G 3.43 Ungeeigneter Umgang mit Passwörtern
Selbst die Nutzung von durchdachten Authentikationsverfahren hilft wenig, wenn die Benutzer nicht sorgfältig mit den benötigten Zugangsmitteln umgehen. Unabhängig davon, ob Passwörter, PIN s oder Authentikationstoken zum Einsatz kommen, werden diese immer wieder weitergegeben oder unsicher aufbewahrt.
Benutzer geben oft aus Bequemlichkeit Passwörter an andere Personen weiter. Häufig werden Passwörter innerhalb von Arbeitsgruppen geteilt, um jedem Mitarbeiter den Zugriff auf gemeinsam zu bearbeitende Dateien zu erleichtern. Der Zwang zur Passwortbenutzung wird oft als lästig empfunden und dadurch unterlaufen, dass Passwörter selten bis nie gewechselt werden oder alle Mitarbeiter dasselbe Passwort benutzen.
Wird zur Benutzer-Authentisierung ein Token-basiertes Verfahren eingesetzt ( z. B. Chipkarte oder Einmal-Passwortgenerator), so ergibt sich bei Verlust die Gefahr, dass das Token unberechtigt verwendet wird. Ein unberechtigter Benutzer kann mit diesem Token unter Umständen erfolgreich eine Remote Access-Verbindung aufbauen.
Durch die Vielzahl verschiedener Passwörter und PINs können sich Benutzer diese oftmals nicht alle merken. Daher werden Passwörter immer wieder vergessen, was teilweise zu hohem Aufwand führt, um mit dem System weiterarbeiten zu können. Authentikationstoken können ebenso verloren werden. Bei sehr sicheren IT -Systemen kann der Verlust von Passwörtern oder Token sogar dazu führen, dass alle Benutzerdaten verloren sind.
Passwörter werden oft notiert, damit sie nicht vergessen werden. Dies ist solange kein Problem, wie sie sorgfältig, also vor unbefugtem Zugriff geschützt, aufbewahrt werden. Leider ist dies nicht immer der Fall. Ein klassisches Beispiel ist die Passwortaufbewahrung unter der Tastatur oder auf einem Klebezettel am Bildschirm. Auch Authentikationstoken finden sich gerne unter der Tastatur.
Ein anderer Trick, um Passwörter nicht zu vergessen, ist die "geeignete" Auswahl. Wenn Benutzer Passwörter selber auswählen können und nicht ausreichend für die Probleme hierbei sensibilisiert sind, werden in vielen Fällen Trivial-Passwörter wie "4711" oder Namen von Freunden gewählt.
Beispiele:
- In einem Unternehmen wurde bei Stichproben festgestellt, dass viele Passwörter zu schlecht gewählt bzw. zu selten gewechselt wurden. Es wurde technisch erzwungen, dass die Passwörter monatlich gewechselt wurden und außerdem Zahlen oder Sonderzeichen enthalten mussten. Es stellte sich heraus, dass ein Administrator seine Passwörter wie folgt auswählte:
Januar2009, Februar2009, Maerz2009, ...
Diese Passwörter entsprachen zwar den Vorgaben, waren aber leicht erratbar. - In einer Behörde zeigte sich das Phänomen, dass Benutzer, die ihre Büros zur Straßenseite hatten, häufig dasselbe Passwort hatten: den Namen des gegenüberliegenden Hotels, der in großen Leuchtbuchstaben die Aussicht dominierte.