[EN]Warum fällt es Nutzern im Unternehmensalltag so schwer, die allgemein bekannten Grundlagen einer guten Passworthygiene einzuhalten? Tom Haak, CEO von Lywand, einem Anbieter automatisierter Security-Audits für MSSPs und deren KMU-Kunden, setzt sich anlässlich des Welt-Passwort-Tages am 1. Mai mit dieser Frage auseinander.
Das Unternehmen Lywand Software bietet eine automatisierte Security Audit Plattform für Managed Security Service Provider (MSSPs) an. Allein im vergangenen Jahr hat das Unternehmen bei Kunden mehr als drei Millionen Schwachstellen ausfindig gemacht. Dazu zählt unter anderem das Aufspüren geleakter Unternehmensanmeldedaten. In vielen Fällen stellte sich heraus, dass es sich um mehrfach verwendete Passwörter für verschiedene Anwendungen handelte – was ein deutlich vergrößertes Einfallstor für Cyberangreifer in Unternehmensumgebungen schafft.
Passworthygiene am World-Password-Day
Der jährlich am ersten Donnerstag im Mai stattfindende World Password Day ist eine gute Gelegenheit, eine Blick auf die Details zu werfen und der Frage nachzugehen, was schief läuft.
Sicherheit und Benutzererfahrung müssen vereinbart werden
Was für Kriminelle die Eintrittskarte in Unternehmensumgebungen bedeuten kann, betrachten deren Besitzer eher als ein notwendiges Übel im Büroalltag: Passwörter werden angesichts der Vielzahl an Anwendungen, bei denen Nutzer angemeldet sind, als unbequem empfunden, sind sie doch mit einigen Hürden verbunden. Auf Grund der Sicherheitsanforderungen verlangen sie eine gewisse Länge, Abwechslung in der Groß- und Kleinschreibung sowie den Einsatz von Zahlen und Sonderzeichen.
Die zulässigen Zeichen-Konstrukte sind derart abstrakt, dass man sie sich keineswegs so einfach merken kann, wie zum Beispiel den Namen des eigenen Haustiers. Vergisst man das erforderliche Passwort, muss man den Zurücksetzungsprozess durchlaufen und ein neues vergeben, was häufig als umständlich empfunden wird. Alles in allem ist die Benutzererfahrung, was Passwörter anbelangt, nicht ideal.
Vermeidungsstrategien der Anwender
Es überrascht daher wenig, dass Anwender Strategien wählen, um Unbequemlichkeiten zu vermeiden. Beispielsweise, indem sie dasselbe Passwort immer wieder in sämtlichen neuen Anwendungen verwenden. Oder sie wählen, sofern die Eingabevorgaben es erlauben, ein Passwort, das zwar schwach konstruiert ist, sie sich aber gut merken können. Egal ob schwach oder stark: In der Regel ändern Nutzer ihre Passwörter äußerst ungern.
Lywand hat heraus gefunden, das dies insbesondere für Webservices gilt: Anwender lassen das Passwort von ihrem Browser speichern, um sich künftig mit nur einem Klick anmelden zu können. Oftmals handelt es sich um das generische Standardpasswort für die Erstanmeldung. Von diesem Zeitpunkt an bleiben die Zugangsdaten in der Regel über Jahre unverändert.
Die Benutzererfahrung muss mitgedacht werden
Kurios daran ist: Die Empfehlungen und Maßnahmen einer guten Passworthygiene – starke Kennwörter für jede Anwendung, sichere Verwahrung, eine Änderung in regelmäßigen Abständen, das Aktivieren der Multi-Faktor-Authentifizierung, der Einsatz von Passwortmanagement-Tools – sind allen Unternehmen und Anwendern geläufig. Und dennoch sind in der Realität alle bereit, Abstriche zu Gunsten ihres Komforts zu machen, was jedoch letztendlich zu Lasten der Sicherheit geht.
