Was kosten uns sichere Passwörter?
11.10.2016 - Security / Datensicherheit geht uns alle an. Aber um welchen Preis?
Compliance- und Security-Guidelines werden in der Zwischenzeit in fast allen Unternehmen entwickelt und angewendet. Ab und zu meines es die Security-Abteilungen aber leider zu gut: Es werden zum Schutz der Daten Unmengen an Richtlinien entwickelt, aber was bedeutet das in der Praxis?
Folgender Blog Eintrag zeigt anhand einer fiktiven Geschichte, wie es vielleicht auch Ihnen schon mal ergangen ist:
https://therockjack.com/2016/09/20/how-changing-your-password-sucks/
Der Preis der Sicherheit
Oftmals denken wir bei den Kosten für Datensicherheit nur an die unmittelbar entstehenden Kosten:
- für Verschlüsselungssoftware
- mehr CPUs, die es für die Verschlüsselung braucht
- Administratoren für das Einrichten von sicheren Verbindungen
- und noch einiges mehr.
Dabei entstehen an anderer Seite ebenfalls Kosten, die in den meisten Fällen nirgendwo aufscheinen:
- Helpdesk Calls für Password Resets
- Mitarbeiterzeiten beim Password-Reset
- "Stehzeiten" von Mitarbeitern aufgrund von Security-"Fallen"
Preis / Leistung
Es ist naturgemäß nicht einfach, alle Vorgaben unter einen Hut zu bringen. Manchmal helfen aber schon kleine Zugeständnisse an die Mitarbeiter, das Leben mit der Datensicherheit erträglich zu gestalten. So kann eine Password-Lifetime von 2 Monaten statt 2 Wochen schon zu einer merklichen Entspannung auf dem Arbeitsplatz führen. Zu kurze Password-Lifetimes führen in der Regel sogar dazu, dass die verwendeten Passwörter potenziell unsicherer werden:
- Die Benutzer beginnen, Patterns für die Passwörter zu verwenden, die möglichst wenig geändert werden.
- Jede Menge Post-Its auf dem Bildschirm
Links zum Thema
- Random-Passwörter gibt's hier: https://www.grc.com/passwords.htm
- Schneier on Security
- http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/
- Zum Schmunzeln - oder auch nicht: http://www.randalspangler.com/IMOrigPassword.html