16.10.2006 | Autor / Redakteur: T. Martin Brown / Peter Schmitz
Wer in seinem Netzwerk sichere Passwörter, inklusive Zahlen und Sonderzeichen voraussetzt, muß damit leben, dass die Anwender sich diese auch aufschreiben. Mit einem einfachen Trick können Sie als Amin diesem Umstand ganz entspannt gegenübertreten.
Die Herausforderung bei der Einführung einer sicheren Passwort-Policy liegt darin, dass die Passwörter auch leicht zu merken sein müssen. Setzt man sichere Passwörter voraus werden die meisten Anwender diese irgendwo aufschreiben. Das stellt zwar in der Regel kein Problem dar, problematisch dagegen ist jedoch der Aufbewahrungsort. Viele User legen Passwörter in einer unverschlüsselten Datei oder ungesicherten Ort ab.
Wenn Sie von den Anwendern nicht verlangen, ein Programm wie zum Beispiel das Open Source Tool Password Safe zu verwenden, sollten Sie wenigsten bei der Wahl und beim Aufschreiben der Passwörter so vorgehen lassen, dass eine gewisse Fälschungssicherheit gegeben ist, um so eine weitere Sicherheitsebene einzufügen.
Fälschungszeichen sind Zeichen, die zufällig in jedes Passwort das der User verwendet und aufschreibt, eingefügt werden, die aber bei der Eingabe des Passwortes wegelassen werden. Findet jemand das Passwort, kann er es so immer noch nicht direkt verwenden, da er die Sonderzeichen nicht kennt.
Schauen wir uns einfach einmal ein paar Beispiele an. Nehmen wir an, diese Passwörter werden real eingesetzt:
Nehmen wir außerdem an, das 8 und * die zusätzlichen Fälschungssonderzeichen sind. Wenn Sie die Passwörter aufschreiben, tragen Sie die beiden Zeichen willkürlich an einige Stellen des Passwortes ein. Das sieht etwa so aus:
(Die Fälschungszeichen sind nur im Beispiel fett geschrieben.)
Wenn Sie sich dann an einem Computer oder einer Applikation anmelden, lassen Sie im Geiste einfach die eingefügten Zeichen weg und tippen Sie das richtige Passwort ein. Sie merken sich das recht schnell, wenn Sie es ein paar Mal versucht haben.
Erklären Sie den Anwendern die Verteilung der Zeichen in ihren Passwörtern zu variieren und mehrere Zeichen zu verwenden sowie in den Passwörtern zu mischen. Die Zeichen dürfen nicht immer am Anfang und am Ende stehen und es sollte sich auch kein erkennbares Muster ergeben. Wenn ein Anwender der Stern immer an den Anfang des Passwortes einträgt und ein Angreifer kommt nicht weiter, könnte er durchaus das Muster erkennen. Wenn er dann den Stern weglässt, hat er Zugang zu allen Bereichen.
Um die richtigen Zeichen zu wählen, sollen die Anwender Buchstaben, Zahlen oder Symbole verwenden, die generell nicht oft in den Passwörtern vorkommen, einfach weil sie nicht gerne getippt werden. Wenn solche Zeichen in einem Passwort vorkommen, stechen Sie meist sehr gut heraus, wodurch man sich viel leichter merken kann, warum diese Buchstaben dort stehen.
Sie sollen mindestens zwei Fälschungszeichen verwenden, wobei drei empfehlenswert sind – eines aus jeder Kategorie von Zeichen (Buchstaben, Zahlen und Sonderzeichen). Drei Zeichen geben dem Anwender mehr Kombinationsmöglichkeiten. Mehr als drei sind dann aber eher verwirrend, als sie bei der Fälschungssicherheit helfen.
Anwender, die bereits eine große Zahl von Passwörtern haben, könnten einige der neu eingeführten Fälschungszeichen bereits in Ihren Passwörtern haben. Die User sollten entweder das Passwort ändern, oder Sie können dieses Passwörter in Klammern setzen (5S,c,r,*ty) um für sich deutlich zu machen, dass es hier keine Fälschungszeichen gibt und dieses Passwort in dieser Form zu verwenden ist.
Ich möchte mit dem Konzept der Fälschungszeichen keinesfalls vorschlagen, dass die Anwender nun die Freiheit haben, Ihre Passwörter überall und öffentlich herumliegen zu lassen oder zu posten. Ich möchte das Konzept mit Fälschungszeichen auch nicht mit der Kryptografie vergleichen – sie sind nicht annähernd verwandt. Ich schlage damit nur vor, dass Ihre Mitarbeiter die Passwörter nur ein wenig verfälschen, um es Eindringlingen nicht so leicht zu machen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000293)
