Mitbestimmung bei Zugang mit Passwort und biometrischer Abfrage

[Petar T.]

Wenn wir ehrlich sind, gehen 99% der Fälle von Passwortdiebstahl auf Sabine zurück, die seit 25 Jahren dasselbe Passwort nutzt oder, da die böse IT eine Passwortrichtlinie einsetzt, das aktuelle Passwort auf einen Zettel schreibt, der wahlweise direkt unter der Tastatur oder in der obersten Schublade des Rollcontainers aufbewahrt wird.

[highperformer]

die seit 25 Jahren dasselbe Passwort nutzt

Wenn es 25 Jahre gehalten hat, ist es ja auch ausreichend sicher und Sabine hat es im Kopf. Wenn man alle drei Monate irgendwas kompliziertes erfinden muss, läuft es halt auf den Zettel raus. Das ist die einfache Realität.

Und beim Phishing-Angriff ist es egal, wie lange das Passwort schon im Einsatz war, da wird es nämlich innerhalb von Minuten missbraucht. Das Risiko kann man aber mit einem zweiten Faktor deutlich verringern.

Die Frage ist ja jetzt: Was ist die Zielsetzung? Lokale Biometrie zum Komfort bringt genau eines: Komfort. Sicherheit aber eher nicht.

[BAT]

Es gibt mehrere Grundversorgungen: Gas, Strom, Wasser. Inzwischen auch IT und letzere ist die Einzige, in der der Nutzer in den Vorhaltungsprozess als Tätiger mit eingebunden wird. Das mag bei Zugängen teils nicht anders - evtl. aber leichter - möglich sein, erstreckt sich aber viel zu oft auf das reine Laufenhalten des Systems. Das ist nicht Aufgabe des Anwenders.

[Warnstreik]

Wenn es 25 Jahre gehalten hat, ist es ja auch ausreichend sicher und Sabine hat es im Kopf. Wenn man alle drei Monate irgendwas kompliziertes erfinden muss, läuft es halt auf den Zettel raus. Das ist die einfache Realität.

Puh - ernsthaft? Gerade weil viele für alle möglichen Dienste im Netz dann dasselbe Passwort nutzen ist genau das nicht sicher. Es gibt Seiten, da kann man schauen ob seine Mailadresse irgendwo abgegriffen wurde - im schlimmste Fall das Standard-Passwort gleich mit. Es reicht aber eben auch, wenn man an den Mailaccount rankommt um alles andere einfach zurückzusetzen.
Für den Laptop (ohne Reisetätigkeit) muss es aber nicht zu kompliziert sein - aber auch hier ist ein regelmäßiger Wechsel angezeigt.

Und beim Phishing-Angriff ist es egal, wie lange das Passwort schon im Einsatz war, da wird es nämlich innerhalb von Minuten missbraucht. Das Risiko kann man aber mit einem zweiten Faktor deutlich verringern.

Der zweite Faktor ist tatsächlich das beste. Wenn bei einem Fishing-Angriff aber der LogIn (oft die Mailadresse) und das "Standardpasswort" abegriffen wird, kann man das gerne auch bei allen anderen Websites mal ausprobieren. Nicht so toll...

Die Frage ist ja jetzt: Was ist die Zielsetzung? Lokale Biometrie zum Komfort bringt genau eines: Komfort. Sicherheit aber eher nicht.

Gegen unautorisierten Zugriff ist lokale Biometrie schon ziemlich gut. Oft ist es aber nur eine von 3 Optionen, dann macht es wenig Sinn. Ist es zwingend ist es lokal schon der zweite Faktor.

[highperformer]

Puh - ernsthaft?

Teil-Ernsthaft Es ist letztlich eine Sache der Abwägung und der Zielsetzung. Wie gesagt, alle drei Monate irgendwas krudes mit Passwort-Richtlinien erzwingen führt halt genau zu der Sache mit dem Zettel unter der Tastatur und wer weiß wo, wenn man das Passwort im Homeoffice auch braucht.

Die Frage ist, was mit der beruflichen/dienstlichen Mailadresse im Netz so gemacht wird. Im Idealfall wird sich damit gar nicht irgendwo registriert oder den Leuten wird beigebracht, zumindest das dienstliche Passwort nicht extern zu verwenden. Erfolgsaussicht natürlich fraglich.

Wenn man denn unbedingt Biometrie vermeiden möchte als Personalrat, gibt's mit TOTP durchaus eine Option, die jeder auf seinem Handy laufen lassen kann. Finde ich grundsätzlich auch besser als lokale Biometrie, denn effektiv ist Biometrie ein kompliziertes "trust me, bro" seitens des Clients gegenüber dem Server