pw

Der britische Nachrichten- und Sicherheitsdienst GCHQ hat in einer Informationsbroschüre Tipps für Systembetreiber vor allem im Umgang mit Passwörtern gegeben, darunter die Empfehlungen, auf zu strenge Regeln mit so-und-so-vielen Sonderzeichen, Ziffern und Großbuchstaben zu verzichten und die Nutzer auch nicht regelmäßig zu zwingen, neue Passwörter zu wählen. Solche Regeln würden nur den Nutzern das Leben erschweren, nicht aber den Angreifern. Man würde also das Problem auf den Nutzer abwälzen, statt es technisch zu lösen. Besser sei es beispielsweise, verdächtige Aktivitäten im System in Echtzeit zu überwachen.

Ein Grossteil der Angriffe findet heutzutage auf Wegen statt, gegen die starke Passwörter keinen Schutz bieten: Social Engineering wie Phishing, Abhorchen der Übertragung, Mitfilmen der Passworteingabe, Installation von Keyloggern, Einbruch in die IT oder Übertragen von geknackten Accounts auf andere Systeme. Beispielsweise wurde bekannt, dass beim Seitensprung-Portal Ashley Madison 15 Millionen Passwörter aufgrund eines Fehlers bei der verschlüsselten Speicherung innerhalb kurzer Zeit knackbar waren – weitgehend unabhängig davon, wie stark oder schwach das Passwort selbst war. Der GCHQ nennt den Adobe-Hack von 2013 als Beispiel: Damals wurden 150 Millionen Nutzer-IDs geklaut und teils anhand der unverschlüsselt gespeicherten Passwort-Erinnerung geknackt.