Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst
Sechs Games für Android ab 1 US-Cent im Humble Mobile Bundle 5   Das ist Amazons Smartphone mit 3D-Display   Project Ara: Live-Stream von der heutigen 1. Entwicklerkonferenz zum Baukasten-Phone   Foto des iPhone 6 lässt Display mit etwa 5,1 Zoll Größe vermuten   Samsung-Patent zeigt Kopfhörer mit integriertem Display

Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst

 
 

Manche Unternehmen stellen so hohe Anforderungen an Passworte für ihre Websites oder Services, dass sie dadurch die Sicherheit drastisch reduzieren. Was sind die besten Strategien mit der Passwortflut und unsinnig hohen Anforderungen umzugehen?

 

(19.6.2012, 19:05) Ich habe gefühlte 250 Kombinationen von Kontonamen/Passwort. Es gibt sicher Menschen, die sich sowas merken können. Ich gehöre nicht dazu. Was also tun?

Die naheliegendste Lösung wäre, sich einen Satz von Kontoname/Passwort zuzlegen, den man überall anwenden kann. Das geht aber nicht, da jede Pimperl-Website meint ihre eigenen Anforderungen an Passworte stellen zu müssen.

Heute bin ich wieder mit so einer unsinnigen Anforderung konfrontiert worden. Car2go ist ein cleveres Service für Carsharing in Städten. Aber die Sicherheitsthematik ist offenbar wenig durchdacht, werden doch für das Passwort 8 bis 25 Zeichen davon mindestens einen Groß- und Kleinbuchstaben, sowie eine Zahl (0-9) verlangt.

Wird durch ein Passwort mit mehr als 5 Zeichen dieses sicherer? Definitiv nicht. Im Gegenteil. Je länger und je komplizierter ein Passwort, desto größer die Wahrscheinlichkeit, dass es sich die Mehrheit nicht merkt, daher aufschreiben muss und damit ein vermeidbares Risiko entsteht. Faktum ist also, dass ein 5-stelliges alphanumerisches Passwort, das ich mir merken kann, sicherer ist als ein 8-stelliges, das ich mir nicht mehr merken kann. Car2go reduziert durch seine unsinnigen Anforderungen also unter dem Strich die Sicherheit meines Kontos.

Das Unternehmen signalisiert auch, dass es selbst Sicherheit nicht ernst nimmt. Beim Bankomat reichen 4 Ziffern, denn die Eingabe wird überwacht und bei der dritten falschen ist die Bankomatkarte weg. Ein 5-stelliges Passwort mit Groß-Kleinschreibung und Ziffern kommt bereits auf schlanke 916 Millionen Kombinationen. Deutet uns car2go an, dass sie eine Überwachung auf Fehlversuche nicht vornehmen und millionenfache Zugriffe zulassen um ein fünfstelliges Passwort aus beliebigen Zeichen zu knacken? Möchte nicht wissen, wie lange halbwegs versierte Hacker brauchen würden um die Userdaten der car2go Kunden zu klauen angesichts dieses wenig professionellen Umgangs mit Security Themen.

Ein anderes Beispiel ist Electronic Banking von der Raiffeisen Bank. Ich nutze es seit 1981 (in Worten neunzehnhunderteinundachtzig) und die Benutzeroberfläche hat sich seither nur geringfügig verändert.

Nach einer Unterbrechung von rund 25 Jahren habe ich mir vor 2 Jahren wieder E-Banking dort zugelegt. Du bekommst Zugangsdaten mit einer 5-stelligen Zahl als Passwort. Du sollst aber deinen Zugang selbst festlegen. Die Anforderungen an das Passwort sind mindestens 8 Zeichen, mindestens eine Ziffer von 0 bis 9 und mindestens ein Sonderzeichen wie . , % & * ! ? sowie Groß- und Kleinschreibung beachten. Ja - das muss ich erst noch machen. Hier reduzieren die Anforderungen an das Passwort die Sicherheit des Kunden, wenn er so wie ich dann das einfachere von der Bank zugesendete weiter verwendet.

