Immer wieder lese ich die ach so sicheren „So gestaltest du dein Passwort“-Tipps. Das soll die IT-Sicherheit im Unternehmen erhöhen. Gut gemeint, aber in Wirklichkeit ein Sicherheitsrisiko!
Sicherheitsbeauftragte geben Hinweise für die Passwortgestaltung
Im Unternehmen sind Menschen dazu verpflichtet, sich an diese Anweisungen und Verfahren zu halten. Sich nicht daran zu halten, ist kein Kavaliersdelikt.
Was macht der klassische User? Sitzt stirnrunzelnd vor den Tipps für sichere Passwörter – viele Zeichen, Zahlen, Groß- und Kleinschreibung, Sonderzeichen – … und wie soll ich mir das merken?
Hier wird der User mit den Tipps, ein sicheres Passwort zu nutzen, und dem Dilemma, sich das Passwort merken zu können, alleingelassen.
Die IT oder Sicherheitsbeauftragten lehnen sich zurück: Wir haben alles getan was möglich ist und unseren Plan erfüllt, für mehr Sicherheit zu sorgen. Steht doch alles in der Anweisung XY drin. Führt das zu mehr IT-Sicherheit im Unternehmen?
Um zu verstehen, warum Sicherheitsanweisungen gefährlich sein können, müssen wir erst mal verstehen, wie Algorithmen Passwörter knacken.
Ein Hack-Algorithmus …
… liebt Tipps: Die typischen Passwort-Konstruktionen geben einem Hacker wertvolle Hinweise, wo er als erstes suchen soll bzw. wo er erstmal nicht suchen muss, da zu unwahrscheinlich. Wo ist es am wahrscheinlichsten, einen Volltreffer zu erzielen? – Wie bei einem Zahlenschloss, wo einige Zahlen bekannt sind. Da brauche ich die anderen Zahlen gar nicht mehr ausprobieren und komme viel schneller zum Ziel!
… braucht viel Futter – je mehr, desto besser: Algorithmen sind gierig nach vielen Passwörtern, sie haben sozusagen eine Sammelwut. Durch die verhältnismäßig universellen „Sicherheitstipps“ gleicht sich der Aufbau der Passwörter. Ein Algorithmus agiert wie ein Passwort-Trend-Scout. Gehackte Plattformen, wie Sony & Co. sind ein gefundenes Fressen für sie.
… generiert aus dem Futter systematische Hitlisten: Algorithmen lernen schnell. Sie verarbeiten ganz systematisch, was gerade „in“ ist. Aus den vielen Passwort-Daten generieren sie eine Art Hitliste. Diese Kombinationen geht der Algorithmus als erstes durch.
Der Hack-Algorithmus folgt der Hitliste:
- Die einfachen Passwörter-Rezepte, wie 12345 und Wörter aus dem Duden.
- Die mit Tipps, also Passwort-Konstruktionen, die gerade „in“ sind, also sicher sein sollen.
- Einzigartige Passwörter, auf die der Algorithmus nur per Zufall kommt.
Was also tun?
Algorithmen werden letztendlich immer besser darin sein, Passwörter zu knacken, als wir Menschen uns sichere Passwörter merken können. Darum müssen wir schlau und weniger berechenbar sein:
- Tarnen, statt mit „In“-Passwörtern aufzufallen.
Passwort-Konstrukte, die „in“ sind, fallen auf, wie eine prächtige Blume in der Natur. Passwörter, die im Hintergrundrauschen der Masse untergehen, sind top. Sie können zum Beispiel ganz wild auf der Tastatur ohne hinzuschauen per Zufall ein Passwort erstellen. Da bleibt aber das Dilemma, wie merke ich mir das. - Bloß keine Eselsbrücken!
Merkhilfen sind Klassiker, um das Dilemma des Sich-merken-Könnens zu lösen. So ersetzen Sie zum Beispiel in einem Ihnen bekannten Wort alle Buchstaben „o“ mit der Zahl 0. So schlau ist der Algorithmus schon! - Einen Sprung voraus:
Statt Anweisungen mit Tipps zu verfassen, überlegen Sie sich, was gerade „in“ ist und tun dann genau das Gegenteil. Indem Sie Passwort-Hitlisten präsentieren und zu neuen Passwort-Kreationen anregen. So nutzen Sie die Neugier und den Spieltrieb des Menschen. Bei diesen Neuschöpfungen sucht der Algorithmus erstmal nicht so schnell. Der ist ja damit beschäftigt, die Hitliste abzuarbeiten.
Neue Lösungen ins Auge fassen:
Das Dilemma „sicheres und merkbares Passwort“ wird trotzdem bleiben. Es lohnt sich im Zeitalter von Big Data nach Big-Security-Alternativen zu suchen. Wie zum Beispiel statt Passwörter sich mit der Handfläche (PalmSecure von Fujitsu), Gesichtserkennung, Chip-Karte oder mit einem elektronischen Schlüssel (Security-Token) zu identifizieren.
Passwort-Tipps mit vermeintlich komplizierten Konstruktionen geben uns ein falsches Gefühl der Sicherheit. Fühlen wir uns sicher, reduziert sich unser Gespür für Gefahren. Die Folge: Wir schalten verhaltensbiologisch um auf „Keine Gefahr, also Wachsamkeit aus“. Und das ist saugefährlich!
Das ist ein weiterführender Online Artikel zu meinem Buch:
Agil ohne Planung
Wie Unternehmen von der Natur lernen können
Menschen planen wie wild. Die Natur macht einfach.
Passend zum Buch meine Keynotes und Seminare:
- Keynote Agilität – Die Natur plant nicht!
Was Unternehmen tun müssen, um wirklich agil zu werden - Keynote Digitale Transformation – Das Unsichtbare begreifbar machen
Entscheidungsfähiger durch verhaltensbiologisch verankerte Universalien - Seminar – Die Natur plant nicht!
Wie Sie von der Natur lernen können, ohne Plan agil zu sein
PDF – Handelsblatt Interview „Die Natur plant nicht!“
Die Natur plant nicht und ist agiler als jedes Unternehmen