Der britische Geheimdienst GCHQ, Mitglied der Five-Eyes, rät Systembetreibern zu weniger komplexen Passwörtern und deren Anforderungen. Interessant.
GCHQ denkt dabei natürlich nur an die Nutzer. Diese sollen nicht mit komplexen und langen Passwörtern belästigt werden: Mindestzeichenlänge, Sonderzeichen, Groß- und Kleinschreibung und regelmäßiges Erneuern der Passwörter.
Man vertrete die Meinung, dass solche Regelungen es einem Hacker nicht schwieriger machen würde. Die meisten Angriffe laufen eh über Malware, Social Engineering und Beobachtungen bei Passworteingaben.
Weiter im Text, diesmal ohne Ironie.
Die restlichen Tipps in der neuen GCHQ Broschüre sind dagegen brauchbar. Zum Beispiel für berufliche und private Konten unterschiedliche Passwörter zu nutzen oder Default Passwörter sofort zu ersetzen.
Es gibt aber mehrere Wege zur Unterstützung der Nutzer. Und damit sind jetzt keine Tools, Verfahren oder Plugins zur Verhinderung eines Datenmissbrauches gemeint.
Sicheres Passwort leicht gemacht
Ich bin zu dumm, um mir auch nur 1 sicheres Passwort merken zu können!
Man nimmt jeweils die ersten Buchstaben der Wörter plus Satzzeichen und Zahlen. Man erhält ein sicheres Passwort:
Ibzd,uman1sPmzk!
Ablage von Passwörtern
Passwörter sollte man nicht schriftlich in der Brieftasche oder unter der Tastatur aufbewahren. Es gibt sichere Passwortsafes.
Nutzt man nur BlackBerry Handhelds kann man Password Keeper von BlackBerry nutzen. Der Zugriff auf das Programm und dessen Inhalt ist durch ein Masterpasswort geschützt. Die Daten liegen wahlweise auf dem Gerät oder in der Cloud und sind mit der BlackBerry ID verbunden.
Es gibt auch Multi-OS Lösungen wie Enpass.
Natürlich sollte man bei solchen Lösungen darauf achten, dass der Zugang zu den Endgeräten auch abgesichert ist. Dazu bieten sich einige Lösungen wie Gerätepasswörter/-Pins oder Gesten an. Desweiteren wäre ein Verschlüsselung des Speichers ratsam, heutzutage auch schnell und einfach eingerichtet.
2-Faktor
Eine weitere Möglichkeit ist es, neben einem Login ein Gerät oder andere Daten als zweiten Faktor zu nutzen. Dazu gibt es neben einer intelligenten Kontensteuerung noch mehrere Möglichkeiten:
- Nachrichten Pin
Nach einem Login bekommt man eine Nachricht (SMS, E-Mail oder In-App) mit einer einmaligen zeitlich begrenzten PIN, die man im Login in einem zusätzlichen Feld eingeben muss.
Nachteil für private Nutzer: Man muss den Diensten seine Telefonnummer bereitstellen, falls die PIN per SMS übermittelt wird. Da man für die meisten Dienste eh eine E-Mail-Adresse angeben muss fällt diese hier nicht so stark ins Gewicht. - USB-Stick/Karte
Den PC-Start oder den Login kann man an einen USB-Stick oder an eine ID-Karte koppeln. Ist eins der beiden nicht mit dem richtigen PC verbunden und es wurde nicht die richtige PIN eingegeben, kann der PC nicht genutzt werden.
Dieser Punkt wird durch VPN Authentication by BlackBerry stark vereinfacht. So dient ein BES aktiviertes BlackBerry als Hardware-Token. Einen USB-Stick vergisst man leicht, sein Smartphone eher weniger. - Symple ID
Bei dieser Lösung ist ein NFC Chip der zweite Faktor. Möchte man sich einloggen muss man den mit Symple ID verknüpften Chip einlesen und das Programm setzt die Login-Daten (Credentials) automatisch ein. Das Programm kann auch Passwörter selbst erstellen und wechseln. - Biometrische Daten
Fingerabdrücke, Irisscans oder Infrarotaufnahmen werden als zweiter Faktor oder als Hauptpasswort gesetzt. Die ersten zwei Methoden sind nicht zu empfehlen. Per Foto und Holzleim bzw 3D-Drucker sind diese Daten reproduzierbar. Leider haben das noch nicht alle CEO´s erkannt und wünschen sich alle ein iPhone mit Fingerabdruckscanner.
Das Problem: Ist der Token Fingerabdruck oder Irisscan einmal kompromittiert, ist er für immer “verbrannt” und kann nicht mehr zur Sicherung dienen.
Infrarot bleibt abzuwarten. Microsoft hat diese Methode für den Login in Windows 10 entwickelt. Leider setzt man bei Windows 10 Mobile auf den Irisscan.
Fazit
Lange komplizierte Passwörter nerven und die Eingabe dauert lange. Da kann ich einige Nutzer und deren Abneigung verstehen. Aber Datensicherheit geht vor. Man kann es seinen Nutzer einfach machen, sollte aber trotzdem auf die gewählte Methode achten.
Und GCHQ ist kein gemeinnütziger Trachtenverein!