Der durchschnittliche Internetnutzer hat 15 verschiedene Accounts. Einige davon hat er freiwillig angelegt, zu anderen wurde er mehr oder weniger gezwungen. Und jeder dieser Accounts wird normalerweise mit einem Passwort geschützt. Natürlich ist der Nutzer faul und gibt bei jedem Service das gleiche Passwort an. Spätestens seit den großen Angriffen auf Yahoo, LinkedIn und Tumblr sieht man die Folgen davon. Die geleakten Email-Passwort-Kombinationen werden im großen Stil bei anderen Diensten ausprobiert und mit einer erstaunlich hohen Trefferquote werden Accounts dann übernommen.
Stellt sich natürlich die Frage, wie das am besten zu verhindern ist. Dabei gibt es zwei Rahmenbedingungen, die das nicht gerade einfacher machen. Zum einen bestehen immer mehr Anbieter auf bestimmte Richtlinien bei der Passwortwahl (Sonderzeichen, Zahlen, Mindestgröße, …). Zum anderen soll man möglichst kein Passwort mehrfach verwenden. Beides sind natürlich sehr vernünftige Ratschläge. Kann aber von dem Nutzer erwartet werden, sich 20 verschiedene, möglichst komplizierte Passwörter zu merken?
Man kann sich die Passwörter natürlich aufschreiben. Für den Hausgebrauch ist das durchaus akzeptabel, solange man den Zettel nicht direkt an den Computer klebt, aber natürlich hat man dann unterwegs schon wieder ein Problem. Besonders dann, wenn man eben nicht den eigenen Computer benutzt, weil man zum Beispiel in einem Internet-Café ist.
2FA ist eine brauchbare Ergänzung zu Passwörtern
Eine sehr gute Ergänzung zu einfachen Passworten ist die 2-Faktoren-Authentifizierung. Bei dieser wird eben ein weiterer, möglichst unabhängiger Faktor abgefragt, zum Beispiel eine an ein Handy geschickte SMS mit einem einmaligen Code. Diese Methode ist nicht komplett sicher, vor allem, wenn man den Code über das gleiche Handy eingibt, wo man ihn empfangen hat. Aber für das oben beschriebene Szenario reicht es erst einmal aus. Der größte Haken an der Sache ist aber, dass diese Methode vor allem von kleineren Anbietern noch nicht umgesetzt wird. Während Microsoft, Google oder Facebook entsprechende Mechanismen dem Nutzer anbieten, sucht man es selbst bei Ebay vergebens. Dabei muss man gar nicht zu mit Kosten verbundenen SMS greifen. Der Time-based One-time Password Algorithmus verursacht keine laufenden Kosten und für die gängigen Programmiersprachen gibt es entsprechende Bibliotheken.
Hier müssen also nicht nur die Nutzer in die Pflicht genommen werden, sondern auch mal wieder die Anbieter. Neben Sicherungsmaßnahmen wie 2FA müssen sie auch dafür sorgen, dass es zum Beispiel eine Beschränkung der Versuche bei der Passworteingabe gibt. Zudem ist es natürlich eine Selbstverständlichkeit, dass Passwörter in den Systemen entsprechend gehasht werden (Ich kenne aus eigener Erfahrung Systeme, wo diese im Klartext gespeichert wurden oder nur sehr einfach verschlüsselt.). Und vielleicht muss man dann 2FA (oder ähnliche Mechanismen) auch zur Pflicht machen. Die Nutzer zu immer komplizierteren Passwörtern zu zwingen, ist jedenfalls auf Dauer nicht der richtige Weg. Sicherheit muss eben auch immer praktisch sein und manchmal auch Kompromisse machen, damit es benutzbar bleibt. Ansonsten suchen sich die Nutzer Workarounds, mit denen sie ihre Sicherheit aushebeln.
Ein Kommentar