Einer aktuellen Studie von Lastpass zufolge verwenden nach wie vor 65 Prozent der Nutzer für mehrere Konten dasselbe oder ein sehr ähnliches Kennwort. Vor dem Hintergrund, dass – den Recherchen zufolge – kompromittierte Passwörter zu den Hauptursachen für Datendiebstahl zählen und in 80 Prozent dieser Fälle Login-Daten gehackt wurden, vergrössert eine schlechte Passwort-Hygiene die Angriffsfläche von Unternehmen drastisch.
Gastkommentar von Arne Ohlsen, Sprecher bei Sailpoint für die DACH-Region (Deutschland, Österreich, Schweiz)
Umso wichtiger ist ein bewussterer Umgang mit Passwörtern, auf den nicht zuletzt der "World Password Day" am 5. Mai aufmerksam machen soll. Obwohl sich sowohl Unternehmensverantwortliche als auch Mitarbeiter der Risiken bewusst sind, kämpfen viele Organisationen nach wie vor damit, eine effektive Passwortrichtlinie umund vor allem durchzusetzen – und dies nicht erst seit der Corona-Pandemie und dem damit einhergehenden Wandel hin zu dezentralen Arbeitsmodellen, als es bisweilen üblich war, Login-Daten innerhalb der Belegschaft weiterzureichen. Schwache Passwörter sind ebenfalls ein unterschätztes Problem: Denn dem Hasso-Plattner-Institut (HPI) zufolge erfreuen sich einfache Zahlenfolgen, "Hallo" oder "Passwort" bei der Kennwort-Wahl nach wie vor grosser Beliebtheit.
Risikobewusstsein schaffen, zusätzlichen Schutz bieten
Viele Nutzer sind sich nicht bewusst, welchem Risiko sie nicht nur sich, sondern das ganze Unternehmen aussetzen, wenn sie aus Bequemlichkeit dieselben Passwörter für berufliche und private Konten verwenden. Hat ein Cyberkrimineller sich nämlich über kompromittierte Login-Daten erst einmal Zugriff zu einem Konto verschafft, ist es ein Leichtes, sich frei im Netzwerk zu bewegen und sich auf diese Weise zu den sensibelsten Daten weiter zu hangeln. Ebenso problematisch ist an dieser Stelle das zu lange Festhalten an verwendeten Anmeldedaten. So sollten Passwörter mindestens alle drei Monate geändert werden.
Doch auch Unternehmen selbst können aktiv Massnahmen ergreifen, um einerseits Fallstricke zu vermeiden und andererseits zusätzlichen Schutz zu bieten. Zunächst einmal sollte eine effektive Passwortrichtlinie klar und verständlich kommuniziert werden, sodass keine Missverständnisse entstehen. Um kritische Daten besser zu schützen, sollten Unternehmen ausserdem auf die Multi-Faktor-Authentifizierung (MFA) setzen. Obwohl sie immer noch ein Passwort verlangt, bietet sie dennoch eine weitere Schutzebene. Eine Alternative zur ständigen Eingabe von Kennwörtern bietet Single-Sign-On (SSO): Hier wird lediglich eine Anmeldung benötigt, die nicht nur für den Identitätsanbieter gilt, sondern auch für alle anderen zugewiesenen Anwendungen.
Sicherlich könnten Passwörter bald schon gänzlich aus unserem Alltag verschwinden – allerdings müssen alternative Authentifizierungsfaktoren nicht unbedingt sicherer sein. Hier gilt es, genau abzuwägen und die Stärken und Schwächen jeder Authentifizierungsart unter Berücksichtigung der Faktoren Sicherheit, Anwenderfreundlichkeit und Kosten zu prüfen. So sind beispielsweise FIDO-Authentifikatoren zwar einfach in der Handhabung und aus der Ferne nur schwer zu entwenden, allerdings könnte der Defekt oder Verlust eines Sicherheitsschlüssels Probleme verursachen, während Fingerabdruck oder Gesichtserkennung zwar nicht gestohlen werden können, jedoch auch nicht universell nutzbar sind.
Da uns also die Kombination aus Benutzername und Kennwort noch eine Weile begleiten wird, sollten Unternehmen alles daran setzen, eine gute Passwort-Hygiene zu etablieren und gleichzeitig ihre Zugangspraktiken auf den Prüfstand stellen.
