21.12.2022
Ämter, wir müssen reden
1. Teil: „Die drei schlimmsten Passwort-Nervereien“
Die drei schlimmsten Passwort-Nervereien
Autor: Gaby Salvisberg
M. Steiger/J. Ananiadis/Collage NMGZ
Besonders Ämter, aber auch manche Unternehmen nötigen die User zu fürchterlich dummen Fehlern beim Umgang mit Passwörtern. Hier die «Top 3» – und Tipps, wie es besser ginge.
Die Digitalisierung ist eine grosse Herausforderung. Und bei allem ist nebst Verschlüsselung und sicherer Datenspeicherung auch ein Passwort erforderlich. Während die meisten online tätigen Unternehmen und grossen Dienstanbieter es «richtig» machen, gibt es nach wie vor ein paar ungesunde und aus dem Aspekt der Sicherheit heraus betrachtet fatale Verhaltensweisen, die manche ihren Nutzerinnen und Nutzern aufdrängen.
Auf den folgenden Seiten finden Sie die drei unserer Ansicht nach überflüssigsten und gefährlichsten Vorschriften, die manche Anbieter ihrer Nutzergemeinde aufnötigen.
2. Teil: „Platz 3: «Passwort alle X Monate ändern»“
Platz 3: «Passwort alle X Monate ändern»
Weil man nicht immer wissen kann, ob ein Passwort gehackt oder beim User abgephisht wurde, wollen manche Netzwerk-Admins ihre User dazu verpflichten, in regelmässigen Abständen ihre Passwörter zu ändern.
Aber diese Unsitte stammt aus der grauen Vorzeit des Computerzeitalters. Aus einer Zeit, in der es noch keine Zwei-Faktor-Authentisierung gab. Die regelmässig erzwungene Passwortänderung nervt die User nämlich so sehr, dass sie beginnen, ihre Passwörter einfach durchzunummerieren.
Aus Schnurrli01 wird Schnurrli02, dann Schnurrli03 und so weiter. Das kann der Sicherheit nicht dienlich sein.
3. Teil: „Platz 2: «Maximal 12 Zeichen»“
Platz 2: «Maximal 12 Zeichen»
Es ist zwar sinnvoll, der Nutzerschaft ein paar minimale Vorschriften über den Aufbau des Kennworts zu machen. Sobald man nebst Buchstaben auch Ziffern und Sonderzeichen verlangt, vervielfachen sich automatisch die möglichen Zeichenkombinationen, was sogenannte Wörterbuchattacken (Durchprobieren von Begriffen) erschwert. Bis hier ist doch alles paletti.
Aber dann eine maximale Anzahl von gerade mal 12 Zeichen zu erlauben, ist nicht gerade der Weisheit letzter Schluss. Das Beispiel stammt vom Bundesamt für Bauten und Logistik (BBL) und wurde vom Verschlüsselungs-Fachmann und Piratenpartei-Politiker Jorgo Ananiadis entdeckt:
Ja, Digitalisierung ist schwierig, liebes Bundesamt. Bitte nachsitzen.
4. Teil: „Platz 1: «Sicherheitsfragen»“
Platz 1: «Sicherheitsfragen»
Ein weiteres Fundstück hat Jurist Martin Steiger vertwittert und stammt – ausgerechnet! – vom Schweizer Bundesamt für Informatik und Telekommunikation, genauer gesagt offenbar aus deren Login fürs «zentrale Zugriffs- und Berechtigungssystem der Bundesverwaltung für Webapplikationen und native Mobile Apps»:
Da höre ich schon die skeptischen Stimmen: «Aber auch Windows zwingt doch die User zur Angabe von Antworten auf drei Sicherheitsfragen, darum kann es doch nicht falsch sein, oder?»
Nun, leider doch! Es stimmt zwar, dass bei Microsoft irgendwann (war es mit Windows 10?) dieser Unsinn eingezogen ist. Aber das macht es nicht besser. Darüber habe ich mich schon einmal ausgelassen: «Windows 10: Sicherheitsfragen ausschalten».
Wenn man sich wenigstens eigene Fragen ausdenken könnte. Aber meistens werden Antworten auf fixe, nicht änderbare Fragen verlangt. Sollte jemand also weder ein Haustier noch einen Cousin, noch einen Spitznamen haben, ist es schwierig, sich noch einen passenden Fragenkatalog zusammenzuklicken. Nicht zuletzt lassen sich die Antworten auf diese Fragen jemandem durchaus per Social Engineering aus der Nase ziehen.
5. Teil: „So gehts richtig“
So gehts richtig
Es wäre so einfach, es besser zu machen.
Erlauben Sie Passwörter von bis zu 64 Zeichen. Damit können die User sogar einen kurzen Satz eingeben, anstelle eines Passworts.
Weisen Sie Ihre User darauf hin, dass sie für jeden Dienst ein separates Passwort benutzen sollen. Dieses darf keinen Aufschluss darüber geben, wie die Kennwörter desselben Users bei anderen Diensten heissen könnten.
Bieten Sie Ihren Usern eine einfache und kostenlose Zwei-Faktor-Authentisierung (2FA) an. Der Google Authenticator ist auf vielen Smartphones schon installiert. Nutzen Sie diesen Umstand. Wie das beispielsweise bei einem Microsoft-Account verwendet wird, beschreiben wir hier.
Für die Passwort-Wiederherstellung gibts weitaus bessere Methoden als die Abfrage von hochgradig unsicheren «Sicherheitsfragen». Bieten Sie den Usern Wiederherstellungscodes an, die diese aus ihrem Account herunterladen und lokal an einem sicheren Ort speichern können. Sogar ein Ausdrucken dieser Codes ist heutzutage sinnvoll, solange die Codes nicht offen am Bildschirm kleben, sondern in einem verschlossenen Schrank oder gar Tresor verwahrt sind.
Mit einer 2FA und Wiederherstellungscodes mildern Sie auch die Gefahren für jene Ihrer User, die sich ausgerechnet für eins der 10 häufigsten und damit schlechtesten Passwörter entschieden haben, siehe nachfolgende Bildstrecke.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>