Passwörter als Sicherheitsrisiko
Knapp die Hälfte der befragten Beschäftigten habe schon einmal eines seiner Passwörter anderen Kollegen oder Mitarbeitern mitgeteilt, teilte die Agentur meetBIZ-Research & Denkfabrik am Mittwoch mit.
15 Prozent der Beschäftigten plauderten ihre Passwörter sogar wiederholt aus. "Durch den laxen Umgang mit Passwörtern werden die Beschäftigten selbst zum Sicherheitsrisiko für die Unternehmen", meint Wilfried Heinrich, Geschäftsführer der Agentur.
Unter den Befragten waren 44 Prozent der Ansicht, dass ihre Passwörter absolut sicher seien. Fast jeder fünfte Mitarbeiter wähle jedoch eine so einfache Kombination, dass sich der Zugangscode selbst nach eigener Einschätzung leicht erraten lasse.
Die Agentur hatte insgesamt 1.219 Unternehmensmitarbeiter anonym zu ihrem Umgang mit vertraulichen Zugangsdaten befragt.
MS rät Passwort aufzuschreiben
Unternehmen sollten ihren Mitarbeitern nicht untersagen, ihre
Passwörter aufzuschreiben, riet vor rund zwei Monaten Jesper
Johansson, Programm-Manager beim Softwaregiganten Microsoft und dort
für Sicherheitsrichtlinien zuständig. Andernfalls würden sie eben zu
schwache Passwörter nutzen, damit sie sie nicht vergessen.
MS-Experte rät, Passwörter zu notierenDas Naheliegende vermeiden
Der Passwort-Klau betrifft alledings nicht nur Unternehmen, sondern auch zunehmend Privatnutzer, die sich um die Sicherheit ihrer Daten beim Surfen und Einkaufen im Netz sorgen.
Das "perfekte" Passwort gibt es leider nicht, bedauern Sicherheitsexperten. Allerdings könne man sehr wohl Maßnahmen ergreifen, um sich besser zu schützen.
"Je einfacher ein Passwort gestrickt ist, desto leichter kann man es durch reines Raten herausfinden", sagte Thomas Mandl, technischer Leiter beim Wiener Virenschutzhersteller Ikarus. Auf leicht herzuleitende Codes, wie den Namen der Ehefrau, des Kindes oder des Lieblingshaustiers, sollte man daher verzichten.
Passwörter aufzuschreiben ist nur "in den eigenen vier Wänden" erlaubt, am Arbeitsplatz könnten sie sonst leicht ausspioniert werden. "Wenn schon, dann bitte in der Geldbörse verwahren - und bitte verschlüsseln", mahnt Mandl.
Grundsätzlich wäre die Verwendung vieler verschiedener Passwörter wünschenswert. "In der Praxis werden es nicht mehr als drei oder vier sein, aber das ist besser als ein einziges."
Eine "Schatztruhe" mit PasswortSystematisches Erstellen
Kombinationen wie "x53F$-HuGo" kann sich kaum jemand auf Dauer merken. Der Fachmann empfiehlt daher folgende Methode zur Kreation komplexerer Passwörter, die man sich merken kann: "Man nehme einen bestimmten Satz her, etwas aus dem persönlichen Umfeld.
Zum Beispiel: 'Meine Freundin ist blond' oder 'Mein Auto ist rot und sehr alt'". Davon extrahiere man beispielsweise jeweils die Anfangsbuchstaben inklusive Groß- und Kleinschreibung sowie aller Satzzeichen. Das daraus gewonnene Passwort lautet hier: "MAirusa."
Grundsätzlich gelte, so Mandl: "Je länger ein Passwort ist, desto besser. Außerdem sollte man Sonderzeichen wie Punkt, Beistrich oder Ausrufungszeichen hineinnehmen und Zahlen einbauen."
Das könnte beim vorliegenden Beispiel so aussehen: Beim Satz "Mein Auto ist rot und schon sehr alt" komprimiert man die beiden "s" aus "schon" und "sehr" zur Formel "2s", daraus ergibt sich: "MAiru2sa.".
Wird das System, in dem sich ein User bewegt, geknackt, sind aber auch auf solche Weise generierte Codes nicht sicher.
Hacker könnten mit einem "Brute-Force"-Angriff auf die verschlüsselt gespeicherten Passwörter kommen. Dazu braucht es laut Mandl Spezialprogramme, die alle möglichen Zahlen- und Buchstabenkombinationen durchprobieren - und von denen mehrere frei im Internet heruntergeladen werden könnten. Je nachdem, wie kompliziert ein Code angelegt wurde, dauere so ein Verfahren "zwei Stunden oder Tage".
Wieder eBay-Passwort geknackt - mehr dazu in oesterreich.ORF.atSignatur wünschenswert
Viel mehr Sicherheit würde die Verwendung einer Signatur bringen, wie sie beim Telebanking im Einsatz ist, glaubt Mandl.
"Meiner Meinung nach wird es aber noch lange dauern, bis sich das durchsetzt, weil die Anwendung für den normalen User noch zu kompliziert ist. Man müsste seine Signaturkarte immer dabei haben, etwa wenn man auswärts im Internetcafe surft."