11-3-2015 Gedruckt am 25-06-2017 aus www.monitor.co.at/index.cfm/storyid/16299

Tipps zur Fehlervermeidung bei der Authentifizierung

Ein Passwort kommt selten allein

Sollte 2015 ähnlich verlaufen wie 2014, wird es für Hacker wieder ein fulminantes Jahr. Millionen von Daten und Dokumenten werden in unbefugte Hände gelangen. Die positive Nachricht: Viele Unternehmen haben die Gefahr erkannt, besonders, dass ein einfacher Passwortschutz oft nicht ausreicht um ihre Daten, Netzwerke und Cloud-Anwendungen vor unberechtigtem Zugriff zu schützen.

Sieben Tipps, wie Sie Fehler bei der Authentifizierung vermeiden. Foto: Tim Reckmann / pixelio.de

SMS Passcode, ein Spezialist für die Multi-Faktor-Authentifizierung (MFA), hat deswegen praktische Tipps zusammengefasst, wie Unternehmen Fehler bei der Authentifizierung vermeiden können.
 
  1. Starke Passwörter bieten keine ausreichende Sicherheit: Ein bisschen erschreckend, aber lange Passwörter mit Klein- und Großbuchstaben, Symbolen und Zahlen sind zwar durchaus nützlich, wiegen die Anwender jedoch in falscher Sicherheit. Es ist einfacher als man denkt, auch starke Passwörter abzufischen oder zu knacken.
  2. Mitarbeiter zu komplexen Passwörtern und häufigem Wechsel zwingen: Gute Absichten können nach hinten losgehen, wenn Mitarbeitern strenge Vorgaben bezüglich Gestaltung und dem regelmäßigen Wechsel ihrer Passwörter gemacht werden. Die Erfahrung lehrt, dass Mitarbeiter gewöhnlich den einfachsten Weg gehen: Wenn sie aufgefordert werden, ihr Passwort komplexer zu gestalten, wird aus "David" eben ein "David!" und damit ist niemandem geholfen. Hacker wissen, dass Ausrufezeichen zu den beliebtesten Varianten gehören und stellen ihre Methodik darauf ein. 

    Der Hintergrund: Wenn Hacker ein neues Passwort ermitteln wollen, lassen sie ihr System meist erst einmal die folgenden, typischen Veränderungen austesten:
     
    - Großbuchstabe am Anfang eines Wortes
    - Zahlen am Anfang von Wörtern
    - Zahlen am Ende von Wörtern
    - Alle Varianten möglicher Groß-/Kleinschreibung
    - Ersatz von Buchstaben wie "e" und "l" mit Zahlen wie "3" und "1"
    - Satzzeichen am Ende von Wörtern
    - Verdopplung des ersten Buchstabens oder aller Buchstaben eines Wortes
    - Zusammenschreiben zweier Wörter
    - Satz- oder Leerzeichen zwischen zwei Wörtern
  3. Mich will ganz bestimmt niemand hacken: Gelegenheit macht Diebe und ein offenes Auto ist immer noch schneller gestohlen als eines, das man erst aufbrechen muss. Dasselbe gilt für Hacker. Sie dringen in die Netzwerke ein, in die sich leicht eindringen lässt. In letzter Zeit sind davon vor allem Mittelständler betroffen. Sie investieren üblicherweise zu wenig in ihre IT-Sicherheit und werden immer häufiger zum Ziel von Angriffen.
  4. Anwenderauthentifizierung mit Hardware-Tokens: Hier gilt der Ratschlag "Besser die Finger davon lassen". Für Authentifizierungslösungen der ersten Generation wie Hardware-Tokens läuft die Zeit ab, denn sie bieten nicht annähernd das Maß an Sicherheit, das für die Abwehr aktueller Cyber-Bedrohungen nötig ist. Außerdem sind sie meist umständlich in der Verwaltung und kostenintensiv im Betrieb.
  5. Nicht alle mobilen MFA-Lösungen sind gleich: Marktgängige Lösungen bieten scheinbar alle dasselbe, nämlich starke Zwei-Wege- oder Multi-Faktor-Authentifizierung. Bei der Wahl der passenden Lösung für Unternehmen gibt es allerdings eine Reihe von Stolperfallen, die es noch vor Implementierung zu beachten gilt.
  6. Die Bedeutung von Nutzerfreundlichkeit für Mitarbeiter: Was in der PowerPoint-Präsentation des Verkäufers nach einem großartigen Sicherheits- und Authentifizierungsprodukt aussieht, versagt im echten Geschäftsalltag oft kläglich, nämlich wenn die Endanwender damit arbeiten sollen. Wenn Mitarbeiter die Lösung als zu umständlich und/oder zu zeitaufwändig empfinden, steigt die Frustration und sie werden sich schwer damit tun, die Einhaltung Ihrer Richtlinien durchzusetzen.
  7. Mitarbeiter nehmen Multi-Faktor-Authentifizierung nicht an: Diese Fehleinschätzung kommt häufig von IT-Verantwortlichen. Aussagen wie: "Dafür sind unsere Anwender einfach zu dämlich. Von denen mehr als ein Passwort zu verlangen, das klappt nie." sind nicht selten. Erfahrungsgemäß werden hier Mitarbeiter meist unterschätzt. Denn in ihrem privaten Alltag leben die meisten Menschen heutzutage ganz selbstverständlich mit Zwei-Wege- und Multi-Faktor-Authentifizierung. Sie nutzen es beispielsweise beim Online-Banking oder wenn sie sich von fremden Rechnern aus in Netzwerken anmelden. Was als Sicherheitstechnik im Privatbereich längst normal ist, hat sich in der Geschäftswelt (noch) nicht flächendeckend durchgesetzt. 
Der Autor

Foto: SMS Passcode

Lars Gotlieb, Country Manager DACH bei SMS Passcode
www.smspasscode.com/de