Um dieser Entwicklung entgegenzuwirken und nicht Gefahr zu laufen, dass eingerichtete Passwortverfahren letztendlich mehr umgangen als befolgt werden, kann es Unternehmen helfen, die Benutzererfahrung mitzudenken und das Feedback ihrer Angestellten einzubeziehen.
- Welche Mitarbeiter benötigen wie häufig Zugriff auf welche Anwendungen?
- Wann haben sie in ihren täglichen Abläufen geeignete Zeitfenster, um sich in Ruhe mit der Neuvergabe von Passwörtern für ständig genutzte Anwendungen auseinanderzusetzen?
Auf dieser Grundlage lassen sich praktikable Regeln aufsetzen. Zusätzlich kann man seine Mitarbeiter anregen, kreativ zu werden. Beispielsweise ergeben schöne persönliche Erinnerungen, als Satz formuliert, auf einzelne Buchstaben eingekürzt und mit Zahlen und Sonderzeichen angereichert, starke Passwörter – die auf Grund des persönlichen Bezugs auch einfacher zu merken sind.
Haben Unternehmen einen Überblick über die Workflows ihrer Mitarbeiter gewonnen, können sie darüber nachdenken, inwieweit sie diese mit geeigneten Tools, zum Beispiel Passwort-Generatoren oder Passwort-Manager, unterstützen können. Für kleine Unternehmen kann es zudem sinnvoll sein, die Maßnahmen zur Passworthygiene in einer Betriebsvereinbarung festzuhalten. Damit lässt sich ein Prozess etablieren, der Benutzererfahrung und Sicherheitsstandards miteinander in Einklang bringt.
MVP: 2013 – 2016
Solange "123456" immer noch als häufigstes Passwort gilt, gibt es noch genügend Aufklärungsarbeit bei den Nutzern dieses Kennwortes. Am Besten nur Kennwörter mit mehr als 18 komplexen Zeichen in nicht erratbarer Folge. Ein Passwort-Manger hilft auch gut.
Irgendwann in den letzten 7 oder 8 Jahren wurde – meines Wissens – das häufigste Passwort von "123456" auf "12345678" »upgegradet« und somit um ⅓ sicherer ;-)
Kleine Kommentare:
Ein Passwort-Manager ist ein "Single-Point-of-Failure".
Häufiger Passwort-Wechsel zwingt zum notieren
MFA hilft nur, wenn der PC nicht kompromitiert wurde
Punkt 1. ist falsch da man datenbaken verschlüsseln, synchronisieren und sichern kann auf offline medien.
Punkt 2 ist falsch, da man Passwörter nach Schadensevaluierung anlegt: Finanzen-PWs einzigartig, einmalig. Standard-PWs und Wegwerf-PWs.
Punkt 3 ist falsch weil MFA auf externer Hardware läuft, wenn ein PC kompromittiert ist, ist das ohnehin der Maximal-Gau. Der Microcontroller der MFA oder des MFA-Gerätes ist damit NOCH LANGE nicht auszulesen.
Fazit: Es gibt leider noch viele falsche Grundannahmen bei Usern.
Und dann wundert man sich noch warum Benutzer Passworte aufschreiben wenn sie immer komplexer werden. Sowas lässt sich eben nicht merken und nein Passwortmanager sind eben keine Lösung. Wenn der Passwortmanager oder eine dahinterliegende "Klaut" gehackt werden sind alle Passworte abgeflossen und unsicher. Das regelmäßige Wechseln des Passworts ohne Grund wurde ebenfalls schon als nicht zweckmäßig erkannt denn dann wird entweder aufgeschrieben oder eben bloß eine Zahl am Ende geändert.
> dann wird entweder aufgeschrieben oder eben bloß eine Zahl am Ende geändert.
Warum? – Mann kann auch eine *Zahl* oder *Buchstaben* an beliebiger Stelle im Passwort ändern.
Ist ja egal. Die paar hundert Möglichkeiten, die sich dadurch ergeben, sind von einem Angreifer schnell durchprobiert. Da muss man sich schon deutlich komplexere Modifikationsverfahren überlegen. Wenn überhaupt.
