Passwörter heute – der Status quo

Teil 2 der Reihe „Passwörter – Vergangenheit, Gegenwart und Zukunft“

An wie viele Passwörter mussten Sie sich heute schon erinnern, nur, um ihren Alltag zu bewältigen? Das Kennwort Ihres Arbeitslaptops? Die Geheimzahl Ihrer EC-Karte? Das Entsperrmuster Ihres Smartphones? Und selbst, wenn Sie mobil die Gesichtserkennung aktiviert haben, ist kaum bestreitbar: Passwörter sind in der heutigen Zeit nach wie vor allgegenwärtig.

Im ersten Teil meiner Blogserie habe ich die historischen Wurzeln des Passworts beleuchtet. In diesem Teil möchte ich darauf eingehen, was sich im Vergleich zu früher geändert hat und vor allen Dingen: was nicht.

Zur Entstehung dieser Blogserie

Warum lohnt es sich überhaupt, sich mit dem Thema „Passwörter“ auseinanderzusetzen? In einem Wort: Cybercrime. Um genauer zu sein, die mittlerweile ermüdenden Meldungen über Datendiebstahl, Identitätsdiebstahl und damit einhergehende unberechtigte Zugriffe, Transaktionen und Datenverlust mit gravierenden Folgen.

Vor Kurzem bin ich über einen Artikel eines Software-Herstellers gestoßen, welcher sich als Marktführer im Bereich der sicheren Authentisierung ansieht. In diesem Artikel wurde eine Hilfestellung gegeben, wie man ein sicheres Passwort erstellt und vor allen Dingen auch behält! Mein erster Gedanke war: „Da hat jemand mitgedacht“. Mein zweiter Gedanke: „Ja, aber…“ Und dann sind sie erschienen, die drei Geister. Nicht der Weihnacht, sondern der Passwörter.

Hier geht es zum ersten Geist, dem „Geist der vergangenen Passwörter“. In diesem Teil widmen wir uns dem „Geist der heutigen Passwörter“.

Passwörter der Gegenwart – Andere Besitztümer, gleiche Methoden

Die alltägliche Routine sieht bei den meisten wie folgt aus: Wir schalten unseren Rechner ein, werden nach einem Passwort gefragt und sind eingeloggt. Seit dem Mittelalter hat sich die Methodik nicht wirklich verändert, nur die zu schützenden Besitztümer sind andere. Es wird nicht mehr die Schatzkammer oder das Stadttor gesichert, also die analogen Besitztümer, sondern wir schützen mit Passwörtern unsere digitalen Schätze. Sind es die Patentpläne oder geheimen Preislisten des Arbeitgebers, unser privates Bankkonto oder ganz profan unsere privaten Urlaubsbilder.

Man sieht: Eigentlich ist alles beim Alten geblieben. Bis auf die Tatsache, dass mittlerweile immer die Frage der Identifizierung gestellt wird. Was früher das königliche Siegel oder der Schottenrock war, ist heute der Benutzername.

Aber: Aufgrund der Verfügbarkeit vielfältiger digitaler Ressourcen hat die Komplexität der Identifizierung zugenommen. Ohne Benutzername ist kein Passwort zu gebrauchen, beides muss zusammenpassen.

Aktuelle Zahlen und Fakten zu Passwörtern

Die zunehmende Komplexität von Passwörtern fordert natürlich den Anwender, dazu ein paar Fakten: 

35

Im Durchschnitt werden ca. 35 verschiedene berufliche und private Benutzerkonten pro Person kalkuliert.

1/3

Ein Drittel der Konten sind dem Anwender nicht mehr bewusst bekannt, d.h. diese werden nicht genutzt, obwohl bisweilen sensitive Information und Daten damit verbunden sein können.

1/2

Für ca. die Hälfte der Benutzerkonten sind keine Passwörter bekannt.

Passwörter im Job und privat

Um ein detailliertes Bild zu erhalten, muss man Berufliches und Privates trennen. Die Hoheit des Benutzerkontos liegt für berufliche Belange beim Arbeitgeber. Er stellt eine digitale Infrastruktur bereit, um die Mitarbeitenden zu befähigen, die anvertrauten Aufgaben erfüllen zu können. Das Unternehmen bietet für seine Infrastruktur entsprechende IT-Mechanismen und Dienste an, er ist für die Verwaltung derer verantwortlich und gibt die Rahmenbedingungen für die Anwender vor. 

Im privaten Bereich ist die Situation eine andere, die Verantwortung wird dem Kunden/Anwender auferlegt. Beispiel Shopping, Online Banking, Streaming: Die Anbieter bieten zuallererst den Dienst an, das Einkaufserlebnis, Finanzfunktionen oder die personalisierte Videothek. Dementsprechend stellt der Anbieter ergänzend die digitalen Funktionen bereit, mit denen der Kunde sich anmelden kann. Die Verwaltung der Informationen liegt in der Verantwortung des Kunden.

Ebenso unterscheiden sich die Rahmenbedingungen. Wo das Unternehmen einheitliche und ggf. starke Richtlinien durchsetzt, sind im Konsumentenangebot die Rahmenbedingungen bisweilen als eher lasch anzusehen. Nur sobald gesetzliche Regelungen ins Spiel kommen, werden entsprechende Mechanismen zur Verfügung gestellt, um die Sicherheit zu erhöhen (Online Banking ist bspw. nur noch mit einem zweiten Faktor zugänglich). Das wiederum führt zu der Vielzahl an unterschiedlichen Benutzernamen und Passwörtern.

Die Gründe sind ebenso vielfältig:

  • Eine E-Mail-Adresse als Anmeldename ist nicht bei jedem Online-Service zugelassen, es muss dann ein separater/zusätzlicher Benutzername erstellt werden

  • Die Passwortrichtlinien sind unterschiedlich. Manche Anbieter machen keine Einschränkungen bei Passwortlänge, Komplexität, Alter oder Wiederverwendbarkeit, andere Anbieter schon.

Fazit

Hinsichtlich Methodik und Konzept haben wir uns seit dem Mittelalter nicht wirklich weiterentwickelt. Vielmehr hat die Komplexität zugenommen. Eine Simplifizierung zu Gunsten der Anwender bei gleichzeitiger Verbesserung der Sicherheit hat bisher nur in Ausnahmen stattgefunden. Passwörter sind immer noch das einzige Medium der Anmeldung in Verbindung mit einem Benutzernamen.

Welche Aufgaben ergeben sich in der Zukunft? Welche Trends, Technologien und Konzepte können zum Einsatz kommen? Dazu mehr nächste Woche im dritten Teil, „Der Geist des zukünftigen Passworts“.