Ich musste heute mein Passwort ändern. Mal wieder. Wie immer nach 90 Tagen. Denn das schreibt die Benutzerordnung des Rechenzentrums vor. Eine Regelung, die meiner Erfahrung nach nicht nur nervig ist, sondern tatsächlich die Passwortsicherheit der Universität gefährdet, auch wenn sie vielleicht gut gemeint ist.
Alle, die sich mit IT-Sicherheit befassen, fordern von den Nutzern, dass sie komplizierte Passwörter wählen. Passwörter, die nicht in einem Wörterbuch stehen (sonst wären sog. Wörterbuchangriffe möglich), die Groß- und Kleinbuchstaben sowie Ziffern und nach Möglichkeit Sonderzeichen enthalten, die keinerlei Bezug zu den entsprechenden Personen aufweisen (also beispielsweise keine Autokennzeichen) und auch sonst in jeder Hinsicht schwer (oder unmöglich) zu erraten sind. Leider sind sie damit auch in der Regel schwer (oder unmöglich) zu merken. Zudem werden die letzten n Passwörter oft vorgehalten und dürfen nicht erneut gewählt werden.
Damit man sich nicht regelmäßig eine Rüge abholt, weil man sein Passwort vergessen hat und einen (notwendigerweise) langwierigen Prozess zum Erhalt eines neuen durchlaufen muss, gibt es für die meisten Nutzer zwei Alternativen: entweder man notiert sich das schwer zu merkende Passwort an einem mehr oder weniger sicheren und geheimen Ort, oder man verzichtet auf die semantischen Kriterien bei der Passwortwahl und verwendet doch einfach den Vornamen des Partners kombiniert mit seinem Geburtsdatum – oder beides.
Die Probleme mit notierten Passwörtern sind offenkundig; jedoch ist dies möglicherweise (bei geeigneter Aufbewahrung der Notiz) die sicherere Variante. Schlimmer wird es bei der zweiten Gruppe. Da die Passwörter aber nicht nur einmal gelernt, sondern ständig neu gewählt werden müssen, gibt es Benutzer, die auf sehr einfache Schemata zurückgreifen: Beispielsweise wählt man ein Passwort „Sommersemester2013“. Das kann man sich aktuell gut merken. Und das nächste Passwort heißt dann einfach „Wintersemester201314“. Auf diese Weise kann man den Passwortwechsel verkraften und alle syntaktischen Anforderungen an das neue Passwort erfüllen. Jedoch ist dieses Passwort relativ einfach zu erraten und auch mit einem Wörterbuchangriff kann es gefunden werden.
Doch warum müssen Nutzer eigentlich so oft ihr Passwort wechseln? Wäre es nicht besser, wenn sie sich einmal ein starkes Passwort ausdenken und auswendig lernen?
Das einzige Problem, das statische Passwörter aufweisen, ist, dass sie jemandem, der es erfahren hat, permanenten (unbeobachteten) Zugriff ermöglichen. Doch ist dies nicht bei einfachen Mustern ebenfalls der Fall? Wenn ein Angreifer das Passwort „Sommersemester2013“ erfährt, kann er dann nicht auf zukünftige Passwörter schließen?
Wäre es mir gelungen, das Passwort eines Nutzers zu erfahren, den ich längere Zeit überwachen wollte, so würde ich als Angreifer zu einem Kniff greifen, der auch diese 90-Tage-Gültigkeit der Passwörter aushebelt: Ich würde das Passwort einige Wochen vor Ablauf nachts ändern. Und zwar so oft, bis ich das ursprüngliche Passwort wieder wählen kann. Das lässt sich auch automatisieren, da das Formular zum Ändern des Passworts nicht durch ein Captcha oder ähnliches geschützt ist.
Der Angriff bewirkt, dass der Benutzer einfach keine Aufforderungen zur Eingabe eines neuen Passworts mehr erhält. Diese würden ihm ansonsten 14 bzw. drei Tage vor Ablauf des aktuellen Passworts per E-Mail zugestellt werden. Ein Passwortwechsel dagegen löst keine E-Mail aus. Ein Nutzer würde höchstwahrscheinlich nicht auswendig wissen, wann sein Passwort eigentlich gewechselt werden müsste. Und fällt es ihm doch eines Tages auf, dass er dazu schon lange nicht mehr aufgefordert worden ist, dann wäre er vielleicht sogar dankbar, dass diese Regelung scheinbar nicht mehr existiert.
Offensichtlich bietet der erzwungene Passwortwechsel nicht die gewünschten Vorteile, er zieht aber eine ganze Reihe Probleme nach sich. Doch leider scheinen solche Richtlinien in Stein gemeißelt zu sein und eine Argumentation ist da kaum sinnvoll möglich.