Deine Meinung zu Passwortmanagern teile ich in keiner Weise. Klar, wenn Du auf Bezahlangebote mit "Online-Funktionalität" anspielst, hast Du recht. Sowas nutzt man nicht.
Aber sowas wie KeePass hostet man lokal/im Intranet. Es ist um Welten sicherer, als Paßwörter "aus dem Gedächtnis heraus" zu verwalten.
Und wenn nun ein Unternehmen ankommt und das Speichern von Paßwörtern im Browser überhaupt zuläßt (Templates, GPO, sperren!), dann hat die Firma auch ständige, erfolgreiche Angriffe verdient.
WER hostet sowas?
Der 08/15-Standard-Anwender wohl eher eben nicht und das sollte er auch nicht "brauchen/müssen".
In Unternehmensumgebungen ist das natürlich ganz was anderes – da müssen halt nur konsequent ALLE Mittel der Administration genutzt werden, auch bzw. insbesondere, wenn sie den Usern "lästig" sind. Alles "Erziehungssache"! 😉
Besonders förderlich für die Sicherheit ist das Verbot von Passwortmanagern in der Firma. Keypass ohne Cloud und 2. Faktor auf USB funktioniert. Besser wäre eine Smartcard aber das übersteigt die Kompetenz der IT. Privat nutze ich Nitrokeys
Seit 2017 ist die allgemeine Experten Meinung und Empfehlung, keine komplexe Kennwörter zu nutzen, vor allem nicht alle 30 – 90 Tage diese zu ändern.
Sondern einfach "Pass Phrases" (Sätze oder mehrere Wörter) zu nutzen. Wenn diese entsprechende länge haben um mindestens ~70 bits Entropie zu erreichen. Dann ist es möglich diese Kennwörter auch nicht ablaufen zu lassen. Einfach zu merken, läuft nicht ab = Nutzer kommen damit klar.
Dumm hierbei ist nur das Microsoft AD native Passphrases gar nicht unterstützt.
Es gibt auch noch immer Dienste die komplexe Kennwörter fordern und Pass Phrases nicht unterstützen oder sogar maximal Längen von unter 12 Zeichen nur erlauben.
Hier gibt es von der IT Industrie noch viel zu lernen und endlich auf aktuellen Stand der Technik zu kommen. Es sind nicht immer die Nutzer schuld. Denn technisch kann sehr einfach es unterbunden werden Kennwörter wie "123456" zu nutzen.
Nun gibt es mittlerweile auch Passkeys die aber nur mit Passwortmanager sinn machen. Es ist legitim und definitiv wünschenswerte Passwortmanager zu nutzen, natürlich müssen die sinnvoll abgesichert sein. SPoF sind diese zwar aber dies ist nur bedingt ein Problem, da (zumindest im Arbeitsumfeld) erstmal das Hauptkennwort des Nutzers (z.B. AD Konto) und dann die Anmeldung am Passwortmanager geknackt werden müssen. Wenn beides mit Pass Phrases gesichert ist, ist dies sehr sicher. Die DB Datei muss entsprechend gesichert werden.
Eine absolute Sicherheit gibt es nicht, es geht nur darum den Aufwand so groß zu machen, das es sich nicht lohnt.
Bis du ne Malware auf dem System hast das dir alles abzieht… PW Safe isn´t safe!
Wenn du irgendwelche PW aufschreibst sicherts etc. dann ausserhalb der eigenen IT zum Beispiel einem PW Buch welches im Safe gelagert wird!
Da bist du bei Malware zwar auch ungeschützt, aber es geht nicht alles flöten sondern lediglich die PW welche du genutzt hast bis es bemerkt wurde!
PW Safes sind nicht sicher sondern bequem und Bequemlichkeit ist der Tod der Sicherheit!
Ich handhabe das so: Mein PW setzt sich aus 3 Teilen zusammen
ein langes sicheres PW welche sowohl Zahlen Buchstaben Sonderzeichen und Groß- Kleinschreibung umfasst (und in keinem Dictionary steht), daran angehängt kommt der jeweilige Dienstnamen und daran angehängt der Dienstname mit meinem persönlichen Algorythmus verschlüsselt.
