G 3.43 Ungeeigneter Umgang mit Passwörtern
Selbst die Nutzung von durchdachten Authentikationsverfahren hilft wenig, wenn die Benutzer nicht sorgfältig mit den benötigten Zugangsmitteln umgehen. Unabhängig davon, ob Passwörter, PINs oder Authentikationstoken eingesetzt werden, werden diese immer wieder weitergegeben oder unsicher aufbewahrt.
Benutzer geben oft aus Bequemlichkeit Passwörter an andere Personen weiter. Häufig werden Passwörter innerhalb von Arbeitsgruppen geteilt, um jedem Mitarbeiter den Zugriff auf gemeinsam zu bearbeitende Dateien zu erleichtern. Der Zwang zur Passwortbenutzung wird oft als lästig empfunden und dadurch unterlaufen, dass Passwörter selten bis nie gewechselt werden oder alle Mitarbeiter dasselbe Passwort benutzen.
Wird zur Benutzer-Authentisierung ein Token-basiertes Verfahren eingesetzt (zum Beispiel Chipkarte oder Einmal-Passwortgenerator), so ergibt sich bei Verlust die Gefahr, dass das Token unberechtigt verwendet wird. Ein unberechtigter Benutzer kann mit diesem Token unter Umständen erfolgreich eine Remote-Access-Verbindung aufbauen.
Aufgrund der Vielzahl verschiedener Passwörter und PINs können sich Benutzer diese oftmals nicht alle merken. Daher werden Passwörter immer wieder vergessen, was teilweise zu hohem Aufwand führt, um mit dem System weiterarbeiten zu können. Authentikationstoken können ebenso verloren werden. Bei sehr sicheren IT-Systemen kann der Verlust von Passwörtern oder Token sogar dazu führen, dass alle Benutzerdaten verloren sind.
Passwörter werden oft notiert, damit sie nicht vergessen werden. Dies ist solange kein Problem, wie sie sorgfältig, also vor unbefugtem Zugriff geschützt, aufbewahrt werden. Dies ist nicht immer der Fall. Ein klassisches Beispiel ist das Passwort unter der Tastatur oder auf einem Klebezettel am Bildschirm. Auch Authentikationstoken finden sich oft unter der Tastatur.
Ein anderer Trick, um Passwörter nicht zu vergessen, ist die "geeignete" Auswahl. Wenn Benutzer Passwörter selbst auswählen können und nicht ausreichend für die Probleme hierbei sensibilisiert sind, werden in vielen Fällen Trivial-Passwörter wie 4711 oder Namen von Freunden gewählt.
Beispiele:
- In einem Unternehmen wurde bei Stichproben festgestellt, dass viele Passwörter zu schlecht gewählt beziehungsweise zu selten gewechselt wurden. Es wurde technisch erzwungen, dass die Passwörter monatlich gewechselt wurden und außerdem Zahlen oder Sonderzeichen enthalten mussten. Es stellte sich heraus, dass ein Administrator seine Passwörter wie folgt auswählte: Januar2009, Februar2009, Maerz2009, .... Diese Passwörter entsprachen zwar den Vorgaben, waren aber leicht zu erraten.
- In einer Behörde zeigte sich, dass einige der Benutzer, die ihre Büros zur Straßenseite hatten, dasselbe Passwort benutzten: den Namen des gegenüberliegenden Hotels, der in großen Leuchtbuchstaben die Aussicht dominierte. Mitarbeiter einer Institution geben untereinander Anmeldeinformationen (Nutzername und Passwort) weiter, die zur Nutzung eines Cloud Services berechtigen. Der betroffene Cloud-Dienst wurde in der Folge von mehreren Benutzern unter der gleichen Kennung verwendet. Dadurch konnten die Benutzer nicht mehr unterschieden werden und es war nicht mehr möglich nachzuvollziehen, welcher Mitarbeiter tatsächlich aktiv angemeldet war und wer welche Informationen weitergegeben oder bearbeitet hat.