G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen

Selbst die Nutzung von durchdachten Authentikationsverfahren hilft wenig, wenn die Benutzer nicht sorgfältig mit den benötigten Zugangsmitteln umgehen. Unabhängig davon, ob Passwörter, PINs oder Authentikationstoken eingesetzt werden, werden diese immer wieder weitergegeben oder unsicher aufbewahrt.

Benutzer geben oft aus Bequemlichkeit Passwörter an andere Benutzer weiter. Häufig werden Passwörter innerhalb von Arbeitsgruppen geteilt, um jedem Mitarbeiter den Zugriff auf gemeinsam zu bearbeitende Dateien zu erleichtern. Der Zwang zur Passwortbenutzung wird oft als lästig empfunden und dadurch unterlaufen, dass Passwörter nie gewechselt werden oder alle Mitarbeiter dasselbe Passwort benutzen.

Immer wieder finden sich IT-Systeme und Anwendungen, bei denen die vom Hersteller voreingestellten Passwörter nicht geändert wurden. Häufig betrifft dies sogar die Administrator-Passwörter, die nicht geändert wurden, um sie nicht vergessen zu können. Standard-Passwörter sind jedoch allgemein bekannt und stellen damit ein hohes Sicherheitsrisiko dar.

Wird zur Benutzer-Authentisierung ein Token-basiertes Verfahren eingesetzt (z. B. Chipkarte oder Einmalpasswortgenerator), so ergibt sich bei Verlust die Gefahr, dass das Token unberechtigt verwendet wird. Ein unberechtigter Benutzer kann mit diesem Token unter Umständen erfolgreich eine Remote-Access-Verbindung aufbauen.

Wegen der Vielzahl verschiedener Passwörter und PINs können sich Benutzer diese oftmals nicht alle merken. Daher werden Passwörter immer wieder vergessen, was teilweise zu hohem Aufwand führt, um mit dem System weiterarbeiten zu können. Authentikationstoken können ebenso verloren werden. Bei sehr sicheren IT-Systemen kann der Verlust von Passwörtern oder Token sogar dazu führen, dass alle Benutzerdaten verloren sind.

Passwörter werden oft notiert, damit sie nicht vergessen werden. Dies ist solange kein Problem, wie sie sorgfältig, also vor unbefugtem Zugriff geschützt, aufbewahrt werden. Dies ist nicht immer der Fall. Ein klassisches Beispiel ist das Passwort unter der Tastatur oder auf einem Klebezettel am Bildschirm. Auch Authentikationstoken finden sich oft unter der Tastatur.

Ein anderer Trick, um Passwörter nicht zu vergessen, ist die "geeignete" Auswahl. Wenn Benutzer Passwörter selber auswählen können und nicht ausreichend für die Probleme hierbei sensibilisiert sind, werden in vielen Fällen Trivialpasswörter wie "4711" oder Namen von Freunden gewählt.

Beispiele: