Single-Sign-On falsch verstanden
Just in from Sophos:
41 Prozent aller Computer-Anwender in Unternehmen verwenden ein und dasselbe Passwort für sämtliche Anwendungen am PC und im Internet. Zu diesem Ergebnis kommt die jüngste Web-Umfrage des Computersicherheits-Spezialisten Sophos von April 2006. Nur 14 Prozent der mehr als 500 User, die an der Internet-Erhebung teilnahmen, gaben an, für jede Anwendung ein anderes Passwort zu nutzen und sich so vor Identitätsdiebstahl durch Cyberkriminelle zu schützen. 45 Prozent nutzen zumindest eine geringe Anzahl unterschiedlicher Passwörter.
Ich falle glaube ich unter die letzte Kategorie. Und Sie - gehen Sie auf Nummer sicher beim Passwortschutz?
Am 26. April 2006 um 09:55 Uhr
Jeder Dienst hat auch neues Passwort für meinen Usernamen. Dieser ändert sich sehr sehr selten. Aber wichtig ist, dass die Zahlen- und Buchstabenfolge wird auf meiner großen Festplatte (Gehirn://Lock_and_Load) gespeichert… ;)
Am 26. April 2006 um 12:22 Uhr
Ich sehe das Ergebnis der Befragung positiv: Ich hätte nicht gedacht, dass es doch 14 Prozent sein sollen, die tatsächlich jeweils andere Passwörter verwenden. Von der anderen Seite betrachtet, glaube ich, dass die 41 Prozent für diejenigen User, die nur ein Kennwort für alle Anwendungen benutzen, etwas zu niedrig liegt. Der Mensch ist halt faul und nur bedingt bereit und in der Lage, mit der Komplexität fertig zuwerden, die Passwörter so mit sich bringen. Ich denke, dass es nicht unbedingt nötig ist, für alle Anwendungen jeweils ein eigenes Passwort zu haben. Unkritische Anwendungen können ruhig mit derselben Kennung gesichert werden - allerdings sollte die dann nicht zuuu einfach sein. Dass Kombinationen mit Geburtsdaten, Namen oder überhaupt Hauptwörtern vermioeden werden sollten, braucht ja eigentlich nicht extra erwähnt zu werden. Andererseits kann man es auch nicht oft genug sagen.
Am 26. April 2006 um 21:34 Uhr
Ich kann nur mal empfehlen, mit einem gängigen Passwort-Recovery-Tool alle Logins aus dem versteckten Cache des Internet-Explorer (ob’s sowas für FF auch gibt, weiß ich nicht) auszulesen. Bei mir jedenfalls ist die Liste der banalen bis wichtigen Web-Logins jedesmal überraschend lang - da soll mir mal jemand einen Tipp geben, wie man sich solche Mengen an Logins plus individuellem Passwort merken soll. Dann kommen solche Schikanen wie bei Ebay, wo man ein einmal benutztes Passwort nicht mehr verwenden kann. Wie oft ich mich dort schon ausgesperrt habe.
Und dann die Dienste, die entweder mindestens 6 oder mindestens 8 oder noch mehr Zeichen, und dann noch Sonderzeichen für das PW verlangen…
Ich bewundere die Leute, die sich viele kryptische, lange Passwörter merken können. Als ITler sollten solche Leute aber bedenken, dass der Durchschnittsanwender hier völlig überfordert ist und mit praktikableren Lösungsansätzen unterstützt werden sollte.
Am 27. April 2006 um 08:08 Uhr
Zum Glück gibt es für genau diese Klientel diverse Passwort-Manager auf dem Markt.
Diese können - mit einem Masterpasswort geschützt - für jede Anwendung passende Passworter generieren, die man sich nicht mehr merken muss.
Gerade für Anwendungen, die eine regelmässige Änderung der Login-Daten erfordern, die Mehrfachnutzung von Passwortern nicht zulassen, Sonderzeichen, Gross/Klein-Schreibung und die Verwendung von Zahlen/Buchstaben-Kombinationen erzwingen eignen sich solche Tools, deren Anwendung in der Regel denkbar einfach ist - per Drag-and-Drop können Username und Passwort für Websites und Anwendungen automatisch eingegeben werden.