Macht das PW von der Länge und Komplexität unknackbar, merken muss ich mir aber nur den ersten Teil + Algorythmus und hab trotzdem für jeden Dienst ein Eigenes komplexes PW. Da ich das auch nirgends speichern muss kann auch Malware nicht darauf zugreifen ausser direkt bei der Eingabe. Da man im allgemeinen recht schnell merkt wenn wenn einem ein PW "geklaut" wurde, ist da auch nur ein oder zwei Dienste betroffen… ein Rückschluß auf andere DienstPW ist nicht möglich. Also selbst bei Malware volle Schadensminimierung.
Dass kann ich mir selbst in meinem Alter prima merken, zur Sicherheit ist das Ganze aber noch im Safe hinterlegt (echter Safe kein PW Safe ;-P)
Naja das beste PW (und auch kein PW Manager )nützt dir halt nur nix, wenn die Dienste dann zu blöd sind und sich hacken lassen und dann teilweise auch noch zu blöd die gehashed zu speichern.
Ich bin jetzt dabei seit es Home Computer gibt, eingestiegen 1980 mit dem VC20, davor bereits beruflich Großcomputer mit Lochkarten programmiert…
Mir ist persönlich noch nie ein PW abhanden gekommen, keine Malware, kein Hack nix!
Trotzdem tauchen auch von mir Daten in Have I be pawned auf. Wieso?
Weil so Drecksfirmen ihre IT nicht im Griff hatten und sich hacken liesen und ei Daten sogar Klartext gespeichert hatten!
*hust Sony; *hust Adobe; *hust LastFM und zu guter letzt sogar *hust VISA…
Schaden dabei zum Glück Null! VISA ja da kammen Abbuchungen, da man da aber deren Hack nachweisen konnte und deren Plauisiblitätsprüfung versagte: innerhalb 5 Min an 5 Orten der Welt Abbuchungen hat VISA den Schaden komplett ersetzt.
Glück gehabt.
Da fragt man sich aber was der Scheiß soll… man ist absolut konform und safe und Firmen bauen Mist! Und der User soll Schuld sein? Ne du nicht mit mir! Die Dienste sind raus!
"Trotzdem tauchen auch von mir Daten in Have I be pawned auf."
Ich fühle mit Dir, bei mir dasselbe. Als ich es damals mitbekommen habe, suchte ich nach einer Lösung.
Nun betreibe ich privat einen eigenen Mailserver (statische IP, professionell, hohe Reputation, wird auch von der T-Offline/Microsoft etc. akzeptiert).
Jeder einzelne Kontakt / Geschäftspartner bekommt einen eigenen E-Mail-Alias von mir genannt (Zufallszeichengenerierung) und leitet lokal auf das richtige Postfach weiter. Der Partner weiß nichts vom "richtigen" Empfänger.
Was bringt das? Sobald ein Kennwort/Datensatz abhanden kommt, kann ich zu 100% eindeutig bestimmen, welche Firma hier gepatzt hat. Das hat für sie entsprechende Folgen und ich sperre einfach diesen einen Alias.
Das spart so unendlich viele Kopfschmerzen…
Wohl dem, der eine eigene Domain und einen Provider hat, der viele Aliase oder zumindest catch-all erlaubt. Muss ja nicht mal ein eigener Server sein.
Ich verwende dann einfach etwas wie borncity (at) meine-domain.de
Mich ärgert, dass viele Firmen sich nicht RFC-konform verhalten. Sub-adressing könnte so viel vereinfachen:
https://edermi.github.io/post/2014/email-subaddressing/
Hört sich gut an. Das Schema ist nicht neu.
Und woher wissen deine Partner bei der ersten Kontakt Aufnahme die Mailadresse?