Welche Lösungen gibt es also?

1. Zettel mit allen Kontonamen/Passworten an einem sicheren Platz wie dem Geldbörsel aufbewahren. Die Sicherheit ist enden wollend, danke liebe IT-Abteilungen der Unternehmen, die die Verantwortung für die Sicherheit der Konten ihrer Kunden ausschließlich bei diesen sehen.

2. Ein mit einem Passwort geschütztes Word Dokument (docx), das in der Cloud abgelegt wird um jederzeit zugänglich zu sein. Die Sicherheit dieser Lösung ist ziemlich hoch, da die Verschlüsselung geschützter docx-Dokumente sehr gut ist.

3. Ein Single Log In wie LastPass verwenden - mein Favorit. Die Ironie dabei: Bei LastPass kann ich mein Passwort selbst wählen, auch dann wenn es kürzer ist und weniger Milliarden Versuche verlangt als das von car2go oder der Raiffeisen Bank. Aber ich kann mir auch ein hochsicheres Passwort von Last Pass generieren lassen.

Das Angenehme an LastPass ist, dass es ein Onlinedienst ist, der die Daten in der Cloud speichert und zwar mit einer Verschlüsselung von 256-Bit AES. Mit dem Master Passwort habe ich damit von überall den One Click Zugang. Sogar Googles Zwei-Stufen-Authentifizierung wird unterstützt. Es gibt auch Apps für die gängigen Betriebssysteme, sogar für Windows Phone. Die sind allerdings nur in der Premium Version verfügbar, die aber nur 1 Dollar pro Monat kostet. Heute ist übrigens die Version 2 erschienen, die auch Anhänge wie Word-Dateien an sichere Notizen ermöglicht.

Wenn du immer über die wichtigsten News informiert sein willst, so folge uns auf Facebook, Twitter, Google+ oder klicke auf den RSS Button weiter unten.

( )
Reaktionen auf diesen Artikel



Oliver, 22.06.2012
BruteForce?
Wobei man die Ansicht "Wird durch ein Passwort mit mehr als 5 Zeichen dieses sicherer? Definitiv nicht." nicht teilen kann, denn ein 5-stelliges Passwort ist (wenn man Zugriff auf die Daten hat) in weniger als 24s heutzutage knackbar! (Quelle: http://www.gulli.com/news/16285-moderne-grafikkarten-knacken-auch-schwierige-passwoerter-2011-06-06). Dagegen sind die Websites in der Regel aber gewappnet.
Samsung-Patent zeigt Kopfhörer mit integriertem Display   OnePlus One lässt im AnTuTu Benchmark alle Top-Gerät hinter sich   EA Battlefield 4 Naval Strike ab sofort für alle Spieler verfügbar   Samsung zeigt Galaxy S5 und Gear Smartwatch in Fantasy Video   Forschungsprojekt NuPEx: Meistgenutzte Android-App ist WhatsApp
Samsung-Patent zeigt Kopfhörer mit integriertem Display   Titanfall Expedition DLC kommt im Mai und bringt drei neue Karten   iWatch: Apple soll LG für die flexiblen AMOLED-Displays beauftragt haben   iPhone 6: nach Foto vom Display nun angeblich auch eines vom Akku   Samsung Galaxy Tab 4 7.0 und 10.1: ab 209 Euro auf Cyberport vorbestellen – Auslieferung im Mai

Suchbegriffe: Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst


 
Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannstWie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannstWie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst Telekom-Presseon
Kommentar  •  Personalia  •  Anzeigen  •   Newsletter-Admin  •  Impressum
Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst
Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst
Facebook säubert News Feed und bekämpft alte, uninteressante und Spam-Inhalte
News
Dossier
Facebook säubert News Feed und bekämpft alte, uninteressante und Spam-Inhalte
Partner
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Ouya: Android-Konsole wird am 28. März an Vorbesteller auf Kickstarter ausgeliefert
Google Suche
Weitere Artikel