Passwörter gehören zu der am häufigsten verwendeten Authentifizierungs-Methode. Jedoch stellt die Anzahl der Dienste mit einer Passwort-Authentifizierung die Benutzer vor eine große Herausforderung – nämlich die Handhabung von einer umfangreichen Menge an Passwörtern.

Viele Benutzer versuchen ihre eigenes Passwort-Management übersichtlicher zu gestalten, indem sie gleiche Passwörter für verschiedene Dienste verwenden. So muss sich ein Benutzer nur eine geringere Anzahl an Passwörtern merken. Aus Benutzerperspektive ist dies natürlich absolut nachvollziehbar. Aus sicherheitsperspektive ist von diesem Umgang natürlich aus mehrerer Hinsicht abzuraten.

Wie oft nutzen Benutzer ihre Passwörter mehrfach?

Wissenschaftliche Studien haben gezeigt, dass 50 bis 60 % aller Internetnutzer ihre Passwörter mehrfach verwenden. Das bedeutet, dass mehr als jeder zweite identische Passwörter bei verschiedenen Onlinediensten nutzt. Darüber hinaus ist natürlich auch die Menge an Passwörter interessant, die ein Durchschnittsbenutzer mehrfach verwendet. Es macht schließlich einen Unterschied, wie oft ein Benutzer die eignen Passwörter mehrfach verwendet. Nutzt ein Benutzer nur eines seiner Passwörter für zwei Dienste, stellt dies sicherlich ein kalkulierbares Risiko dar. Ganz anders sieht dies aber aus, wenn der Benutzer nur ein einzelnes Passwort für all seine Benutzerkonten einsetzt.

Ein Standardpasswort für alle Dienste zu verwenden birgt unüberschaubare Risiken, welche auch nur mit zeitlichen Aufwand beseitigt werden können. Sollte ein solches stark mehrfach verwendete Passwort an einer Stelle abhanden kommen, dann muss dieses überall da geändert werden, wo es verwendet wurde. Je nach der Menge an Benutzerkonten ist hierfür schon ein enormer Arbeitsaufwand notwendig, um beispielsweise überall das kompromittierte Passwort zu ändern. Ganz zu schweigen von den weiteren Risiken, die sich durch erweiterte Angriffsmöglichkeiten ergeben. So wird es Angreifern deutlich erleichtert Identitätsdaten zu missbrauchen und Identitätsdiebstahl zu begehen.

Auch wenn sich viele Benutzer darüber bewusst sind, dass Passwörter auf gar keinen Fall mehrfach verwendet werden sollten, so ist der wiederverwendete Anteil an Passwörtern alamierend. Ein durchschnittlicher Nutzer verwendet knapp 80 % seiner Passwörter mehrfach. Das bedeutet, dass die meisten eingesetzen Passwörter auch mehrfach verwendet werden.

 

Warum Passwörter nicht mehrfach verwendet werden sollten!

Beim vorherigen Artikel “Was ist ein sicheres Passwort” wurde die Problematik der Passwort-Wiederverwendung bereits erwähnt. Passwörter sollten nicht wiederverwendet werden, da dies gegen die grundlegende Idee der Passwortauthentifizierung spricht. Die Idee der Passwortauthentifizierung ist, dass zwischen dem Benutzer und dem jeweiligen Onlinedienst bei der Registrierung ein Geheimnis vereinbart wird und der Benutzer bei einer späteren Anmeldung durch die Eingabe des Geheimnisses nachweist, dass er der legitime Benutzer ist. Verwendet man nun ein Passwort mehrfach, teilt man nun das Geheimnis mit mehreren Diensten.

Als Benutzer lässt es sich nicht nachvollziehen, was ein Onlinedienst mit einem eingegebenen Passwort bei einer Registrierung oder Anmeldung macht. Gängig ist hier, dass ein Onlinedienst ein Passwort mit kryptografischen Verfahren schützt, um dies mit einem möglichst geringen Risiko weiter zu verarbeiten. Ob dies auch tatsächlich so umgesetzt wird, lässt sich durch die Benutzer nicht kontrollieren. Im Zweifel muss man davon ausgehen, dass jeder Onlinedienst die Möglichkeit besitzt, das eingegebene Passwort im Klartext einzusehen. Verwendet man nun ein Passwort bei mehreren Diensten, so sind die einzelnen Dienste in der Lage, sich bei den jeweils anderen Diensten mit dem bekannten Passwort anzumelden.

Bei diesem Szenario wird von einem betrügerischen Onlinedienst ausgegangen. In der Realität führen Datenlecks und Datenpannen häufig dazu, dass Passwörter bei dem betroffenen Onlinedienst abhanden kommen. Wenn das passiert, dann eignen sich die entsprechenden Benutzerpasswörter nicht mehr als Geheimnis, da beispielsweise Angreifer diese Geheimniss ebenfalls kennen. Um das Benutzerkonto wieder geeignet abzusichern, müsste ein neues Passwort gesetzt werden. Zusätzlich muss aber auch durch den Onlinedienst sichergestellt werden, dass es nur dem echten Nutzer möglich ist, ein neues Passwort zu setzen und nicht dem Angreifer. Dies wird meistens durch den Versand einer Verifizierungs-E-Mail umgesetzt.

Was ist aber, wenn das abhandene Passwort bei vielen weiteren Onlinediensten verwendet wurde? Dann ist nicht nur das entsprechende Benutzerkonto bei dem betroffenen Dienst kompromittiert, sondern auch alle Benutzerkonten mit dem gleichen Passwort bei anderen Onlinediensten. Gelingt es Angreifern, die Passwörter bei einem Onlinedienst zu stehlen, dann kann es es passieren, dass die erbeuteten Daten auch sehr schnell missbraucht werden. So kann es den Angreifern gelingen, mehrere Benutzerkonten eines Benutzers bei verschiedenen Onlinediensten unter Kontrolle zu bringen, so dass dann ein komplexer Identitätsdiebstahl begangen werden kann. Und dass alles bevor der Besitzer der Benutzerkonten überhaupt von dem Sicherheitsvorfall bei dem Onlinedienst erfahren hat.

 

Über den Autor:

Dr. Timo Malderle ist als wissenschaftlicher Mitarbeiter an der Universität Bonn in der Arbeitsgruppe für IT-Sicherheit tätig. In seiner Forschung beschäftigt er sich mit dem Schutz vor Identitätsdiebstahl. Zusammen mit seinen Kollegen entwickelt er ein Warnsystem, welches Unternehmen und Benutzer informieren soll, sobald die eigenen Identitätsdaten gestohlen und im Internet gehandelt werden.