten einsetzt. Auch wird der einmal gewählte Begriff selten bis niemals gewechselt. Doch obwohl in der jüngsten Zeit wieder über Angriffe auf Portale und den daraus entstandenen Schäden berichtet wurde, fühlt sich die überwiegende Anzahl der Nutzer in ihren Gewohnheiten generell und speziell auch mit ihrem Passwort-Management sicher.

Eine fatale Fehleinschätzung

Angriffe von Cyberterroristen erfolgen zum Großteil automatisiert. Mit dem hohen Grad an Professionalisierung steigt auch die Zahl der potenziellen Opfer enorm. Bereits im ersten Quartal des Jahres 2012 wurden 12 Millionen illegal erworbene Einzelinformationen verkauft. Mit anderen Worten: Die scheinbare Anonymität in der breiten Masse bietet definitiv keinen Schutz. Folglich muss sich jeder, der das Internet nutzt, auch mit den entsprechenden Schutzmechanismen auseinandersetzen – das betrifft Privatpersonen ebenso wie Unternehmen.

Ein fortwährendes Problem?

Jeder nutzt täglich an den verschiedensten Stellen sein Passwort – sei es, um sich in das unternehmensinterne VPN einzuwählen oder in einem Internetforum anzumelden. Ebenso bekannt ist, dass heutzutage sogar ein zehnstelliges Passwort in Relation nur einen geringen Schutz bietet, weil auch dieses mittels einer „Brute Force“-Attacke  geknackt werden kann. Je kürzer und trivialer die Zeichenfolge, desto schneller kommt der Angreifer zum Ziel. Trotzdem befinden sich auf der Liste der beliebtesten Passwörter  seit Jahren die allseits bekannten wie „Passwort“ oder „123456“. Kein Wunder – sind doch lange Kennwörter nicht nur schwer zu merken, sondern auch unkomfortabel bei der Eingabe.

Zudem  hält sich ein weiterer Mythos: hohe Sicherheitsanforderungen sind unvereinbar mit der Nutzerfreundlichkeit – die Wahl muss zugunsten  einer der beiden Optionen getroffen werden. In diesem Kontext diskutieren Verantwortliche im Online-Handel unter anderem oft die Frage, ob Passwörter zur Authentifizierung tatsächlich sinnvoll sind. Doch die Debatte könnte auch in eine andere Richtung gehen: Kann generell erwartet werden, dass jeder Nutzer sich ausreichend um den Schutz seiner Anwendungen kümmert oder sollte ein Dienstleister seinen Kunden eine Infrastruktur zur Verfügung stellen, die diese ein Stück weit entlastet?  

Eine Lösung: Passwort-Tresore

Ein Passwort-Tresor ist eine verschlüsselte Datenbank, in der alle Passwörter und Zugangsdaten abgespeichert werden können – der Zugang auf diese Datenbank erfolgt mit einem „Master“-Passwort über das Portal des jeweiligen Anbieters. Damit lässt sich eine Infrastruktur zur Verfügung stellen, die es ermöglicht, Schwachstellen bei der Passwort-Sicherheit zu lösen.

In der Realität ist diese allgemeine Beteuerung der Hersteller mit Vorsicht zu genießen, denn nicht jede der momentan im Internet erhältlichen Lösungen kann dies bieten. Hier gilt es, die Angebote genau zu überprüfen. Denn die Qualität eines Passwort-Tresores wird maßgeblich dadurch bestimmt, dass die Schutzmechanismen mangelfrei implementiert sind. Eine bedeutende Schwachstelle stellt zum Beispiel die Art und Weise der Abwehr von „Brute Force“-Attacken dar. Die hier eingesetzten Mechanismen sind von Anbieter zu Anbieter unterschiedlich. Bei einigen lässt sich die restriktive  Vorgehensweise gegen Falschanmeldungen von einem Angreifer mittels einer kleinen Skriptroutine aussetzen, sodass ein Anmeldevorgang  nicht nach dreimaliger Falscheingabe abgebrochen wird. Mit anderen Worten: Die Passwort-Eingabe kann beliebig oft wiederholt werden – so lange, bis das passende ermittelt ist.

Gute Lösungen bieten hingegen ein adäquates Schutzniveau, wenn sie richtig eingesetzt werden. Last Pass etwa bietet ein mehrstufiges Kriterien-Set an, um einen Passwort-Tresor insgesamt optimal abzusichern. Dieses beinhaltet eine aufwendige Verschlüsselung  des „Master“-Passworts. Des Weiteren werden  dem Administrator mit dieser Anwendung diverse Optionen zur Verfügung gestellt, um strikte Regeln für das „Passwort“-Management aufzustellen und durchzusetzen. Zum Beispiel, dass eine bestimmte Länge und Stärke des „Master-Passworts“ als Standard vorgegeben werden kann und dass sich der Zugriff auf den Passwort-Tresor und damit auf alle unternehmensinternen Anwendungen bei Bedarf unmittelbar sperren lässt – etwa in Falle einer Mitarbeiterkündigung. Kontraproduktiv im Sinne eines hohen Schutzniveaus hingegen wäre auch hier, wenn beim Einrichten des Tresors ein zu triviales „Master“-Passwort für den Zugriff vergeben wird.

Eine Anwender-Erfahrung

Markus Besch, Vorstand der IT Advantage AG, hat sich entschieden, einen solchen Tresor zu nutzen. Die eingesetzte Lösung gewährleistet mittels eines einmal gewählten, verschlüsselten Passworts den Schutz aller Zugänge. Für Besch ist wichtig, dass alle neu hinzukommenden Seiten automatisch mit einem sicheren Zugriff ausgestattet und ebenfalls in den Tresor aufgenommen werden. Da für die Erstellung neuer Passwörter seitens der IT-Abteilung strikte Regeln im System vorgegeben werden können, lässt sich auch die Einhaltung von Compliance-Vorgaben garantieren. Darüber hinaus ermöglicht der Passwort-Tresor die Einrichtung einer großen Anzahl an Accounts. Sinnvoll ist dies, um einen abgesicherten Zugang auf eine Kundenplattform zur Verfügung zu stellen – zentral administriert, von den Handelsunternehmen an die berechtigten Nutzer verteilt.

Autorin Ulla Coester ist freie Journalistin aus Köln. 

Foto: Fotolia / HaywireMedia

Weitere Informationen: www.it-advantage.de und https://lastpass.com//