Starke Passwörter sind essenziell, um Konten und Daten effektiv zu schützen. Doch um einen adäquaten Schutz zu bieten, bestehen sie oftmals aus Konstrukten, die sich nur schwer merken lassen. Folgt dann im regelmäßigen zeitlichen Abstand die Aufforderung, das Passwort zu ersetzen, wird es schnell lästig. Wie dem entgegengewirkt werden kann, erläutert Tom Haak, CEO von Lywand.
Was für Kriminelle die Eintrittskarte in Unternehmensumgebungen bedeuten kann, betrachten deren Besitzer eher als ein notwendiges Übel im Büroalltag: Passwörter. Sie werden angesichts der Vielzahl an Anwendungen, bei denen Nutzer angemeldet sind, als unbequem empfunden. Denn ihre Vergabe ist mit einigen Hürden verbunden. Aufgrund der Sicherheitsanforderungen brauchen sie eine gewisse Länge, Abwechslung in der Groß- und Kleinschreibung sowie den Einsatz von Zahlen und Sonderzeichen. Die zulässigen Zeichen-Konstrukte sind derart abstrakt, dass man sie sich keineswegs so einfach – wie z. B. den Namen des eigenen Haustiers – merken kann. Vergisst man das erforderliche Passwort, muss man den Zurücksetzungsprozess durchlaufen und ein neues vergeben, was häufig als umständlich empfunden wird. Alles in allem ist die Benutzererfahrung, was Passwörter anbelangt, nicht ideal.
Vermeidungsstrategien
Es überrascht daher wenig, dass Anwender Strategien wählen, um Unbequemlichkeiten zu vermeiden. Beispielsweise, indem sie dasselbe Passwort immer wieder in sämtlichen neuen Anwendungen verwenden. Oder sie wählen, sofern die Eingabevorgaben es erlauben, ein Passwort, das zwar schwach konstruiert ist, sich aber gut merken lässt.
Egal ob schwach oder stark: In der Regel ändern Nutzer ihre Passwörter äußerst ungern. Wie wir herausgefunden haben, gilt dies insbesondere für Webservices: Anwender lassen das Passwort – oftmals handelt es sich um das generische Standardpasswort für die Erstanmeldung – von ihrem Browser speichern, um sich künftig mit nur einem Klick anmelden zu können. Von diesem Zeitpunkt an bleiben die Zugangsdaten in der Regel über Jahre unverändert.
Die Benutzererfahrung muss mitgedacht werden
Kurios daran ist: Die Empfehlungen und Maßnahmen einer guten Passworthygiene – starke Kennwörter für jede Anwendung, sichere Verwahrung, eine Änderung in regelmäßigen Abständen, das Aktivieren der Multi-Faktor-Authentifizierung (MFA), der Einsatz von Passwortmanagement-Tools – sind allen Unternehmen und Anwendern geläufig. Und dennoch sind in der Realität alle bereit, Abstriche zu Gunsten ihres Komforts zu machen, was jedoch letztendlich zu Lasten der Sicherheit geht.
Um dieser Entwicklung entgegenzuwirken und nicht Gefahr zu laufen, dass eingerichtete Passwortverfahren letztendlich mehr umgangen als befolgt werden, kann es Unternehmen helfen, die Benutzererfahrung mitzudenken und das Feedback ihrer Angestellten einzubeziehen:
- Welche Mitarbeiter benötigen wie häufig Zugriff auf welche Anwendungen?
- Wann haben sie in ihren täglichen Abläufen geeignete Zeitfenster, um sich in Ruhe mit der Neuvergabe von Passwörtern für ständig genutzte Anwendungen auseinanderzusetzen?
Auf dieser Grundlage lassen sich praktikable Regeln aufsetzen. Zusätzlich kann man seine Mitarbeiter anregen, kreativ zu werden. Beispielsweise ergeben schöne persönliche Erinnerungen, als Satz formuliert, auf einzelne Buchstaben eingekürzt und mit Zahlen und Sonderzeichen angereichert, starke Passwörter – die aufgrund des persönlichen Bezugs auch einfacher zu merken sind. Haben Unternehmen einen Überblick über die Workflows ihrer Mitarbeiter gewonnen, können sie darüber nachdenken, inwieweit sie diese mit geeigneten Tools, z. B. Passwort-Generatoren oder Passwort-Manager, unterstützen können. Für kleine Unternehmen kann es zudem sinnvoll sein, die Maßnahmen zur Passworthygiene in einer Betriebsvereinbarung festzuhalten. Damit lässt sich ein Prozess etablieren, der Benutzererfahrung und Sicherheitsstandards miteinander in Einklang bringt.
Quelle: Lywand