Umgang mit Passwörtern in der Realität

Bleibt die Wahl des Passwortes dem Benutzer überlassen, so bescheinigen Studien von A. DeAlvare [#!A9!#], dass Nutzer dazu tendieren, so wenig wie mögliche Zeichen zur Erstellung zu verwenden. Problematisch ist dies insbesondere auf Grund DeAlvares Feststellung, dass ein gewähltes Passwort nur widerwillig geändert wird, ehe es als kompromitiert nachgewiesen wurde [#!A10!#]. Besonders Aufschreiben von Passwörtern stellt ein signifikantes Problem dar. Nach Umfragen von Anne Adams und Martina Sasse [#!A11!#] macht eine große Mehrheit der Anwender von dieser Vorgehensweise Gebrauch, wobei es sich sowohl um gewöhnliche Anwender als auch Experten oder Teilnehmer von speziellen Sicherheitsschulungen handelt. Dabei erhielten Adams und Sasse Angaben, die ihnen erlaubten die Personengruppen weiter zu klassifizieren. Während einige Nutzer strikt alle verwendeten Passwörter notieren, konnten sie weitere Nutzergruppen differenzieren, die ihre Kennwörter nur für den anfänglichen Gebrauch niederschrieben bis sie auswendig erlernt wurden oder aber nur selten genutzte Passwörter notiert wurden. Teils werden dazu selbst ausgedachte Schemen zur Verschlüsselung angewendet, wie PINs beispielsweise als Telefonnummer im Adressbuch zu vermerken oder weitere zufällig gewählte Ziffern anzuhängen. Weitere Ergebnisse der Befragung zeigten, dass Anwender oftmals das selbe Passwort zur Authentifizierung verschiedener Systeme verwenden. Während die Befragten in bis zu 50 verschiedenen Situationen zur Eingabe von Passwörter aufgefordert werden, stehen diesen nur eines bis maximal sieben unterschiedliche Passwörter gegenüber, welche zudem in der Regel Variationen eines einzelnen Ausgangswortes darstellten.

Entgegen eindeutiger Empfehlungen von den Entwicklern sicherer Authentifizierungsmethoden verwenden Benutzer nach Adams und Sasses Erkenntnissen überwiegend Kennwörter mit einer persönlichen Bedeutung. Telefonnummern, Lieblingsfilme und Namen aus dem Bekanntenkreis oder der Familie gehören zu den gebräuchlichsten Passwörtern. Die Missachtung der eindeutigen Regeln und Vorgaben zur Konstruktion sicherer Passwörter erfolgen nicht selten auch von Teilnehmern spezieller Sicherheitsseminare und werden trotz intensiver Aufklärung und Belehrung als unpraktikabel zurückgewiesen. Als durchschnittliches Passwort identifizierten Adams und Sasse die Wahl einer sechs Zeichen langen Buchstabenfolge gefolgt von zwei Ziffern. Einige ausländische Benutzer bedienen sich bei der Erstellung ihrer Passwörter vorzugsweise ihrer Muttersprache, die sie angesichts englischsprachiger Wörterbuchattacken als sicher betrachten.

Im Allgemeinen stellten Adams und Sasse fest, dass Anwender nur die notwendigsten Bemühungen aufbringen, die von Systemen durch die Verwendung sicherheitsrelevanter Einschränkungen vorausgesetzt werden. Erforderliche Änderungen des Passwortes auf Grund begrentzter Gültigkeit haben meist nur den Einsatz einer Variation alter Passwörter zur Folge und verhindern damit den beabsichtigten Effekt, das System durch neue Kennwörter sicherer zu gestalten. Gerade bei Systemen, die zur regelmäßigen Änderung des Passwortes zwingen, entwickeln Benutzer häufig ihre eigenen Strategien oder Schemata zur Erstellung 'verwandter' bzw. ähnlicher Passwörter. Das Anhängen von Ziffern für den aktuellen Monat oder die Version bzw. Nummer des Passwortes gehört zur gebräuchlichsten Vorgehensweise.

Das Erinnern an Kennwörter, deren Einsatz oder sogar Verlust betrachten alle Teilnehmer der Umfrage als sehr problematisch. Einhergehend äußern viele Anwender den Wunsch [#!A1!#], die Sicherheit des Systems zu reduzieren. Dennoch spricht sich die Mehrzahl der Benutzer gegen die Verwendung alternativer Authentifizierungsmechanismen aus, die mit neuen und schwieriger zu umgehenden Problemen verbunden werden. Während sich der Verlust des Passwortes durch Notieren einschränken lässt und Bemühungen zum Erlangen neuer Anmeldedaten verhältnismäßig gering sind, befürchten die meisten Benutzer die Folgen des Verlusts von Authentifizierungskarten oder Unzuverlässigkeit biometrischer Systeme. Ebenso verhindern alternative Mechanismen meist, Benutzerkonten gemeinsam zu benutzen, was viele Anwender als eine übliche und gängige Maßnahme betrachten und entgegen gewöhnlicher Nutzerbedingungen ausüben. Mitarbeiter eines Unternehmens machen ihre Passwörter Kollegen daher unbedacht bekannt, unter dem Kontext einer gemeinsamen Arbeitsleistung, Teamarbeit und dem Austausch von Informationen und Ergebnissen. Eigene, geheime Passwörter werden deshalb als unpraktikabel und hinderlich bei der Zusammenarbeit an gemeinsamen Projekten betrachtet, die zusätzliche Hürden erstellen und die Effizienz der Arbeit mindern.

Das tatsächliche Verhalten der Nutzer resümiert, steht es daher im krassen Gegensatz zur Empfehlung sicherer Passwörter und Implementierungen von Authentifizierungsmechanismen. Aufgestellte Regeln sowie Überlegungen zur Steigerung der Sicherheit werden in der Praxis kaum befolgt und durch best-practice-Erfahrungswerte ersetzt. Damit wird oftmals das Ziel verfolgt, den workflow durch praxisgerechtenËinsatz von Passwörtern zu optimieren - die sicherheitsrelevanten Anforderungen bleiben dadurch jedoch zurück. Doch nicht nur die Konstruktion der Passwörter, sondern auch die bereitwillige Angabe vertraulicher Daten oder sogar des Passwortes selbst sind keine Seltenheit. So gelingt es bereits durch direktes Fragen, Zugangsdaten in Erfahrung zu bringen [#!A13!#]. Moderne Methoden automatisieren diesen Prozess in Form von Pishing, indem Informationen nicht mehr gezielt erfragt werden, sondern der Erfolg durch die Vielzahl angeschriebener Nutzer entsteht. Auch diese Schwachstellen sind bei der Konstruktion sicherer Systeme zu berücksichtigen, um die Vertraulichkeit der Daten und das Funktionieren der Zugangsmöglichkeiten zu gewährleisten.