IT-Sicherheit des 21. Jahrhunderts
Vom Passwort und seiner Peinlichkeit am Beispiel des Louvre.
Aber anders, als Ihr glaubt.
Donnert gerade wie wild durch die social media: Das Passwort für das Video-Überwachungssystem im Louvre war (Trommelwirbel): “Louvre”.
Herrlich lächerlich. Jeder regt sich auf.
Ob davon überhaupt eine Gefahr ausging und ein Angreifer das überhaupt hätte ausnutzen können und wie, steht nicht dabei. Sich blanko über das Passwort aufzuregen, ohne zu wissen, ob das überhaupt eine ausnutzbare Schwäche bedeutet, ist ungefähr genauso doof, wie ein solches Passwort zu wählen. Wenn man das beispielsweise nur aus dem ständig besetzten Wachraum überhaupt benutzen kann, ist das keineswegs so wild, wie sich das anhört.
Oder wenn das ohnehin funktionslos ist, weil die da ohnehin 24 Stunden dauerbesetzt und immer eingeloggt sind.
Das eigentliche Problem ist auch eher, in so einem Umfeld mit viel Personan überhaupt ein System zu verwenden, das ein Password hat, ist per se eine Fehlkonstruktion, und wenn alle Mitarbeiter das Passwort kennen, ist es auch egal. Dann kann man auch 1234 nehmen oder es auf die Tastatur schreiben. Das nun wieder merkt aber keiner der Medienschreiberlinge, die so gerne click-bait-Meldungen der Sorte „wie doof sind die denn“ bieten, weil man sich über so ein Passwort so herrlich aufregen kann.
Dass das Problem aber eher ist, da überhaupt etwas zu installieren, woran man sich mit einem Passwort, das alle kennen, einloggt, habe ich bisher in keiner der vielen Meldungen, die sich darüber lustig machen oder echauffieren, gefunden.
Das ist dann die Fraktion, die glaubt, dass das Passwort sicher ist, wenn mindestens eine Ziffer und ein Sonderzeichen drin sein muss. Die so einfache Regel braucht, über die man nicht nachdenken muss.
Ich war mal vor vielen, vielen Jahren auf der Schulung eines renommierten, bekannten Herstellers großer teurer Firewallsysteme. Total streng programmiert. Da konnte man nicht abc oder 123 als Passwort nehmen, die haben die Passwortrichtlinie auch für Demos und Tests durchgesetzt. Ziffer, Sonderzeichen, Großbuchstaben muss sein.
Die Mitarbeiter des Herstellers sagten deshalb, dass sie für alle Test- und Demoaccounts immer das Passwort Alk5%Vol verwenden, weil das mal auf irgendeiner Feierflasche stand, sie das aus Spaß eingegeben haben, das alles Passwortanforderungen erfüllte und sie seither dabei geblieben sind, weil man sich das so gut merken kann.
Nicht (nur) das Passwort „Louvre“ ist bullshit – sondern der Umstand, dass man überhaupt ein Passwort für alle setzen kann, und man nicht nach Benutzername + Authentifikation unterscheidet und jeder sein eigenes hat, also gar nicht wissen kann und darf, was die anderen verwenden.
Ein ganz heftiges Problem an diesem Passwort ist nämlich keineswegs nur, dass es so simpel und leicht zu erraten ist. Sondern dass man daran erkennen kann, dass es auch nie gewechselt wurde. Man wird ja mit Sicherheit Personalfluktuation haben. Normalerweise muss bei jedem Abgang sichergestellt werden, dass alle Zugänge, die der Mitarbeiter kannte, gesperrt werden müssen. Und das hat man offenbar nicht getan, das ist ja eindeutig so ein ewiges Dauerpasswort.
Viel schlimmer, als dass das Passwort „Louvre“ heißt, ist, dass es immer noch „Louvre“ hieß, obwohl es da ja mit Sicherheit Bewegung in der Personalsituation gab.
Und deshalb ist deren Probleme auch nicht (so sehr), dass das Passwort „Louvre“ war – worüber sich gerne alle gerade so wohlig-laienhaft aufregen, sondern dass da überhaupt ein System eingesetzt wurde, das keine individuelle Authentifikation und damit auch keine Identifikation verwendete. Das aber verstehen die meisten schon nicht mehr.
Also: So einfach, wie sich das gerade alle vorstellen, die sich darüber lustig machen, ist es nicht.
Ihr macht es Euch zu einfach, wenn Ihr das für lächerlich haltet und meint, mit ein paar Sonderzeichen wär alles gut.