Jörg Vollmer, Qualys
Passwörter gibt es schon seit vielen Jahren, und sie werden auch weiterhin verwendet werden, denn sie sind ein enorm einfacher Ansatz, um ein gewisses Maß an Sicherheit zu erzwingen. Dieser Ansatz funktioniert auch, wenn zudem die Sicherheit ringsherum gewährleistet ist.
Die Herausforderung bei Passwörtern besteht darin, dass ihre Verwaltung immer komplexer wird, was zum Teil auf die schiere Anzahl der Nutzerkonten zurückzuführen ist. Die Regeln für Passwörter können es den Menschen erschweren, sich diese zu merken, sodass sie entweder ein Passwort für mehrere Konten verwenden oder ihre Passwörter aufschreiben. Ebenso kommt es vor, dass bewährte Praktiken für sichere Passwörter vergessen werden. Es gibt hier beispielsweise die Möglichkeit, die Anzahl der Versuche einer Kennworteingabe zu begrenzen, damit Angreifer nicht mit Hilfe von Wörterbuchangriffen oder Kennwortbibliotheken versuchen können, sich Zugang zu verschaffen. Das mag für kundenorientierte Anwendungen offensichtlich sein, aber diese Regeln sollten auch für interne Anwendungen oder Cloud-Dienste gelten.
In der heutigen Welt reichen Passwörter allein nicht mehr aus, um den IT-Zugang sicher zu halten. Um die Sicherheitshygiene weiter zu verbessern, gibt es inzwischen Tools wie die Multi-Faktor-Authentifizierung (MFA), bei der Benutzer zwei oder mehr Verifizierungsfaktoren angeben müssen, um Zugang zu einer Ressource zu erhalten. Unternehmen, unabhängig von ihrer Branche oder Größe, müssen den Wert einer starken Sicherheit erkennen und die Umsetzung von Maßnahmen mit geringem Aufwand, wie die Implementierung von MFA, korrekt durchführen.
Was können Unternehmen tun, um die Passworthygiene zu verbessern? Sie sollten zunächst sicherstellen, dass Benutzer kein einfaches Wörterbuchwort als Passwort verwenden können, und verschiedene Kontrollen durchsetzen, damit diese dasselbe Passwort nicht mehrfach verwenden können. Es ist wichtig, Regeln für die Länge von Passwörtern und die Vielfalt der verwendeten Zeichen anzuwenden und auf schlechte Sicherheitspraktiken wie fehlende MFA oder fehlende rollenbasierte Zugriffskontrolle zu achten. Beispielsweise stellt das BSI Richtlinien für Unternehmen und Behörden zur Verfügung, mit denen diese um die Sicherheit ihrer Passwörter erhöhen können.