Heartbleed, NSA und Bot-Netzwerke, die Anfang des Jahres 16 Millionen E-Mail-Adressen gestohlen haben: Online-Nutzer und ihre Online-Identität befinden sich ständig in Gefahr. Überall gibt es deshalb Bestrebungen das Internet sicherer zu machen – außer scheinbar bei Microsoft.
Im Rahmen einer neuen Studie empfiehlt der Windows-Konzern die Nutzung von schwachen, unsicheren Passwörtern. Während sich diese Empfehlung zunächst liest wie ein Witz, versuchen die drei Autoren der Studie ernsthaft zu erklären, warum es Sinn ergibt schwache Passwörter zu nutzen. Bewiesen haben sie mit diesen Zahlenspielchen aber vor allem eins: Wie weltfremd die Forscher in Microsofts abgeschotteten Labors eigentlich sind.
Microsoft betont zwar, dass unsichere Passwörter ein Sicherheitsrisiko darstellen, ganz besonders, wenn man die gleichen Passwörter auf mehreren Seiten nutzt.
Doch die Forscher argumentieren in ihrer englischsprachigen Studie damit, dass der Verlust des Passworts bei manchen Diensten weniger schlimm ist als bei anderen. Anders gesagt: Wenn ich die gleichen Passwörter auf Seiten nutze, die keine oder wenig vertrauliche Informationen beherbergen, habe ich den Kopf frei, um mir für die wichtigen Dinge des Lebens ein kompliziertes Passwort zu merken. Eine bestechende Logik, oder?
Meine erste Reaktion war eine andere: Was bewegt jemanden dazu, eine derart schwachsinnige Empfehlung auszusprechen? Denn es ist ein Rat, der den Nutzer in falscher Sicherheit wiegt. Bereits 1997 zeigte ein Professor der Carnegie Mellon University, dass es so etwas wie wenig vertrauliche Informationen nicht gibt. Schon mit einer Postleitzahl und dem Geburtsdatum kann man eine Person eindeutig identifizieren.
Die Aussage, dass schwache Passwörter bei manchen Diensten ausreichen, stellt den Nutzer daher vor eine unlösbare Entscheidung: Werde ich persönliche Daten angeben? Im Zweifelsfall wird der Nutzer immer zu einem einfachen Passwort greifen – schon aus Bequemlichkeit. Und was, wenn der Dienst sein Angebot später ausbaut? Werden Nutzer dann wirklich daran denken, das unsichere Passwort zu ändern? Wohl eher nicht.
Die Lösung sind Passwort-Manager
Die einzige Lösung, die neben einem ausreichenden Maß Sicherheit auch Bequemlichkeit bietet sind Passwort-Manager. Mit einem Passwort-Manager muss man sich nur ein Passwort merken. Dieses kann dann auch kompliziert und damit sicher sein. Den Rest übernehmen 1Password, LastPass, PasswordBox und Co. Die Programme erstellen automatisch für jede Seite ein sicheres Passwort und speichern diese in einer verschlüsselten Datenbank.
Dank Online-Speichern wie Dropbox und iCloud Drive stehen die Passwörter selbst auf dem Smartphone zur Verfügung. Ich selbst habe im Rahmen des Heartbleed-Problems dank 1Password 14 Passwörter in 19 Minuten geändert.
Wer auf Microsoft hört wird es irgendwann bereuen
Wer auf Microsofts gut gemeinten Dummrat hört, wird es daher am Ende bereuen. Bequemlichkeit wollen wir alle, aber zu glauben, dass unsichere Passwörter für unwichtige Seiten die Lösung sind, liegt falsch. Die Studie sollte man daher dahin packen, wo auch schwache Passwörter hin gehören: In den Papierkorb.