Wenn diese geschützten Daten dann auch noch auf einem Memory-Stick statt auf der lokalen Platte liegen, erhöht dies die Sicherheit zusätzlich.
Und für die ganz Faulen gibt es dann ja auch noch die Biometrie - Fingerabdruck-Scanner erfordern gar keine Passworter mehr und sind zu erschwinglichen Preisen - auch von namhaften Herstellern - erhältlich…
Am 27. April 2006 um 10:01 Uhr
@Pit: Ich persönlich halte nicht viel von softwaregestützten Passwort-Managern. Das läuft nämlich vor allem darauf hinaus, dass man die Kennungen ohne das Tool überhaupt nicht mehr parat hat. Vergleichber mit den eingespeicherten Telefonnummern auf dem Handy, die sich auch niemand mehr merkt.
Außerdem ist das Pflegen dieser Tools außerordentlich lästig, von den Funktionen ganz zu schweigen. Ich habe schon erlebt, dass das versprochene automatische Erkennen von Login-Screens samt - Ausfüllen der jeweiligen Fenster - in der Praxis dann doch nicht funktioniert. Außerdem ist mir auch schon zu Ohren gekommen, dass das Tool nach einem Problem mit der Festplatte nicht mehr lief - alle Kennungen waren praktisch futsch und mussten mühsam rekonstruiert werden.
Was ich damit sagen will? Tools helfen nur bedingt, sie bleiben eine leidige Krücke und lösen das Problem nicht. Abhilfe schaffen könnte aus meiner Sicht höchstens eine digitale Identität für jedermann, die genauso selbstverständlich wie die reale existiert und sich aus all den Anwendungsbereichen/Rollen zusammensetzt, in denen wir tagtäglich navigieren. Je nach Situation wird aber nur ein Teil dieser elektronischen Identität benutzt, um mich am jeweiligen System anzumelden und es zu nutzen.
Ansätze in diese Richtung gibt es ja schon, siehe etwa die Bemühungen des Liberty Alliance Project (http://www.projectliberty.org/). Auch Microsoft widmet sich bekanntlich diesem Thema, ursprünglich in Gestalt von “Passport”, neuerdings mit “Infocard” (http://msdn.microsoft.com/winfx/reference/infocard/default.aspx).
Leider sind die technischen Lösungsansätze ziemlich komplex und nur schwer umfassend in die Tat umzusetzen. Welche Probleme damit verbunden sind, wurde an anderer Stelle bereits in diesem Blog diskutiert: http://blog.computerwoche.de/2005/11/08/identitat-ist-der-schlussel/
Am 28. April 2006 um 13:09 Uhr
Rein technische Lösungen wie etwas die eben bereits angesprochenen digitalen Brieftaschen haben aus Sicht des Anwenders durchaus ihre Berechtigung und erleichtern den Umgang mit mehreren Kenungen erheblich. Das inheränte Risiko liegt jedoch dann in der Kompromittierung des Master Passwords um die digitale Brieftasche zu öffnen. Sobald dieses geknackt wurde, oder abgefangen wurde (Thema : Keylogger) ist die digitale Brieftache offen und alle darin gespeicherten Zugangskennungen ebenso.
Bruce Schneier, ein anerkannter Security Experte schlägt vor Kennungen tatsächlich im Geldbeutel stets bei sich zu tragen. Natürlich nur als Gedächtnisstütze, ohne dass sich ein Bezug zu einer bestimmten Anwendung herstellen lässt. Wer etwa auf einen Zettel “SAP Login XY AG : Username : Hans, Password : Mustermannpw” schreibt, ist elbst schuld.
Eine einfache und wie ich denke durchaus akzeptable und ausreichend sichere Lösung, sofern keine komplexeren Authentifizierungsmechanismen eingesetzt werden.
Am 27. Mai 2006 um 09:54 Uhr
[…] According to this posting on the CW Notizblog, 41% of all corporate users utilize the same password for all applications and Internet sign-ons, whereas only 14% use differing passwords. […]