Virenscanner sind das Schlangenöl des 21 Jahrhunderts. Ich erlebe es Tag für Tag, dass diese unsäglichen Pseudo-Sicherheitstools das Leben von Herstellern lokaler Software zur Hölle machen.

• Virenscanner gaukeln dem Endnutzer Sicherheit vor, die sie nicht herstellen können.
• Virenscanner machen Software-Herstellern mit Fehlalarmen das Leben und Support zur Hölle.
• Virenscanner schmälern das Vertrauen von Endnutzern in die Hersteller von Software.
• Virenscanner verursachen Unmengen an Kosten durch Erzeugen von unnötigem Aufwand.

Mal ehrlich. Haben uns Virenscanner vor WannaCry bewahrt? Oder effektiv vor den ganzen Krypto-Trojanern beschützt? Nein. Die Sicherheit ist nur vorgegaukelt. Aktuelle Bedrohungen werden meist nicht erkannt. Und dennoch verdient diese Branche seit Jahrzehnten an der Angst und mit fadenscheinigen Argumenten und Erfolgen. Dabei schadet sie der Branche der Software-Hersteller massiv und gefährdet die ganze Gattung von lokaler Software sowie die Existenz vieler kleiner Hersteller.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Vor einiger Zeit hatte ich in meiner Firma das Problem, dass Nutzer sich über verschiedene Aspekte unserer Software beschwerten und zeitgleich bestimmte Anforderungen stellten, die genau die vorigen Dinge unmöglich machten. Die widersprüchlichen Anforderungen haben mich fast zu Weißglut getrieben. Das führte nach einer Weile dazu, dass ich das einmal aufbereitet habe und in ein Dokument überführte.

Es geht vor allem darum, dass die Nutzer bestimmte Anforderungen an die Benutzbarkeit und Einfachheit stellen. Soweit ist das ja nachvollziehbar. Im selben Moment wird aber nach Sicherheit verlangt, die am Besten auch NSA und alle anderen Geheimdienste vor unüberwindbare Hürden stellt.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Die Herausforderung

Vor einiger Zeit stand ich bei der Arbeit vor der Herausforderung, eine Erkennung der Passwort-Sicherheit zu entwickeln. Es ging darum zu bewerten, ob ein vom Nutzer eingegebenes Kennwort für uns sicher genug ist oder eben nicht. Als erstes habe ich die gängigen Verfahren angesehen. Meist geht es nach dem selben Schema:

Mindestens N Zeichen, davon mindestens Groß und Kleinbuchstaben, Zahlen, Sonderzeichen...

Genaugenommen variiert meist nur die minimum Anzahl geforderter Zeichen und die gewünschte Auswahl und Kombination der anderen Kriterien. Manchmal wird getrickst und es müssen mindestens 2 Zahlen verwendet werden etc.

Ich selbst fand diese Variante nicht ausreichend und gleichzeitig zu unsicher. Was ist mit diesem Passwort?

Donald+1

Es erfüllt schon alle Kriterien wenn N = 8 der oben vorgeschriebenen Regeln. Das ist sicher nicht im Sinne des Erfinders. Macht man die Regeln noch strenger, so kann der Nutzer kaum ein Passwort wiederverwenden. Ob die Nutzung des selben Passworts an verschiedenen Stellen jetzt gut oder schlecht ist, ist ein ganz anderes Thema. Aber der Nutzer ist auf jeden Fall schnell gefrustet, wenn er ein Passwort eintippt und der Algorithmus immer NEIN sagt.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!