Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst
Gerücht: HTC baut Nexus-7-Nachfolger sowie zwei weitere Tablets   Alcatel One Touch Hero im Redaktionstest – Mittelklasse-Phablet inklusive FlipCover und integriertem Stylus   Microsoft plant Universal Windows-Apps für Windows, Windows Phone und Xbox   Unterschiede zwischen Xperia Z3 und Xperia Z2 marginal – wenn überhaupt   LG präsentiert flexibles Display mit 18 Zoll – 2017 will man 60 Zoll Display mit Ultra HD Auflösung auf den Markt bringen [Video]

Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst

 
 

Manche Unternehmen stellen so hohe Anforderungen an Passworte für ihre Websites oder Services, dass sie dadurch die Sicherheit drastisch reduzieren. Was sind die besten Strategien mit der Passwortflut und unsinnig hohen Anforderungen umzugehen?

 

(19.6.2012, 19:05) Ich habe gefühlte 250 Kombinationen von Kontonamen/Passwort. Es gibt sicher Menschen, die sich sowas merken können. Ich gehöre nicht dazu. Was also tun?

Die naheliegendste Lösung wäre, sich einen Satz von Kontoname/Passwort zuzlegen, den man überall anwenden kann. Das geht aber nicht, da jede Pimperl-Website meint ihre eigenen Anforderungen an Passworte stellen zu müssen.

Heute bin ich wieder mit so einer unsinnigen Anforderung konfrontiert worden. Car2go ist ein cleveres Service für Carsharing in Städten. Aber die Sicherheitsthematik ist offenbar wenig durchdacht, werden doch für das Passwort 8 bis 25 Zeichen davon mindestens einen Groß- und Kleinbuchstaben, sowie eine Zahl (0-9) verlangt.

Wird durch ein Passwort mit mehr als 5 Zeichen dieses sicherer? Definitiv nicht. Im Gegenteil. Je länger und je komplizierter ein Passwort, desto größer die Wahrscheinlichkeit, dass es sich die Mehrheit nicht merkt, daher aufschreiben muss und damit ein vermeidbares Risiko entsteht. Faktum ist also, dass ein 5-stelliges alphanumerisches Passwort, das ich mir merken kann, sicherer ist als ein 8-stelliges, das ich mir nicht mehr merken kann. Car2go reduziert durch seine unsinnigen Anforderungen also unter dem Strich die Sicherheit meines Kontos.

Das Unternehmen signalisiert auch, dass es selbst Sicherheit nicht ernst nimmt. Beim Bankomat reichen 4 Ziffern, denn die Eingabe wird überwacht und bei der dritten falschen ist die Bankomatkarte weg. Ein 5-stelliges Passwort mit Groß-Kleinschreibung und Ziffern kommt bereits auf schlanke 916 Millionen Kombinationen. Deutet uns car2go an, dass sie eine Überwachung auf Fehlversuche nicht vornehmen und millionenfache Zugriffe zulassen um ein fünfstelliges Passwort aus beliebigen Zeichen zu knacken? Möchte nicht wissen, wie lange halbwegs versierte Hacker brauchen würden um die Userdaten der car2go Kunden zu klauen angesichts dieses wenig professionellen Umgangs mit Security Themen.

Ein anderes Beispiel ist Electronic Banking von der Raiffeisen Bank. Ich nutze es seit 1981 (in Worten neunzehnhunderteinundachtzig) und die Benutzeroberfläche hat sich seither nur geringfügig verändert.

Nach einer Unterbrechung von rund 25 Jahren habe ich mir vor 2 Jahren wieder E-Banking dort zugelegt. Du bekommst Zugangsdaten mit einer 5-stelligen Zahl als Passwort. Du sollst aber deinen Zugang selbst festlegen. Die Anforderungen an das Passwort sind mindestens 8 Zeichen, mindestens eine Ziffer von 0 bis 9 und mindestens ein Sonderzeichen wie . , % & * ! ? sowie Groß- und Kleinschreibung beachten. Ja - das muss ich erst noch machen. Hier reduzieren die Anforderungen an das Passwort die Sicherheit des Kunden, wenn er so wie ich dann das einfachere von der Bank zugesendete weiter verwendet.

