Dr. Hans-Joachim Popp, stellv. Vorsitzender des VOICE-Präsidiums zu den gestohlenen E-Mail-Adressen und Passworten
Die fast 800 Millionen E-Mail-Adressen und Passwörter, die letzte Woche aufgetaucht sind, bedeuten nicht das Ende der Fahnenstange. Es werden wohl noch mehr ausgespähte Zugangsdaten veröffentlicht. Solche Dinge lassen sich wahrscheinlich nie ganz verhindern, aber sie lassen sich eindämmen – wenn Nutzer etwas umsichtiger wären und Anbieter mehr in stärkere Systemkonfigurationen und User-Policies investieren würden.
Natürlich
kann man triviale Passwörter leicht erraten und jeder von uns hat da ganz
sicher seine Leichen im Keller aber auch ein gutes Passwort reicht ja nicht,
wenn der Anbieter der Online-Plattform seine Hausaufgaben nicht macht. Denn es
gelingt immer wieder, Passwörter per “Brute-Force”-Angriff dennoch zu
knacken. Dazu benötigt der Angreifer Zugriff auf den Hashwert in der
User-Datenbank! Den bekommt er wiederum nur, wenn der Anbieter des betreffenden
Dienstes sie sich – z.B. aufgrund einer entsprechend schwachen
Systemkonfiguration – stehlen lässt. Auch für härtere Passwörter kann der
Anbieter etwas tun, indem er triviale oder “Fortsetzungspasswörter”
ausschließt.
Bequemlichkeit
und Sicherheit kommen aber erst zusammen, wenn zur Identifikation
flächendeckend PKI-Tokens benutzt werden, z.B. – ja richtig geraten – die
ohnehin vorhandene eID unseres Personalausweises. Den Ausweis hat jeder bei
sich (schon um jederzeit in einen Billigflieger steigen zu können) und merken
muss man sich nur noch eine PIN, mit der niemand etwas anfangen kann, der nicht
auch den Ausweis hat. Den Leser gibt es für kleines Geld im online-Shop.
Bleibt zu hoffen,
dass wir in der Etablierung solcher Mechanismen schneller vorangekommen, sonst
werden viele sehr bequeme Dienste keine Akzeptanz finden. Zur Not muss eine
Verordnung oder ein Gesetz uns helfen, die Anfangshürden zu überwinden, so wie
dies bei der Einführung des Sicherheitsgurtes im Auto der Fall war. Heute sind
alle froh über die gesunkene Zahl der Verkehrstoten.