Und was bringt es hier jemanden zu sperren? Konkret, du würdest also die Telekom sperren? Oder Google? Und dann ? Drehst gleich den Mailserver ab weil nicht mehr benötigt oder gibt's dann doch die Ausnahme für Gmail & Co
Wenn eine E-Mail-Adresse "verbrannt" ist und zugespammt wird, wird sie gesperrt. Dem erwünschten Kommunikationspartner kann man ggf. eine neue mitteilen.
Danke Dir! Spart mir die wiederholte Erläuterung. :-D
"Warum immer noch Konten gehackt werden"
Die Betrachtung ist mir insgesamt zu einseitig. Als größtes Problem, neben einer vor Sicherheitslücken strotzenden Infrastruktur, sehe ich immer noch die Menschen, die von IT keinen Plan haben und eigentlich nur vor sich hintippern.
Sie sind unvorsichtig, unbelehrbar, leichtfertig im Umgang mit sensiblen Daten, hervorragende social-engineering-Opfer. Das läßt sich auch nicht auf eine bestimmte Generation oder Geschlecht festlegen, da ich solche Kandidaten unter "Boomern", Gen X/Y/Z und Alpha sehe.
Der Mangel an IT-Unterricht in Deutschland ist eklatant. Es gibt diesen kaum. Man sieht das spielen an Tablets im Unterricht als partielle Fortbildung an, was natürlich Unsinn ist. Und zu Hause wird dummes Zeug auf TikTok/YT/Insta/Snap/Facebook/StudiVZ konsumiert. Nur Konsum, keinerlei Auseinandersetzung mit technischen Hintergründen und Gefahren.
„Pass Phrases" – also Sätze oder mehrere Wörter
Das klingt alles sehr vernünftig – aber ein Passwort mit mehr als zwölf Buchstaben ist für das klassische Ein-Finger-Such-System, bei dem Caps Lock als Umschalttaste dient (weil man mit einem Finger eben keine zwei Tasten gleichzeitig drücken kann), schon eine echte Herausforderung. Wenn sich die Anwendung dann auch noch alle 15 Minuten sperrt und in dem Moment ein Kunde anruft, braucht der Mitarbeiter für sein 40-stelliges Kennwort locker 80 Sekunden – wenn er sich nicht vertippt. Also praktisch nie.
Ein Passwort-Manager, der kontrolliert von der IT bereitgestellt wird, ist da aus meiner Sicht die bessere Wahl. Denn die Alternative sieht meist so aus: „Wir speichern alles im Browser." Macht der Anwender sowieso – es sei denn, man unterbindet es per GPO. Aber dann sollte das IT-Büro bitte auch mobfeste Türen haben. Also Türen, die standhalten, wenn 150 genervte Kollegen mit Kaffee in der einen und Mistgabeln in der anderen Hand plötzlich „Feedback geben" möchten.
Der gute alte Zettel unter der Tastatur.
„Hier kommt ja keiner rein."
Tja – kam aber jemand. Erst letzte Woche: nächtlicher Einbruch, nichts gestohlen – aber die Büros durchwühlt, mit den gefundenen Passwörtern eingeloggt, zwei Stunden am Rechner gearbeitet – und am Ende sogar ganz brav heruntergefahren. Der moderne IT-Einbrecher hat offenbar mehr Anstand als manche Benutzer.
„123456" + MFA ist immer noch besser als nur „123456".
Und wenn die MFA dann nicht „same device" ist – umso besser.
Single Sign-On ist großartig – solange es funktioniert.
Nicht jede proprietäre Inselsoftware spielt da mit. Dann kannst du als IT sagen: „Will ich nicht." Und das Business sagt: „Brauchen wir aber." Und zack, hast du wieder einen Benutzer mit n+1 Konten.
Mit dem Hang, viele Passwörter auch auf dem Smartphone nutzen zu wollen oder müssen (gleicher Login), wird der User zwangsläufig dazu erzogen, einfache Passwörter zu verwenden, die sich auf dem Mäuseklavier gerade noch so (einmal) eintippen lassen, bevor sich die App sie für immer merkt.
