Theoretisch gesehen gibt es weltweit genauso viele Passwörter wie Accounts. Gemessen an den Unique Usern pro Anwendung oder pro Internetdienstleistung besitzt jedes Anmeldekonto genau ein Passwort. In der Praxis sieht das etwas anders aus. Die meisten Menschen verwenden ein einziges Passwort für mehrere Accounts. Das bestätigt auch eine aktuelle Studie des russischen Internet-Security-Unternehmens Kaspersky. Nach dieser nutzt einer von sieben Befragten nur ein Passwort für alle seine Internetkonten.
Das scheint sehr leichtsinnig zu sein. Vor allem vor dem Hintergrund, dass die häufigste Ursache von Anwendungshacks nicht – wie vermutet werden könnte – Schwachstellen, sondern gestohlene Anmeldedaten sind. Laut dem amerikanischen Telekommunikationskonzern Verizon nutzten Hacker in 50,7 Prozent der Anwendungshacks im vergangenen Jahr gestohlene Benutzernamen und Passwörter, um in die Systeme zu gelangen.
Die Gesamtanzahl an gestohlenen Zugangsdaten nimmt dabei immer weiter zu. Im Jahr 2014 entwendeten Hacker beim sogenannten CyberVar-Hack 1,2 Milliarden Anmeldedaten. Im Hinblick auf die Ergebnisse von Kaspersky wird von diesen 1,2 Milliarden Passwörtern ein Großteil mit hoher Wahrscheinlichkeit für mehrere Internet-Services genutzt. Beim CyberVar-Hack handelt es sich allerdings nicht um einen Einzelfall. Bereits 2011 hackten Cyberkriminelle das PlayStation-Netzwerk und stahlen 77 Millionen Passwörter. Während auf der einen Seite die Anzahl an gestohlenen Zugangsdaten wächst, sinkt auf der anderen die Anzahl der sicheren Passwörter. In anderen Worten: Wir leben in einer Welt, in der es bald keine Passwörter mehr geben wird.
Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Eine Schwachstelle, bei der sich der Nutzer zuerst einloggen muss, gilt bislang als weniger ernstzunehmend. Hunderte von Schwachstellen sollen dadurch sicher vor Hackern sein. Ohne den Einsatz sicherer Passwörter verliert diese Annahme ihre Gültigkeit, sodass Entwickler diese Schwachstellen neu analysieren und auf eine andere Weise abschwächen müssen – oder letztendlich mehr Zeit aufwenden müssen, um sie zu reparieren.
Auch auf die IT-Branche im Allgemeinen wirkt sich die sinkende Anzahl an sicheren Passwörtern negativ aus. Bald werden IT- und Cyber-Sicherheits-Unternehmen nicht mehr in der Lage sein, Authentifizierungen durch Benutzernamen und Passwörter weiterhin zu empfehlen. Aber auch biometrische Technologien scheinen keine geeignete Alternative darzustellen, denn auch Daten, die über Fingerabdrücke gesichert sind, haben Hacker bereits gestohlen. Beliebte zentralisierte Log-In-Verfahren wie bei Facebook und Twitter zentralisieren daneben ebenfalls das Risiko.
Sowohl Nutzern als auch Anwendungsentwicklern bleiben schließlich nicht mehr viele Möglichkeiten. Die beste kurzfristige Lösung für Nutzer ist die Verwendung eines Passwort-Managers und starker, einzigartiger Passwörter für jeden einzelnen Internet-Service. Anwendungsentwickler können zusätzliche Faktoren zu Benutzername und Passwort integrieren, beispielsweise Sicherheitstoken von RSA oder Duo Mobile. Eine weitere Möglichkeit ist die Nutzung eines komplett neuen Authentifizierungsverfahrens, woran Google, Yahoo und andere Technologieunternehmen zurzeit arbeiten. Doch ganz gleich für welchen Weg sich Entwickler entscheiden, eines steht fest: Auf das Passwort allein ist kein Verlass mehr.
Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…
Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…
Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…
Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…
Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…
COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…
View Comments
Zitat: "Während auf der einen Seite die Anzahl an gestohlenen Zugangsdaten wächst, sinkt auf der anderen die Anzahl der sicheren Passwörter."
Ich muss gestehen, diesen Zusammenhang sehe ich (noch) nicht so. Ich gehe davon aus das die meisten Nutzer Passwortlängen um die 10 Zeichen nutzen. D.h. nur durch eine Verlängerung mit weiteren 5-10 Zeichen kann ich doch weitere (sicherlich endliche) Passwörter generieren die zudem durch ihre zusätzliche Länge wieder sicherer werden - oder mache ich da einen Gedankenfehler?