Für die Katz: Sicherheitsratschläge

Dass Anwender oftmals Ratschläge zu sicheren Passwörtern und Schutz vor Phishing in den Wind schlagen, hat nach Meinung von Cormac Herley von Microsoft Research einen einfachen Grund: Aufwand und Nutzen stehen in keinem vernünftigen Verhältnis zueinander. Somit sei es eigentlich ganz rational, dass Anwender die Regeln nicht befolgten. Während die Ratschläge beispielsweise zu Passwörtern sehr konkret seien, sei die damit verbundene Verbesserung eher spekulativ – und verspräche oftmals auch zuviel.

In seinem Thesenpapier "So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users" nennt Herley die Regeln zum Umgang mit Passwörtern als ein Beispiel. Ein Passwort soll lang sein, Zahlen und Sonderzeichen enthalten, in keinem Buch stehen, oft gewechselt werden und nicht niedergeschrieben werden. Das verkompliziere den Umgang mit Passwörtern erheblich während es gegenüber heutigen Angriffen per Phishing und Keyloggern keinen Schutz biete und Brute-Force-Angriffe nur noch selten auftreten und ohnehin von vielen Webseiten verhindert oder ausgebremst würden.

Auch die "Oft-Wechseln"-Regel helfe etwa nur dann, wenn der Angreifer nach dem Ausspähen des Passwortes wochenlang warte, um es zum Zugriff einzusetzen. Selbst die Empfehlung, dasselbe Passwort nicht auf mehreren Webseiten einzusetzen, bringt Herleys Ansicht nach nicht viel Sicherheitsgewinn. Tipps zum Erkennen von Phishing-Seiten findet der Microsoft-Forscher genauso überflüssig. Das Prüfen von URLs in der Adresszeile des Browsers nach Phishingmerkmalen werde immer komplexer und Adressen wie www.paypal.com.evil.com und www.paypa1.com als betrügerisch zu erkennen, erfordere immer neue Hinweise. Da US-Banken in den meisten Fällen ohnehin den Schaden bei Phishing-Fällen übernehmen würden, hätte der Kunde also eigentlich nur Aufwand ohne Nutzen.

Auch die Regeln zum Umgang mit SSL-Verbindungen und wie man bei Fehlermeldungen umgehen soll, sei wenig hilfreich, da der Anwender zu oft auf legitime aber abgelaufene SSL-Zertifikate stoße, die eine Warnung produzieren. Darüber hinaus würde auch die Kontrolle, ob eine SSL-Verbindung bestehe, den Anwender oftmals unnötig misstrauisch machen. So würden manche Seiten den HTML-Inhalt unverschlüsselt ausliefern, während Formulare mit Kundendaten aber mit einem SSL-gesicherten POST-Request sicher auf den Server gelangen – was aber so im Browser nicht zu erkennen ist.

Das Problem mit den Ratschlägen ist laut Herley, dass sie sich oft am "Worst Case" orientierten, während die reale Bedrohung weit geringer sei. Ihm sei auch beispielsweise kein Fall bekannt, bei dem ein Bankkunde aufgrund des Ignorierens eines Zertifikatsfehlers Opfer einer Man-in-the-Middle-Atacke wurde und ihm auf diesem Wege Geld abhanden kam. Auch sei ihm nicht bekannt, dass durch das Niederschreiben eines Passworts, jemals ein Zugang zu einem System kompromittiert worden sei.

Zwar stehen Herleys Ansichten den allgemeingültigen Empfehlungen offenbar entgegen, dennoch finden sie durchaus Anklang. Krypto-Guru und Sicherheitsspezialist Bruce Schneier sieht Parallelen zur eigenen Meinung. Gervase Markham von der Mozilla Foundation und führender Bugzilla-Entwickler stimmt Herley in seinem Blog ebenfalls zu. Gefordet seien nun unter anderem leicht erkennbare Merkmale, ob eine Webseite die richtige sei. EV-SSL-Zertifikate könnten dies seiner Meinung nach bieten. (dab)