MÜNCHEN (COMPUTERWOCHE) - Nach Meinung von Gartner reicht ein herkömmlicher Passwortschutz für die sichere Authentifizierung von IT-Nutzern nicht mehr aus. Analyst Ant Allan sagte gestern auf einer Security-Veranstaltung in London: "Passwörter sind nicht länger adäquat, weil die Bedrohungen gegen sie zu groß geworden sind." Die zunehmende Nutzung von drahtlosen Netzen und Web-Services habe das Sicherheitsrisiko erhöht (siehe auch: "Kriminelle räumen über WLAN Bankkonto leer")
Außerdem, so ergänzte sein Kollege John Girard, sei es inzwischen einfach, Tools über das Internet zu bekommen, mit denen sich Passwörter knacken ließen. "Frei zugängliche Tools, um Word- und Excel-Passwörter zu per Brute-Force-Angriff zu knacken, eignen sich vor allem für kurze Passwörter. Für längere Zeichenketten werden manchmal bis zu 16 Stunden gebraucht - doch wer wirklich in ein System hinein will, wird es auch schaffen."
Die immer besser ausgeklügelten Attacken und die wachsende Professionalität ganze Banden von Cyberkriminellen haben laut Gartner in den meisten Firmen bislang lediglich dazu geführt, dass die Passwörter länger geworden sind und häufiger ausgetauscht werden. Das aber habe zur Folge, dass die Begriffe nun oft vergessen und deshalb zur Sicherheit irgendwo notiert würden, was Angreifern im direkten Umfeld die Arbeit erleichtere (siehe auch: "Leichtsinniger Umgang mit Passwörtern weit verbreitet".)
Eine sichere Authentifizierung sei auf Dauer nur durch Smartcards, Sicherheits-Token oder Biometrie möglich. Nachteil: Diese Techniken zu implementieren, ist nicht ganz billig. Laut Gartner sind europäische Unternehmen grundsätzlich eher zu entsprechenden Investitionen bereit als amerikanische. Jenseits des Atlantiks fürchteten die Verantwortlichen, ihren Mitarbeitern zu komplexe Prozeduren aufzubürden.
Diskutiert wurde auf der Veranstaltung auch, in wie weit eine zweistufige Identifikation Sinn gibt. Dabei müssen Anwender zwei Klippen überwinden, ehe sie das System nutzen können - beispielsweise via Smartcard und Passwort. "Um an sein Bankkonto zu gelangen, würde man beispielsweise eine Bank-Karte und eine PIN benötigen", führte Colin Thompson aus, Vertriebschef der Security-Company Alladin und Befürworter der doppelten Authentifizierung. "Verliert man die Karte, weiß man, dass die Sicherheit bedroht ist. Wir brauchen eine Art Smardcard oder ein ähnliches Verfahren, weil individuelle Anwender in Unternehmen immer ein Risiko bedeuten." (Siehe auch: "Banken schützen ihre Kunden bei Online-Banking zu wenig".)
• Smartcard-basierende Sicherheitslösungen • Account Management/Single Sign-on |
Wichtig dabei sei aber, dass der Aufwand zur Überwindung der zweiten Authentifizierungsstufe einfacher werde. Unterschiedliche User-Namen und Passwörter für unterschiedliche Systeme dürfe es nicht geben. (hv)