(http://static.gulli.com/media/2013/02/thumbs/370/password--by-bon243-d31kqv7.jpg)
Deloitte weist Anbieter und Nutzer von Internetdiensten darauf hin, dass sie den Umgang mit Passwörtern nicht auf die leichte Schulter nehmen sollten. Selbst jene Passwörter, welche die Ratschläge von Sicherheitsexperten beherzigen (mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und andere Zeichen), werden durch die Verhaltensmuster der Nutzer unsicher.
Deloitte, ein „globales Netzwerk rechtlich selbstständiger und unabhängiger Unternehmen“, hat sich mit der Frage beschäftigt, wie sicher unsere Passwörter sind, und die Ergebnisse samt Ratschlägen für einen sicheren Umgang mit Passwörtern (PW) veröffentlicht. Es stellt sich heraus, dass selbst die PW, die vom Nutzer nach den von Sicherheitsexperten empfohlenen Richtlinien erstellt werden, bei weitem nicht so sicher sind, wie oft geglaubt wird. Wie Hacker an fremde Daten kommen, erklärt Deloitte in der vorliegenden Mitteilung (http://www.deloitte.com/view/en_GX/global/industries/technology-media-telecommunications/tmt-predictions-2013/tmt-predictions-2013-technology/9eb6f4efcbccb310VgnVCM1000003256f70aRCRD.htm).
Deloitte sagt voraus, dass 2013 mehr als 90 Prozent der nutzergenerierten PW anfällig für Hackerattacken sein werden. Zu geringer Schutz der PW kann zu Verlusten von Milliarden Dollar führen und dazu, dass das Vertrauen in Internet-Transaktionen verlorengeht, außerdem fügt ein Mangel an PW-Schutz dem Ruf von Unternehmen, die zum Opfer von Hackerangriffen werden, erheblichen Schaden zu. Die Wichtigkeit der Absicherung durch PW steigt, doch Unternehmen, bei denen es um sensible Daten geht, werden wohl bald auf zusätzliche Formen der Identifikation zurückgreifen.
Jahrelang hieß es, ein PW sollte mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben enthalten sowie mindestens eine Ziffer und ein nicht alphanumerisches Zeichen. Ein nach diesen Regeln definiertes PW galt als relativ stark und für heikle Abläufe wie Banking oder E-Commerce als sicher. Wie stark sind solche PW wirklich? Es stehen auf der Standardtastatur 94 Zeichen zur Verfügung, für ein PW mit acht Stellen ergeben sich 6,1 Quadrillionen (das sind sechsmal 1015) Kombinationsmöglichkeiten. Selbst mit einem relativ schnellen Computer würde es laut Deloitte etwa ein Jahr lang dauern, alle Möglichkeiten auszuprobieren. Selbst um an Kreditkartendaten heranzukommen, würde man diesen Aufwand nicht betreiben. Es gibt jedoch eine Reihe von Faktoren, die mit dem menschlichen Verhalten und mit dem technologischen Wandel zu tun haben, die ein stark geglaubtes PW angreifbar machen:
Je mehr Zeichen man vergibt, desto schwieriger ist es, sich die Zeichenfolge zu merken. Deshalb wenden viele Nutzer Tricks an: Es werden Wörter verwendet, Ziffern werden in einer bestimmten Reihenfolge eingesetzt (beispielsweise Geburtsdaten), meist werden die Wörter am Beginn und die Ziffern am Ende platziert. Dazu kommt die Tatsache, dass man sich mehrere PW nicht so gut merkt wie einige wenige, was zur Folge hat, dass Nutzer oft ein PW für mehrere Zugänge oder Abläufe einsetzen. Bei durchschnittlich 26 verschiedenen PW-Erfordernissen werden diese von durchschnittlich nur fünf unterschiedlichen PW abgedeckt, so Deloitte. Die nicht nach dem Zufallsprinzip erfolgende Definition von PW macht diese leichter angreifbar. Hinzu kommt, dass die Bandbreite an PW auf mobilen Geräten nicht ausgenützt wird, PW auf diesen sind meist schwächer als auf PCs.
Als Vorsichtsmaßnahme schlägt Deloitte vor, PW und Usernamen auch in Verwaltungsdateien niemals unverschlüsselt aufzubewahren. Des Weiteren macht es das stärkste PW angreifbar, wenn die Hinweisfragen darauf zu einfach lösbar sind. Nutzer sollten sich angewöhnen, längere PW zu verwenden und diese jeweils wirklich nur einem Vorgang zuzuteilen. In Anbetracht der Situation ist es vorstellbar, dass sich eine auf mehreren Faktoren basierende Identifikation durchsetzt, welche beispielsweise zusätzlich zum PW Irisscan, Fingerabdruck oder Handynummer abfragt. Diese zusätzlichen Informationen stehen selbst Hackern, die PW und Username ausspioniert haben, nicht zur Verfügung.
Quelle : www.gulli.com