Bundesamt für Sicherheit in der Informationstechnik

G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen

Selbst die Nutzung von durchdachten Authentikationsverfahren hilft wenig, wenn die Benutzer nicht sorgfältig mit den benötigten Zugangsmitteln umgehen. Unabhängig davon, ob Passwörter, PIN s oder Authentikationstoken eingesetzt werden, werden diese immer wieder weitergegeben oder unsicher aufbewahrt.

Benutzer geben oft aus Bequemlichkeit Passwörter an andere Benutzer weiter. Häufig werden Passwörter innerhalb von Arbeitsgruppen geteilt, um jedem Mitarbeiter den Zugriff auf gemeinsam zu bearbeitende Dateien zu erleichtern. Der Zwang zur Passwortbenutzung wird oft als lästig empfunden und dadurch unterlaufen, dass Passwörter nie gewechselt werden oder alle Mitarbeiter dasselbe Passwort benutzen.

Immer wieder finden sich IT -Systeme und Anwendungen, bei denen die vom Hersteller voreingestellten Passwörter nicht geändert wurden. Häufig betrifft dies sogar die Administrator-Passwörter, die nicht geändert wurden, um sie nicht vergessen zu können. Standard-Passwörter sind jedoch allgemein bekannt und stellen damit ein hohes Sicherheitsrisiko dar.

Wird zur Benutzer-Authentisierung ein Token-basiertes Verfahren eingesetzt (z. B. Chipkarte oder Einmalpasswortgenerator), so ergibt sich bei Verlust die Gefahr, dass das Token unberechtigt verwendet wird. Ein unberechtigter Benutzer kann mit diesem Token unter Umständen erfolgreich eine Remote-Access-Verbindung aufbauen.

Wegen der Vielzahl verschiedener Passwörter und PIN s können sich Benutzer diese oftmals nicht alle merken. Daher werden Passwörter immer wieder vergessen, was teilweise zu hohem Aufwand führt, um mit dem System weiterarbeiten zu können. Authentikationstoken können ebenso verloren werden. Bei sehr sicheren IT -Systemen kann der Verlust von Passwörtern oder Token sogar dazu führen, dass alle Benutzerdaten verloren sind.

Passwörter werden oft notiert, damit sie nicht vergessen werden. Dies ist solange kein Problem, wie sie sorgfältig, also vor unbefugtem Zugriff geschützt, aufbewahrt werden. Dies ist nicht immer der Fall. Ein klassisches Beispiel ist das Passwort unter der Tastatur oder auf einem Klebezettel am Bildschirm. Auch Authentikationstoken finden sich oft unter der Tastatur.

Ein anderer Trick, um Passwörter nicht zu vergessen, ist die "geeignete" Auswahl. Wenn Benutzer Passwörter selber auswählen können und nicht ausreichend für die Probleme hierbei sensibilisiert sind, werden in vielen Fällen Trivialpasswörter wie "4711" oder Namen von Freunden gewählt.

Beispiele:

  • In einem Unternehmen wurde bei Stichproben festgestellt, dass viele Passwörter zu schlecht gewählt bzw. zu selten gewechselt wurden. Es wurde technisch erzwungen, dass die Passwörter monatlich gewechselt wurden und außerdem Zahlen oder Sonderzeichen enthalten mussten. Es stellte sich heraus, dass ein Administrator seine Passwörter wie folgt auswählte:
    Januar-2008, Februar-2008, Maerz-2008,
    Diese Passwörter entsprachen zwar den Vorgaben, waren aber leicht zu erraten.
  • In einer Behörde zeigte sich, dass einige der Benutzer, die ihre Büros zur Straßenseite hatten, dasselbe Passwort benutzten: den Namen des gegenüberliegenden Hotels, der in großen Leuchtbuchstaben die Aussicht dominierte.

Stand: 15. EL Stand 2016