Strategie beim Ändern von Passwörtern
Mit Dropbox, Yahoo und Amazon haben Datenschutzverletzungen eine historisch neue Größenordnung erreicht
Dazu kommt, dass erfolgreiche Hacks oftmals erst nach Jahren öffentlich gemacht werden
Von Troy Gill, Manager of Security Research bei AppRiver
"In letzter Zeit haben immer mehr Unternehmen ihre Kunden aufgrund eines Datenschutzvorfalls in großem Stil dazu aufgefordert, ihre Passwörter neu zu vergeben, zuletzt Amazon. Obwohl Amazon sich gezwungen sah rund 80.000 Kunden zu einem Passwort-Reset aufzufordern, ließ der Konzern dabei viele Fragen unbeantwortet. Unabhängig davon, ob Amazon nun tatsächlich Opfer einer Datenschutzverletzung geworden ist oder nicht, stellt sich eine generelle Frage. Betrachtet man nämlich Art und Tragweite der Datenschutzverletzungen allein innerhalb der letzten Monate und Jahre (Dropbox, Yahoo, Last.FM bis zurück zu MySpace im Jahr 2008), wirft das auch ein Schlaglicht auf die empfohlenen Vorgehensweisen im Hinblick auf Passwörter.
Mit Dropbox, Yahoo und Amazon haben Datenschutzverletzungen dieser Art eine historisch neue Größenordnung erreicht. Dazu kommt, dass erfolgreiche Hacks oftmals erst nach Jahren öffentlich gemacht werden. Man kann sich also durchaus fragen, ob und inwieweit Passwörter regelmäßig und als Teil der IT-Sicherheitsroutine geändert werden sollten (und nicht erst, wenn eine Datenschutzverletzung öffentlich gemacht wird).
Es kommt meines Erachtens nach darauf an, den unterstellten Nutzen gegenüber möglichen Nachteilen sehr genau abzuwägen. Und beide Vorgehensweisen haben ihre Berechtigung. Wenn es an das Thema Passwortsicherheit und die damit verbundenen Best Practices geht, spielen viele verschiedene Faktoren eine Rolle. Und in praktisch allen Fällen läuft es auf einen Kompromiss heraus. Einige Praktiken sind für bestimmte Fälle besser geeignet als andere, und was in dem einen Fall sinnvoll ist, muss es noch lange nicht in jedem anderen sein.
In der besten aller möglichen Welten wäre es sicherlich eine gute Idee Passwörter regelmäßig alle paar Monate zu ändern. Aber wir alle haben nun mal unsere natürlichen Grenzen. Und anstatt uns für etwas entscheiden, von dem wir wissen, dass es für die meisten die sicherste Lösung wäre, ersetzen wir es durch etwas, das gerade noch die Minimalanforderungen erfüllt und sich leicht umsetzen lässt. Richtlinien zur Passwortsicherheit betreffen eine riesige Skala unterschiedlicher Angriffsszenarien. Eine Empfehlung allein, kann diese Bandbreite niemals abdecken.
Sollte man also den Benutzer zu seinem Glück zwingen und vorschreiben, Passwörter regelmäßig zu ändern? Das wäre in einigen Fällen durchaus hilfreich, aber es hat seinen Preis. Wenn es zu einem Datenschutzverstoß gekommen ist, der noch nicht aufgedeckt wurde, wird dieses Passwort für den Angreifer letztendlich nutzlos sein. Trotzdem sind mit dem Ansatz einige Fragen verbunden. Zum einen neigen Hacker dazu, die erbeuteten Daten eher früher als später zu benutzen. Dann kommt der routinemäßige Wechsel des Passwortes zu spät. Zum anderen ist die Zahl der Passwörter, die wir täglich nutzen und behalten müssen, enorm gestiegen und sie steigt weiter. Dazu käme dann noch die Anforderung Passwörter nicht nur regelmäßig zu ändern, sonden ausschließlich starke Passwörter zu verwenden.
Der überwiegende Teil der Nutzer wird erfahrungsgemäß den Weg des geringsten Widerstands gehen und Passwörter verwenden, die einfach zu merken sind. Der Druck, Passwörter per Richtlinienvorgabe ändern zu müssen, führt nicht selten dazu, dass die Passwörter zwar geändert werden, aber nur minimal von den ursprünglich erstellten abweichen, dazu, dass schwache, aber dafür leicht zu merkende Passwörter verwendet werden, ebenso wie die schleichende Tendenz ein Passwort für die verschiedensten Konten einzusetzen. Und alle haben eines gemeinsam: der betreffende Nutzer wird noch anfälliger für die unterschiedlichsten Angriffsvarianten. Mit einer Ausnahme: nämlich, wenn das Passwort bereits gestohlen wurde.
Ich gehe davon aus, dass eine Richtlinienvorgabe für ein regelmäßiges Ändern von Passwörtern unser Benutzerverhalten beeinflusst. Zweifelsohne ist ein Passwort-Reset in vielen Fällen alternativlos. Ich votiere grundsätzlich eher für ein Ereignis-getriebene Strategie beim Ändern von Passwörtern als dies regelmäßig zu tun. Grundsätzlich helfen Passwort-Manager den meisten Benutzern, sich die potenziell unüberschaubare Menge verschiedener Passwörter für verschiedene Anwendungen zu "merken". Das ist schon mal nicht schlecht.
Hilfreich ist es aus meiner Sicht "Passphrasen" anstelle von Passwörtern zu verwenden. Zum einen lassen sich solche Sätze leichter merken, zum anderen lassen sie sich mithilfe von Brute-Force-Attacken längst nicht so einfach knacken wie Passwörter. Wir beobachten zudem, dass immer mehr Firmen und Organisationen dazu übergehen, 2-Faktor-Authentifizierung einzuführen. Ein Trend, von dem ich hoffe, dass er sich weiter durchsetzt, denn diese Form der Authentifizierung ist wesentlich effektiver, wenn es gilt potenziellen Angriffen vorzubeugen. Die Methode mag vielleicht ein wenig unbequemer sein, dafür profitiert man unmittelbar von ihr." (AppRiver: ra)
eingetragen: 23.10.16
Home & Newsletterlauf: 14.11.16
AppRiver: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.