Welche Lösungen gibt es also?

1. Zettel mit allen Kontonamen/Passworten an einem sicheren Platz wie dem Geldbörsel aufbewahren. Die Sicherheit ist enden wollend, danke liebe IT-Abteilungen der Unternehmen, die die Verantwortung für die Sicherheit der Konten ihrer Kunden ausschließlich bei diesen sehen.

2. Ein mit einem Passwort geschütztes Word Dokument (docx), das in der Cloud abgelegt wird um jederzeit zugänglich zu sein. Die Sicherheit dieser Lösung ist ziemlich hoch, da die Verschlüsselung geschützter docx-Dokumente sehr gut ist.

3. Ein Single Log In wie LastPass verwenden - mein Favorit. Die Ironie dabei: Bei LastPass kann ich mein Passwort selbst wählen, auch dann wenn es kürzer ist und weniger Milliarden Versuche verlangt als das von car2go oder der Raiffeisen Bank. Aber ich kann mir auch ein hochsicheres Passwort von Last Pass generieren lassen.

Das Angenehme an LastPass ist, dass es ein Onlinedienst ist, der die Daten in der Cloud speichert und zwar mit einer Verschlüsselung von 256-Bit AES. Mit dem Master Passwort habe ich damit von überall den One Click Zugang. Sogar Googles Zwei-Stufen-Authentifizierung wird unterstützt. Es gibt auch Apps für die gängigen Betriebssysteme, sogar für Windows Phone. Die sind allerdings nur in der Premium Version verfügbar, die aber nur 1 Dollar pro Monat kostet. Heute ist übrigens die Version 2 erschienen, die auch Anhänge wie Word-Dateien an sichere Notizen ermöglicht.

Wenn du immer über die wichtigsten News informiert sein willst, so folge uns auf Facebook, Twitter, Google+ oder klicke auf den RSS Button weiter unten.

( )
Reaktionen auf diesen Artikel



Oliver, 22.06.2012
BruteForce?
Wobei man die Ansicht "Wird durch ein Passwort mit mehr als 5 Zeichen dieses sicherer? Definitiv nicht." nicht teilen kann, denn ein 5-stelliges Passwort ist (wenn man Zugriff auf die Daten hat) in weniger als 24s heutzutage knackbar! (Quelle: http://www.gulli.com/news/16285-moderne-grafikkarten-knacken-auch-schwierige-passwoerter-2011-06-06). Dagegen sind die Websites in der Regel aber gewappnet.
Surface Mini: Microsoft bestätigt das Device und die Verlegung des Releases in Bericht zu Q2 2014   BioWare Dragon Age: Inquisition: Release am 20. November 2014   Groupon launcht Lifestyle-Marktplatz - Überarbeitete Website in neuem Design   Amazon Fire in ersten Kritiken – das Gegenteil von gut gemacht   Battlefield Hardline: Release auf 2015 verschoben
Surface Mini: Microsoft bestätigt das Device und die Verlegung des Releases in Bericht zu Q2 2014   Microsoft Nokia Lumia 530: neues Budget-Smartphone ist offiziell   iPad Mini 3 aka Mini Air soll nur noch knapp 5 Millimeter dick sein – iPad Event im Oktober erwartet   Amazon Deals des Tages - Acer Aspire Notebook, LG und Dyon Fernseher   Samsung vs Apple: Werbespot macht sich über iPhone 6 lustig

Suchbegriffe: Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst


 
Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannstWie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannstWie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst Telekom-Presseon
Kommentar  •  Personalia  •  Anzeigen  •   Newsletter-Admin  •  Impressum
Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst
Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst Wie Unternehmen die Sicherheit von Passworten reduzieren und was du dagegen tun kannst
OGH unterbricht Musterverfahren Filmwirtschaft gegen Internetwirtschaft
News
Dossier
OGH unterbricht Musterverfahren Filmwirtschaft gegen Internetwirtschaft
Partner
Impressum
Impressum
Impressum
Impressum
Impressum
Impressum
Google Suche
Weitere Artikel