Ihr Passwort: Das größte Sicherheitsrisiko

In einer Studie, die vor kurzem von der Sicherheitsfirma PentaSafe Security Technologies durchgeführt wurde, fand man heraus, dass vier von fünf Angestellten ihre Passwörter jemandem in der Firma geben würden, wenn sie denn gefragt würden.

Das ist die gute Nachricht. Eine andere Studie, durchgeführt von der gleichen Firma, fand heraus, dass fast zwei Drittel aller Angestellten, die an der Victoria Station in London befragt wurden, den Meinungsforschern ihre Passwörter gaben. Die Belohnung? Ein billiger Kugelschreiber.

Es ist also kein Wunder, dass Firmen immer nervöser werden, dass die Schlüssel zu ihren Datenkönigreichen so unbedacht behandelt werden.

„Passwörter sind das größte Sicherheitsrisiko, das amerikanische Firmen haben“, sagt Chris Pick, Associate Vice President for Product Strategy bei PentaSafe. „Die Angestellten sollten wenigstens die Sicherheitspolitik der Firma kennen, aber sie kennen sie nicht.“

Es ist sogar so, dass Eindringlinge ein Passwort mehr schätzen als den Computer, das es schützt. Ein Hacker, der Zugang zur Passwortdatei auf einem Server oder einem PC hat, kann diese Passwörter nutzen, um Zugang zu anderen Computern im Netzwerk zu erhalten, und so all die Sicherheitsvorkehrungen, die ihn draußen halten sollen, einfach umgehen. Darüber hinaus ist es auch sehr schwierig für Administratoren, einen Eindringling wieder auszusperren, wenn er nur erst mal die digitalen Schlüssel zum Netzwerk gesammelt hat.

„Es gibt einige ISPs, denen 40.000 Passwörter gestohlen wurden“, sagt Shipley von Neohapsis. „Sie raten ihren Usern nicht, ihre Passwörter zu ändern.“ Wenn man das täte, dann würde man den Hacker alarmieren, dass er entdeckt wurde, und der ISP würde nie wissen, ob ein Passwort vom legitimen User oder vom Eindringling geändert wurde.

„Das ist ein Alptraum für den Support“, sagt Shipley, „ein Hacker, den man nicht aus dem System kriegt.“

Die beste Lösung ist es, sie gar nicht erst nicht hereinzulassen. Um Hacker zu behindern, konzentrieren sich Sicherheitsfirmen und Forscher darauf, das schwache Passwortglied zu verstärken.

Viele Firmen verstärken ihre User-Ausbildung und konzentrieren sich darauf, ihre Angestellten mit den Passwort-Anweisungen der Firma vertrauter zu machen. Solche Anweisungen legen fest, was ein gültiges Passwort ist, wie viele Zeichen wenigstens im String sein müssen, und wie häufig die Schlüssel zu den Konten geändert werden müssen.

Das macht es aber immer noch nicht leichter, sich die Passwörter zu merken, sagen Forscher.