Information und Bildungsarbeit von und für die SAP-Community

Passwortsicherheit – Ein hoffnungsloser Fall?

Kaum eine Sicherheitstechnologie hat uns so lange begleitet wie das Passwort. Im Laufe der Jahrzehnte gab es immer Optimierungen, das Grundprinzip ist aber gleich geblieben.
Raimund Genes, Trend Micro
1. Oktober 2016
it security Header
avatar

Allen Optimierungen gemeinsam ist der Wunsch nach mehr Sicherheit.

Spätestens mit dem Aufkommen moderner Passwort-Cracker lässt sich bei einer gegebenen Passwortlänge und einem festgelegten Zeichenvorrat sehr genau abschätzen, wie lange das Brechen eines Passworts mit roher Gewalt („Bruteforce“) dauern wird.

Die Idee ist simpel: Je komplexer und länger das Passwort, umso länger dauert es – und umso sicherer das Passwort. So die gängige Meinung…

Leider ist die Problematik nicht ganz so eindimensional. Inzwischen spielen mehrere Faktoren eine ganz erhebliche Rolle bei der Passwortsicherheit.

Gut?

Inzwischen ist ein Trend zu laxeren Passwort­richtlinien zu beobachten. Weniger im Hinblick auf die Passwortlänge, eher auf den geforderten Zeichenvorrat.

Während manche dies als „weniger sicherheits­affin“ abtun, sehe ich hier etwas anderes: Immerhin ist das Eingeben von Passwörtern mit Sonderzeichen auf einem mobilen Endgerät aufwändig. Also fordert man nur noch Zeichen, die auf der Standardtastatur von Smartphones einfach zu erreichen sind.

Diese Entscheidung ergibt dann mehr Sinn, wenn man sich die Situation in Helpdesks vor Augen führt.

Am Mobilgerät schwer einzugebende Passwörter sorgen für einen massiv höheren Aufwand beim Anwendersupport. Um dem entgegenzuwirken, werden die Richtlinien manchmal gelockert…

Zu gut gemeint?

Die Forschung zum effizienten Knacken von Passwörtern ist sehr weit fortgeschritten.

Untersuchungen zum Schritt davor – der Frage, wie wir Menschen Passwörter „erdenken“ – tauchen erst in letzter Zeit vermehrt auf.

Eine aktuelle Studie der University of North Carolina kommt zu dem Ergebnis, dass zu häufige Passwortwechsel und zu strenge Vorgaben der Sicherheit eher schaden als nützen.

Dann nämlich neigen Benutzer dazu, das „alte“ Passwort mit einfachen Modifikationen immer weiter zu nutzen – und z. B. nur die Groß-/Kleinschreibung zu ändern oder weitere Zeichen anzuhängen.

Forscher haben vor diesem Hintergrund nun Verfahren entwickelt, die bei einem bestehenden Grundpasswort viele häufige Modifikationen ausprobieren und damit viel schneller zum Ziel kommen.

Gut genug?

In vielen Sicherheitsschulungen wird den Nutzern eingetrichtert, verschiedene Passwörter für verschiedene Zugänge zu nutzen und zwischen Privatem und Geschäftlichem zu trennen.

Doch der Mensch ist ein Gewohnheitstier, die Realität sieht anders aus.

Man muss davon ausgehen, dass viele auch für ihre privaten Accounts gleiche oder ähnliche Passwörter nutzen. Dadurch wird plötzlich auch der Hack eines Drittanbieters oder Lieferanten relevant – besonders, wenn Passwörter im Klartext entwendet werden.

Denn damit haben Angreifer auf einen Schlag eine große Basis an Grundpasswörtern zur Verfügung, die sie mit Modifikationen einfach mal gegen den Firmenzugang ausprobieren können.

Ende gut, alles gut?

Das Beispiel der Passwörter zeigt, dass Sicherheit kein eindimensionaler technischer Prozess ist. Technische Entscheidungen haben direkten Einfluss auf weitere Dimensionen, auf Menschen und Prozesse.

Eine Entscheidung, die das System in technischer Hinsicht sicherer macht, hat unter Umständen massive Einflüsse auf andere Dimensionen, sodass die Sicherheit des Gesamtsystems leiden kann.

Benötigt man wirklich für alle Dienste das Maximale-Sicherheit-mit-Sonderzeichen-Passwort, oder ist eine dem Vertraulichkeitsgrad angemessene Authentifizierung nicht auch „gut genug“?

Oder adressiert andererseits das Rumdoktern am Passwort nicht einfach nur das Symptom? Eventuell ist in bestimmten Fällen eine Authentifizierung via Zwei-Faktor oder Biometrie sinnvoll.

Die Entscheidung, wie welche Zugänge zu schützen sind, hängt von den Mitarbeitern, Diensten, Prozessen und technischen Möglichkeiten ab.

Und diese Entscheidung ist letztlich nach einer Risikobetrachtung und -bewertung, die mehr als nur die technische Dimension berücksichtigt, zu treffen.

Pauschal Richtig oder Falsch gibt es hier nicht – Entscheidungen sind immer im Kontext des Einsatzzwecks und der Risikobereitschaft zu sehen. Und das gilt für Passwörter genauso wie für andere Techniken und Prozesse in der IT-Sicherheit.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.