Beruflich muss ich mein Login auf einem iPhone SE eindaddeln, ich musste mir erst mal einen Satz kleinerer Finger anfertigen lassen, so klein ist das Tippfeld der On-Screen-Tastatur. Und Zahlen neben Text? Erst mal umschalten dafür. Super System, Danke!
In meiner Welt ist das Problem, dass die meisten Leute, kein Interesse an Technik haben. Und keine Verantwortung übernehmen wollen.
Der Anwender will nicht verantwortlich sein für ein "gutes" Kennwort.
Gute Kennwörter bringen auch nichts, weil die Leute es meist in Varianten mehrfach verwenden.
Aktuell der einzig sinnvolle Weg ist tatsächlich passkeys usw. Der Ansatz hat noch Probleme, hat aber enorm viel Vorteile.
Passkeys lassen sich nicht sichern oder kopieren wenn ich das richtig verstanden habe… gegenüber abgreifen also super. Nur braucht es dann ja noch nen Zweiten Weg für den Notfall, den sonst gilt Passkey weg, Account weg.
Dann spezialisiert sich die Malware / der Angreifer eben darauf den zweiten Weg für den Notfall zu komprimitieren… Gewinn an Sicherheit wieder Null!
Gibt es überaupt IRGENDEIN Konzept oder Konzepte die in Situation 1 – X wirklich als praktikable Lösungen angesehen werden können?
Das Problem ist halt wirklich, dass es mit Komfort, Aufwand, Kosten kollidiert. Das wird halt nie wirklich thematisiert und kann man auch nicht wegreden. Es wird zwar immer gesagt was man machen soll, aber wie dann die konkrete Umsetzung ausschaut.
Die einfachste Sitation ist halt wirklich ein einzelner Nutzer mit einem PC, der alles am PC macht und da seinen Passwortmanager für seine 20, 30, 200 Anmeldungen hat. Das ist halt relativ einfach zu managen, aus meiner Sicht. Man hat seinen Offline-Passwortmanager, macht seine Sicherheitskopie. Hier gibt es ja Lösungen, wobei selbst diese nicht immer so optimal sind Nutzung angeht.
Sobald aber noch ein Smartphone ins Spiel kommt wird es schon wieder komplizierter, weil Offline-Zugang recht nicht oder man kopiert die ganze Datenbank aufs Smartphone, was auch wieder. Dafür gibt es auch Lösungen, wobei ich die schon wieder kritisch finde. Was ich hier aber auch kritisch finde, dass ich auf dem Smartphone nicht alle Passwörter benötigt. Man müsste hier schon wieder zwei Systeme nutzen oder es entsprechend einstellen. Keine Ahnung wie man das "gut managed".
Ähnliche Probleamtik, wenn mehrere Personen auf die Passwörter zugreifen müssen aber auch nicht auf alle. Das muss man dann auch in der Software ordentlich managen können bzw. erstmal ein Konzept überlegen. Person A und B müssten auf Passwörter zugriff haben, die C nicht sieht. B und C müssen wiederrum Passwörer haben die A nicht sieht. Wenn das nicht ordentlich funktioniert, dann fuckt es halt die Leute ab.
Am Ende ist es genau die Scheiße wie mit den vorgegebenen "Sicherheitsfragen". Der Nutzer kann sich zwar irgendeinen netten Satz überlegen, aber den Satz muss er sich erstmal merken UND im Satz müssen dann auch die vorgegebenen Zeichen vorkommen. Es ist ja nicht mal so, dass man sich da den Satz frei überlegen kann. Dann wird das Passwort mal geändert und man muss sich einen neuen Satz überlegen. Wenn man das Passwort ständig ändert, dann komt man auch mit den "Sätzen" durcheinander. Das kommt zwar immer als Vorschag, aber selbst das ist als Vorschlag total praixfern.
Das würde vielleicht noch funktionieren, wenn man man schon im Kindeergarten/Schule/Eltern den Leuten sowas konsequent beibringen. Aber ist ja auch nicht der Fall..