Türen schließen, aber Fenster öffnen

Starke Authentifizierung sperrt Hacker aus

03.11.2011
Von Joachim Gebauer

Sind kompliziertere Passwörter auch sicherer?

Einmal-Passwort auf dem Mobiltelefon.
Einmal-Passwort auf dem Mobiltelefon.
Foto: Symantec

Die meisten Unternehmen verlassen sich nach wie vor auf eine herkömmliche Identitätsprüfung mit Nutzername und Passwort, obwohl sich sowohl Sicherheitsrisiken als auch Sicherheitstechnologien schnell weiterentwickeln. Um ihren Sicherheitsstandard zu erhöhen, tendieren Unternehmen dazu, die bestehenden Maßnahmen komplexer zu gestalten. Um beispielsweise unautorisierte Zugriffe zu vermeiden, werden Passwort-Richtlinien immer umfangreicher – und damit fehleranfälliger und für den Anwender schwerer zu verwalten. Spezielle Anforderungen an die Zusammensetzung des Passworts, bestimmte Passwortlaufzeiten und multiple Passwörter, die für den Zugriff auf Unternehmensressourcen benötigt werden, überfordern die Anwender. Laut einer weiteren Forrester-Studie müssen sich 87 Prozent der Nutzer zwei oder mehr Kennwörter merken, um auf Unternehmensdaten zugreifen zu können. Über 60 Prozent der Unternehmen haben mindestens sechs verschiedene Passwort-Richtlinien. Kein Wunder also, dass Nutzer immer wieder auf gleiche oder ähnliche Passwörter zurückgreifen.

Ein anschauliches Beispiel zum Thema Passwortsicherheit lieferte im Januar 2010 die IT-Sicherheitsfirma Imperva. Sie hat 32 Millionen Passwörter untersucht, die durch eine Datenlücke bei der Plattform Rockyou.com bekannt wurden. Das Ergebnis zeigt, dass die meisten Nutzer das Passwort 123456 verwendeten. Auf dem zweiten Platz landete 12345, den dritten Platz belegte 123456789. Beliebt ist auch das Wort Passwort. Diese Beispiele zeigen, dass viele Nutzer sich der Gefahren von fantasielosen Passwörtern noch immer nicht bewusst sind.

Wer sich an die komplexen Passwortvorgaben seines Unternehmens hält, hat hingegen ganz andere Probleme: Das Zurücksetzen eines Passworts ist der häufigste Grund für Helpdesk-Anfragen. Tatsächlich gehen zwischen 30 und 50 Prozent aller Helpdesk-Anrufe darauf zurück. Ein Anruf kostet zwischen 10 und 15 Dollar. Bald werden voraussichtlich weitere Passwörter für neue SaaS-Anwendung hinzukommen, was beachtliche Helpdesk-Kosten verursachen kann. In einer Fallstudie der Gartner Group fand ein globales Getränkeunternehmen heraus, dass 30 Prozent seiner Helpdesk-Anrufe mit Passwörtern zu tun hatten und jeder Anruf bei 17,23 Dollar lag. Dies führte zu jährlichen Kosten von 900.000 Dollar für das Unternehmen.