Kommentar: 123456
Die lausigsten Passwörter
Fortsetzung des Artikels von Teil 1
Billige Passwörter
Zu den Neuzugängen der Hitparade 2013 gehört eine Variation des „sicheren“ Passworts „123456“ welches durch den Zusatz „789“ oder „7890“ erweitert wurde. Auch reine Produktnamen (eventuell auch mit einer nachfolgenden Zahlenfolge) scheinen letztes Jahr den Trend bestimmt zu haben.
Wir Fachleute beschreiben immer wieder den Vorgang, wie mit ausgefeilten Brute-Force-Angriffen von Hackern die komplexesten Passworte geknackt werden. Das Leben zeigt uns jedoch: Nur die simplen Dinge setzen sich im Alltag durch! Es braucht keine hochkomplexen Hackerprogramme, keine ausgefeilten Spionagetechniken und keine Gewalt, um an die Passworte der Nutzer heran zu kommen. In der Realität genügt bereits eine einfache Vermutung, um in viele Accounts eindringen zu können. Schlimmer noch, die von SplashData veröffentlichte „Hitparade der beleibtesten Passworte 2013“ kann von jedem Angreifer/Kriminellen/Kollegen für Datenbankabfragen, Zugängen zu Rechnern oder E-Mail-Accounts genutzt werden. Das perverse an der Situation ist, dass die simplen Passworte auf den Rechnern in einem verschlüsselten Zustand gelagert werden, damit niemand (auch nicht der Administrator) die hochgeheimen Passworte einsehen kann.
Sollte ich eines Tages einmal die Geschichte der schlechtesten Passwörter in Buchform veröffentlichen, dann weiß ich, dass ich unbedingt ein Kapitel über die fehlerhaften Annahmen der Benutzer einfügen muss. Dieses Kapitel wird sich hauptsächlich mit folgenden Themen beschäftigen:
- Voreingestellte Passwörter, die von den Nutzern einfach nur wiederholt wurden, obwohl das Programm die Benutzer aufgefordert hat, dieses zu ändern. Natürlich ignorierten die Auserwählten diesen nützlichen Hinweis.
- Haben die Benutzer die Möglichkeit, aus einer Liste zufällig generierter Passwort auszuwählen, suchen diese sich immer das Passwort mit der geringsten Komplexität heraus.
- Viele Anwender sind der irrtümlichen Meinung, dass das Passwort sowieso egal ist, weil ein Angreifer keine Möglichkeit hat einen Angriff auf mehrere Zugangskonten ohne physischen Zugang durchzuführen.
Eigentlich hätte bereits mit der Ausbreitung der LANs und dem Internet eine Reform der bis dahin üblichen User-ID/Passworte durchgeführt und in die vernetzten Systeme integriert werden müssen. Aber die Masse ist auch in der IT sehr träge. Aus diesem Grund entschieden sich die IT-Abteilungen und die Anbieter der modernen Technologien genauso weiter zu machen wie bisher. Passwörter dürfen nicht komplex sein, denn wenn die Benutzer diese vergessen, kommt zusätzliche Arbeit auf das IT-Team oder den Hersteller zu. Werden die Passworte zu komplex, fluchen die Nutzer und rebellieren gegen die strikten Vorgaben.
Das Problem mit den Passworten steckt wahrscheinlich tief in jedem Benutzer drin: „Wir sind mündige Bürger und benötigen keine kontrollierenden Türsteher, die uns den Zugang zum Paradies verwehren. Niemand kann Aufpasser leiden und niemand findet eine Kontrolle gut. Andererseits ist die Mehrheit der Anwender davon überzeugt, dass solche Kontrollfunktionen notwendig sind. Dagegen ist ein Verständnis für die Probleme und Nöte der ITler mit der Sicherheit von den Anwendern nicht zu erwarten. Aus diesem Grund werden wir die „123456-Passworte“ – auch als Ausdruck der Rebellion der Nutzer gegen die übermächtige IT - weiterhin in den Unternehmen finden.
Fazit
Trotz einer Flut von neuer Pasworttechnologien und -Konzepte werden die simplen Passwörter nicht in absehbarer Zeit verschwinden. Die einfache Erklärung dafür ist, dass Passwörter zwar ihre Schwächen haben, aber eben einen sehr preiswerten Zugangsschutz bieten.
- Die lausigsten Passwörter
- Billige Passwörter
Lesen Sie mehr zum Thema
