Sicherheit für Passwörter

In vielen Firmen ist es um die Sicherheit der Systeme durch Passwortschutz meiner Meinung nach nicht gut bestellt. Vor allem in größeren Firmen wird gerne der Mitarbeiter dazu verpflichtet, dass er alle paar Wochen bis spätestens nach zwei Monaten sein gewähltes Passwort zu ändern. Einmal eine dieser Regeln in den Serversystemen eingerichtet, läuft alles vollautomatisch ohne jeglichem Zutun eines Administrators oder Systemverantwortlichen ab. Widersetzt man sich der Einstellung, wird der Benutzername und damit der Zugang zum Arbeitsplatzsystem gesperrt.

Regeln über Regeln
Doch zu einfach soll es nicht sein. Leider viel zu oft sind die Restriktiven sehr sehr streng.

  • Dass Passwort muss zumindest 8, 10 oder sogar 12 Zeichen lang sein.
  • Dass Passwort muss aus Groß- und Kleinbuchstaben bestehen.
  • Dass Passwort muss Zahlen enthalten, die außerdem nicht an erster oder letzter Stelle stehen dürfen.
  • Dass Passwort muss Sonderzeichen enthalten.
  • Dass Passwort darf nicht gleich sein wie eines der letzten 12 Passwörter.
  • Dass Passwort darf nicht ähnlich sein wie eines der letzten 12 Passwörter.

und so weiter und sofort… Nicht selten gelten diese Vorgaben nicht nur für den Arbeitsplatz. Da gibt es dann noch Intranet, SAP, Datenbanken, Internetzugänge, Zugänge zu speziellen Webseiten von Herstellern und und und…

Wo soll das Enden?
Doch wo endet diese Vorgabe? Am Ende hat der Anwender nach dem Wochenende sein Passwort vergessen und muss sich an den Administrator wenden. Oder aber, was noch viel schlimmer ist, aber trotzdem gerne gemacht wird: Der Anwender schreibt sich einen Zettel mit seinen Passwörtern und lässt diesen gleich direkt am Arbeitsplatz oder zumindest in seiner Schublade liegen.

Einer von vielen diskutierbaren Lösungsvorschlägen
Vielleicht sollten Firmen, welchen die Sicherheit über alles geht, und in vielen Unternehmen sind die Sicherheitseinstellungen durchaus berechtigt, ihren Mitarbeitern lieber einen Fingerprintreader oder ähnliches spendieren.

2 Gedanken zu „Sicherheit für Passwörter

  1. Michael

    Also ich weiß nicht. Das mit den Fingerprint-Readern ist schon so eine Sache. Was die Passwörter angeht, so habe ich vollstes Verständnis für die Administratoren, Passwörter wie „haus4“ sind ja wirklich innerhalb von Sekunden geknackt und es spricht ja nichts dagegen, dass man zwar immer das gleiche Passwort verwendet, es aber mit Merkmalen des Programms ausstattet. Wenn also jemand sein Passwort in „haus4_gmail&com“ ändert, so ist er auf der relativ sicheren Seite.

    Fingerprints sind eine andere Sache. Sicherlich schwieriger zu fälschen, jedoch leicht möglich, andererseits ist Biometrie immer mit den Themen Datenschutz und Privatsphäre verbunden. Die Sache mit dem Finger habe ich auch immer so ein wenig nach dem Dodel-Prinzip gesehen: Wer zu blöd war, sich ein vernünftiges Passwort zu merken, der musste seinen Finger hergeben…

  2. Philomenon

    Es ist ja nichts dagegen zu sagen, wenn Passwörter „schwierig“ zu wählen sind. Aber dieses dauernde ändern und vorallem die vielen do and dont’s machen es so richtig mühsam.

    Außerdem denke ich ist zu unterscheiden, ob es sich um ein Passwort innerhalb es Firmennetzwerks handelt oder ob das Passwort den weltweiten Zugriffen durch das Internet standhalten muss.

    Es müssen ja nicht zwingen Fingerprintreader sein. Es gibt auch andere Lösungsansätze…

Kommentare sind geschlossen.