Sicherheit

Von schwach zu stark: sichere Passwörter leicht gemacht

Passwörter sind unsere täglichen Begleiter und jeder, der mehr als ein Passwort zu verwalten hat, weiß wie schwierig der Umgang mit diesen ist. Viele Menschen nutzen deshalb häufig nur einfache Zahlenabfolgen, persönliche Daten in Kombination mit Zahlen oder Sonderzeichen oder Informationen aus dem persönlichen Umfeld. Als Passwörter sind diese häufig leicht zu merken, aber aus Informationssicherheitssicht kein effektives Schutzinstrument. Passwörter sind daher ein beliebtes Ziel für Cyber-Kriminelle, da diese leicht zu merkenden Passwörter, (leider) auch leicht zu entschlüsseln sind.

Cyber-Kriminelle haben in der Regel (digitale Werkzeuge), die automatisch verschiedene Zeichenkombinationen ausprobieren oder ganze Wörterbücher abgleichen. Zudem nutzen Cyber-Kriminelle Systeme, um bereits veröffentlichte Zugangsdaten bei verschiedenen (Online-)Diensten durchzutesten.

Für die Nutzung von IT-Services in Unternehmen sind Passwörter eine wichtige Sicherheitshürde, um den Zugriff auf Daten einzuschränken. Es ist wichtig, dass Passwörter bereits getroffene Sicherheitsmaßnahmen unterstützen und das im Unternehmen etablierte Sicherheitsniveau nicht infiltrieren. Um dies möglichst zu unterbinden, müssen Passwörter bestimmte Qualitätsanforderungen erfüllen. In Unternehmen lassen sich diese Anforderungen in Passwortrichtlinien festlegen. Dies kann organisatorisch über eine erlassene Richtlinie oder technisch über im System hinterlegte Passwortvoraussetzungen erfolgen (bspw. Default Domain Policy).

Das Bayerische Landesamt für Sicherheit in der Informationstechnik empfiehlt: „Generell sollten sich die Komplexitätsanforderungen von Passwörtern an den benötigten Rechten auf den IT-Systemen und in den IT-Anwendungen orientieren – je mehr Rechte benötigt werden, desto komplexer sollte das Passwort sein.“

Für Unternehmen bedeutet dies konkret,

  • dass Anmeldeinformationen im Unternehmen nicht an Dritte, Vorgesetzte oder Administratoren weitergegeben werden dürfen.
  • dass Passwörter, bei einem Verdacht auf Kompromittierung sofort geändert werden müssen, um eine Ausnutzung der Anmeldeinformationen zu vermeiden.
  • dass Beschäftigte für ihre geschäftlichen Accounts keine Anmeldeinformationen privater Accounts übernehmen dürfen. Jedes Passwort sollte nur einmal verwendet werden.
  • dass Passwörter nicht (physisch) am Arbeitsplatz hinterlegt werden dürfen und nur verschlüsselt gespeichert werden sollten (Passwortmanager, Passwortsafe).
  • dass geeignete Verfahren zum Zurücksetzen eines Passworts etabliert werden müssen (sichere Kanäle, Verwendung von Initialpasswörtern).
  • dass Beschäftigte im Umgang mit Passwörtern und Passwortsicherheit regelmäßig sensibilisiert werden müssen.
  • dass dort wo es systemseitig möglich und aus Informationssicherheits- und Datenschutzsicht notwendig ist zusätzlich eine Multi-Faktor-Authentifizierung eingesetzt wird.
  • dass nach mehrmaliger Fehleingabe des Passworts (fünfmal) der Zugang für einen definierten Zeitraum gesperrt bzw. die Verbindung zum Login abgebrochen wird.

Bei einem Cyber-Angriff sind nicht nur persönliche Daten und sensible Informationen in Gefahr, Cyber-Kriminelle können die „gehackten Accounts“ auch für eigene kriminelle Absichten und illegale Geschäfte nutzen. Um das zu verhindern, sollte ein Passwort bestimmte Anforderungen erfüllen und immer nur für einen Zugang genutzt werden. Denn ein sicheres Passwort kann es Cyber-Kriminellen erschweren in Systeme einzudringen.

Folgende Hinweise sollten bei der Erstellung eines Passworts berücksichtigt werden:

  • Das Passwort muss laut BSI mindestens acht bis zwölf Zeichen lang sein. Setzt man auf ein kurzes Passwort spielt die Komplexität des Passworts eine entscheidende Rolle. Dennoch gilt auch: je länger, desto besser. Ein langes Passwort, was ggfls. weniger komplex ist, ermöglicht dennoch einen sicheren Schutz.
  • Im Passwort sollten alle verfügbaren Zeichen verwendet werdet. Es kann sich um eine Kombination aus Großbuchstaben (A bis Z), Kleinbuchstaben (a bis z), Ziffern (0 bis 9) und Sonderzeichen: ! “ $ % & ‚ ( ) * + , – . / ; < = > ? { | } ~] @ .. handeln.
  • Das Passwort sollte keine persönlichen Daten, Namen oder die eigene Kennung enthalten. Es sollten, gerade bei kurzen Passwörtern, auch keine bekannten Wörter aus einem Wörterbuch verwendet werden – auch nicht von Fremdsprachen; bei Passphrasen sieht das anders aus.
  • Pro Zugang bzw. IT-Service muss ein individuelles Passwort vergeben werden. Passwörter sollte nicht mehrfach verwendet werden.
  • Voreingestellte Initial- oder Standardpasswörter müssen bei der ersten Nutzung durch ein neues Passwort ersetzt werden.

Umso mehr Dienste genutzt werden, umso schwieriger wird es sich alle Passwörter zu merken. Mit folgenden Methoden kann es leichter fallen sich Passwörter, auch ohne die Verwendung eines Passwortmanagers zu merken.

"Erster-Buchstabe-Methode"

 Man denkt sich einen Satz aus, den man sich gut merken kann und nimmt von jedem Wort den ersten oder einen markanten Buchstaben. Es sollte kein Satz verwendet werden, den Dritte leicht erraten können. Wenn man als Satz einen bekannten Spruch, eine Liedzeile oder ein Gedicht nimmt, sollte der Inhalt verfälscht werden.

„Ich muss mir selbst 1 tollen Satz ausdenken das hier 1st nur eines von 42 Beispielen.“

Das resultierende Passwort: Imms1tSa,dh1nev42B.

"Ganzer-Satz-Methode (Passphrasen)"

Passphrasen sind aufgrund ihrer Länge eine gute und sichere Alternative zu Passwörtern. Es handelt sich dabei um einen ausgeschriebenen Satz. Der sollte möglichst aus sinnlosen Phantasiewörtern bzw. zufällig aneinandergereihten Wörtern bestehen (ca. 30 Zeichen):

EM2024inSchlandmitNeuerJamalgie!

Kaffeeschmecktauchnach17Uhr.

Hilfreiche Informationen: Die folgenden Passwort-Checker geben Ihnen eine Einschätzung wie sicher Ihr Passwort ist. Wenn Sie diese Passwort-Checker verwenden, sollten Sie dort nur Fantasiepasswörter, und nicht Ihre Realpasswörter eingeben: https://wiesicheristmeinpasswort.de/ oder https://checkdeinpasswort.de/. Das Bundesamt für Sicherheit in der Informationstechnik hat ein Faktenblatt für die Verwendung sicherer Passwörter zusammengestellt. Dieses können Sie sich hier herunterladen.

KONTAKT

Wir freuen uns auf Ihre Kontaktaufnahme.

E-Mail info@berisda.de
Telefon +49 661 29 69 80 90