Passwortsicherheit: weg von ‚08/15‘ und ‚123456‘
Jeden ersten Donnerstag im Mai sensibilisiert der „World Password Day“ für die Gefahr des Missbrauchs digitaler Identitäten. Die Verwendung starker Passwörter ist in dem Zusammenhang ein wichtiger Baustein auf dem Weg zu mehr Sicherheit. Allerdings sind gerade Unternehmen gut damit beraten, über Multifaktor-Authentifizierung eine zusätzliche Schutzebene zu schaffen.
Der Diebstahl vertraulicher Zugangsinformationen hat sich mittlerweile zum lukrativen Geschäftsmodell entwickelt. Somit ist im Umgang mit Passwörtern extreme Vorsicht geboten – das gilt nicht nur fürs private, sondern insbesondere für das geschäftliche Umfeld. Richtig gefährlich wird es vor allem dann, wenn Menschen aus Bequemlichkeit ein Passwort für unterschiedlichste Konten verwenden – was laut einschlägiger Untersuchungen gar nicht so selten ist. Aus diesem Grund sollen an dieser Stelle noch einmal die wichtigsten Best-Practices rund um den Schutz von vertraulichen Zugangsinformationen in den Fokus gerückt werden.
Hacker dürfen kein leichtes Spiel haben
Wie man die Sicherheit eines Passworts erhöht, ist allgemein bekannt. Zeichenlänge-, -kombination und Änderungsrhythmus spielen hier eine wichtige Rolle. So kann ein Passwort, das auf der willkürlichen Aneinanderreihung von acht Buchstaben basiert, mit den modernen Werkzeugen der kriminellen Gegenseite heute innerhalb von Sekunden herausgefunden werden. Mehr Schutz versprechen Kreationen, die mindestens 14 Zeichen lang sind, eine Vielzahl von Sonderzeichen, Zahlen und Buchstaben nutzen sowie keinerlei Bezug zum persönlichen Umfeld haben. Zudem gilt es, vorhersehbare Muster in der Groß- und Kleinschreibung, wie zum Beispiel am Anfang oder Ende des Passworts oder bei Eigennamen, zu vermeiden. Und ganz wichtig: regelmäßig ändern! Empfohlen sind hier Zyklen von 90 Tagen. Wenn man bedenkt, dass heutzutage jeder einzelne von uns im Schnitt auf über 20 verschiedene Online-Konten kommt, die natürlich alle ein unterschiedliches Passwort haben sollten, wird eines ganz schnell deutlich: Konsequente Passwortsicherheit geht mit Aufwand einher. Und selbst wenn spezielle, sogar kostenlose Werkzeuge zum Passwortmanagement heute in der Lage sind, einen großen Teil dieses Aufwands zu schultern, verharren immer noch viel zu viele Endanwender in alten Routinen. Im Worst Case findet sich dann das Passwort „Passwort“, das seit Jahren jedem einzelnen Online-Konto – egal ob beruflich oder privat – zugewiesen wird, fein säuberlich notiert auf einem Klebezettel unter dem Schreibtisch.
Passwortroutinen auf Unternehmensebene unter Kontrolle bringen
Ein einziger Beschäftigter, der zu lax mit dem Thema Passwortsicherheit umgeht, reicht aus, um Hackern Tür und Tor zu internen Ressourcen auf Unternehmensseite zu öffnen. Eine zusätzliche Sicherheitsebene einzuziehen macht an dieser Stelle nicht nur Sinn, sondern ist sogar dringend erforderlich. Denn wenn ein Angreifer erst einmal im Besitz der Zugangsdaten eines Mitarbeiters ist, lässt er sich kaum noch aufhalten. Als „legitimierter“ Anwender überwindet er jede weitere Sicherheitskontrolle des Unternehmens – egal wie ausgefeilt diese ist – und kann sich munter austoben. Mehr oder weniger strenge Passwortrichtlinien haben hier in den letzten Jahren kaum Abhilfe geschaffen. Selbst wenn die Umsetzung – zum Teil durch administrative Werkzeuge – erzwungen wurde, ließ der erreichte Effekt doch eher zu wünschen übrig. Viele Mitarbeiter zeigen sich nach wie vor wenig einfallsreich, wenn es um die Vergabe neuer Kennwörter geht – Stichwort Bequemlichkeit. Oftmals wird ein bestehendes Login nur minimal abgeändert und das Risiko des Missbrauchs bleibt hoch. Abhilfe schafft hier Multifaktor-Authentifizierung.
Zusätzliche Sicherheit durch Multifaktor-Authentifizierung
Multifaktor-Authentifizierung zielt darauf ab, mehrere Methoden der Authentifizierung zu kombinieren, um auf diese Weise für zusätzlichen Schutz zu sorgen. Bei der Einwahl via Username und Passwort zählt allein das Wissen. Wer beides kennt, ist drin. Umso mehr gilt es, weitere Faktoren wie „Besitz“ und „Biometrie“ einzubinden. Am anwenderfreundlichsten gestalten sich dabei heutzutage Lösungsszenarien, die auf der Integration von Smartphones basieren. Schließlich gibt es ja kaum noch jemanden, der nicht über ein solches verfügt. Und das Entsperren via Fingerprint oder Gesichtserkennung gehört mittlerweile zum Standardfunktionsumfang der aktuellen Gerätegenerationen.
Alltagstaugliche Abläufe schaffen
Wie eine entsprechende Authentifizierung aussehen kann, soll das folgende Beispiel verdeutlichen: Ein Mitarbeiter, der auf eine Unternehmensanwendung zugreifen will, gibt zunächst einmal seine üblichen Login-Daten ein. Daraufhin erhält er beispielsweise eine Push-Benachrichtigung auf sein Telefon – das er mit Face-ID entsperren muss – á la: „Versuchen Sie gerade, sich in Anwendung ‘xyz’ einzuwählen?“ Nach kurzer Bestätigung steht dem Zugang zur Firmenressource nichts mehr im Wege. Ein Hacker, der zwar das Passwort kennt, aber nicht im Besitz der weiteren Bestätigungsinstanz ist, hat hier das Nachsehen. Die Spielarten der Mehrfaktor-Authentifizierung sind dabei durchaus vielfältig. Auch andere Hardwarekomponenten wie Smart Cards oder USB-Token – welche eine stetig wechselnde und zeitlich begrenzt gültige Zahlenkombination nach dem OTP-Verfahren (One Time Password) anzeigen – sowie zusätzliche Softwarepakete oder die Authentifizierung via E-Mail, PIN oder Sicherheitsfrage sind in der Praxis keine Seltenheit. Wichtig ist, das mit Multifaktor-Authentifizierung einhergehende Sicherheitslevel mit Anwenderkomfort einerseits und überschaubarem Verwaltungsaufwand andererseits in Einklang zu bringen. Sicher und bequem ist die Devise. Genau dieses Prinzip verfolgt die WatchGuard-Lösung „AuthPoint“, die bei immer mehr Unternehmen weltweit zum Einsatz kommt und im Zuge der Angreifbarkeit von Passwörtern eine wichtige Lücke schließt.