Mal wieder an die Basis..
Gespräche mit Anwendern sind in aller Regel interessant und manchmal sogar ein deutlicher Fingerzeig. So habe ich mir erst kürzlich erzählen lassen , wie sehr eine Arbeitnehmerin doch von den Vorgaben zu Kennwörtern im Unternehmen genervt ist.
Meine erste Reaktion wäre eine Beinahe-Vorlesung zum Thema Sicherheit, Kennwörter und so weiter gewesen. Wie der Zufall es will, habe ich doch erst einmal versucht, zu verstehen was da Stein des Anstoßes war.
Kurzum die Mitarbeiterin hatte sich mehrere Kennwörter zu merken z.B. eines für den Desktop-Zugriff, ein anderes für den Remote-Zugriff auf den Konzern-Server.
Besonders schlimm fand die gute Frau, dass sie regelmäßig neue Kennwörter zu vergeben hat, die allerdings nicht mit den letzten 20 Kennwörtern übereinstimmen dürfen: "Wer merkt sich denn 20 Kennwörter? " so ihre berechtigte Anmerkung.
Das Ganze lässt mich grübeln – wozu führen eigentlich restriktive Kennwort-Regeln und die Notwendigkeit mehrere Kennwörter zu haben? Zu mehr Sicherheit? Nein, ich denke eher zum gegenteil. Anwender neigen in dieser Situation eher dazu wenig anspruchsvolle Permutationen ihres "Standard-Kennworts" zu nehmen: "0108"; 0209, usw.
Die Kennwort-Politik eines Unternehmens muss sich zuerst an den Erfordernissen der Anwender und dann erst an den Sicherheitserfordernissen des Unternehmens orientieren.
Ein umgekehrter Weg, erscheint logischer führt aber bei näherem Betrachten zum Gegenteil.
Wir müssen den Anwendern erklären, worum es geht und wann immer möglich wenige Kennwörter verlangen. um sicherzustellen, dass sie auch verantwortungsbewusst genutzt werden. Unter Umständen sollte man den Anwendern sogar ein paar Tricks für die Bildung sicherer, aber leicht zu merkender Kennwörter an die Hand geben. Wenn wir es vorleben und auf die Anwender zugehen und nicht nur "vorschreiben", dann führt das eher zum Erfolg.