Passwortsicherheit

Einleitendes

Passwörter sind Bestandteil von Benutzerkonten (User-Accounts). Sie sollen die unberechtigte Nutzung von Benutzerkonten und den unbefugten Zugriff auf Dateien verhindern. 

In der privaten wie beruflichen Welt sind Passwörter nicht mehr wegzudenken. Eine Vielzahl von Anwendungen erfordern die Eingabe von Passwörtern. Sei es um sich am PC anzumelden, eine Onlineüberweisung zu tätigen oder Onlinedienste zu nutzen.

(Während Sie diese Einleitung gelesen haben, hätte ein Standard-PC Ihr 6-stelliges Passwort mit Groß- und Kleinschreibung sowie Zahlen (z. B. pYDbL6) bereits durch einfaches Ausprobieren herausgefunden.)

 

Passwörter sind ähnlich wie Schlüssel

In der „realen“ Welt erhalten wir mit unseren Schlüsseln Zugang z.B. zu unserer Wohnung, unserem Büro oder unserem Fahrzeug.

Hierbei achten wir als Schlüsselbesitzer darauf, dass

 

  • wir unterschiedliche Schlüssel für unterschiedliche Bereiche verwenden (Wohnung, Büro, Fahrzeug, …) 

  • wir möglichst „gute“ Schlüssel verwenden, welche sich nur schwer vervielfältigen lassen

  • wir die Schlüssel nicht verlieren.

 

Was würde geschehen, wenn Ihr Schlüssel verloren ginge oder wenn Sie den Schlüssel an eine andere Person weitergeben würden?

Wäre Ihr Besitz dann noch sicher? Würden Sie sich sicher fühlen?

Im Grunde genommen ist das Passwort der Schlüssel zu Ihrem persönlichen Benutzerkonto, Bankkonto, E-Mail-Postfach oder Online-Kundenkonto (z. B.: Kundenkonto eines Onlineshops oder Benutzerkonto eines Sozialen Netzwerks).

Daher sollten Sie möglichst gute Passwörter benutzen und mit Ihren Passwörtern sorgsam umgehen. Erlangen Unbefugte Kenntnis von Ihren Passwörtern, erhalten diese Zugang zu Ihren persönlichen Inhalten, ohne dass Sie zunächst etwas davon erfahren. 

 

  Ihre Passwörter sind Ihre persönlichen Geheimnisse.

  Geben Sie daher Ihre Passwörter niemandem preis.

  Weder Ihren Freunden noch Ihren Arbeitskollegen oder der IT-Abteilung Ihres Hauses.

 

Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html 

"Ein gutes Passwort

  • Es sollte mindestens zwölf Zeichen lang sein.
    (Ausnahme: Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren - das geht zum Beispiel beim Hacken von Online-Accounts nicht.)

  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.

  • Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.

  • Wenn möglich sollte es nicht in Wörterbüchern vorkommen.

  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.

  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

 Bitte beachten Sie: Wenn Ihr System Umlaute zuläßt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese evtl. nicht eingegeben werden können.

Passwörter notieren?

Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen.

Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Verwaltungsprogramm wie zum Beispiel keepass (Eine deutsche Sprachdatei für dieses englischsprachige Programm gibt es auf der Herstellerseite). Diese Programme können neben der Passwort-Verwaltung auch starke Passwörter generieren (berücksichtigen Sie bei den Einstellmöglichkeiten zur Passwortgenerierung unsere oben genannten Mindestempfehlungen). Sie müssen sich dann nur noch ein gutes Masterpasswort überlegen und merken.

Wie merkt man sich ein gutes Passwort?

Auch dafür gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen.

Hier ein Beispiel:

"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".

Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut. Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren.

Wichtig ist hierbei, dass sich der Benutzer des Passwortes den Satz selbst ausgedacht hat. Werden zum Beispiel die Anfangsbuchstaben eines Literaturzitates als Passwort gewählt, dann ist prinzipiell die Möglichkeit einer Wörterbuchattacke nicht viel unrealistischer, als wenn direkt ein Wort verwendet würde. Dies trifft natürlich insbesondere für weithin bekannte Zitate zu.

Grundsätzlich sinnvoll ist es immer, echten Zufall in den Prozess der Auswahl eines Passwortes zu integrieren. Zum Beispiel kann man durch den Wurf einer Münze entscheiden, ob ein "und" im zugrundeliegenden Satz durch ein u oder durch & dargestellt wird.

Passwörter regelmäßig ändern

Jedes Passwort sollte in regelmäßigen Zeitabständen geändert werden. Viele Programme erinnern Sie automatisch daran, wenn Sie das Passwort zum Beispiel schon ein halbes Jahr benutzen. Diese Aufforderung nicht gleich wegklicken – sondern ihr am besten gleich nachkommen! Natürlich ist es da schwer, sich alle Passwörter zu merken. Womit wir beim nächsten Punkt sind.

Keine einheitlichen Passwörter verwenden

Problematisch ist die Gewohnheit, einheitliche Passwörter für viele verschiedene Zwecke beziehungsweise Zugänge (Accounts) zu verwenden, also ein und dasselbe Passwort für das Online-Banking und für Soziale Netzwerke zu verwenden. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, hat der Angreifer freie Bahn für Ihre übrigen Anwendungen. Das können zum Beispiel die Mailbox oder alle Informationen auf dem PC sein.

Voreingestellte Passwörter ändern

Bei vielen Softwareprodukten werden bei der Installation (beziehungsweise im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit individuellen Passwörtern abzusichern.

Bildschirmschoner mit Kennwort sichern

Bei den gängigen Betriebssystemen haben Sie die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Diese Möglichkeit sollten Sie nutzen. Ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit des rechtmäßigen Benutzers Zugang zu dessen PC erlangen. Natürlich ist es ziemlich störend, wenn die Sperre schon nach weniger Zeit erfolgt. Unsere Empfehlung: 5 Minuten nach der letzten Benutzereingabe. Zusätzlich gibt es die Möglichkeit, die Sperre im Bedarfsfall auch sofort zu aktivieren (zum Beispiel bei einigen Windows-Betriebssystemen: Strg+Alt+Entf oder die Tastenkombination + L drücken).

Passwörter nicht an Dritte weitergeben oder per E-Mail versenden

In der Regel werden E-Mails unverschlüsselt versandt. Unverschlüsselte E-Mails können von Dritten auf ihrem Weg durch das Internet mitgelesen werden. Zudem können E-Mails im Internet verloren gehen oder herausgefiltert werden. Der Absender einer E-Mail hat daher keine Gewissheit, dass seine Nachricht den gewünschten Empfänger auch wirklich erreicht hat. Wenn Sie ihre Passwörter an Dritte weitergeben, verlieren Sie die Kontrolle darüber und Sie haben sich umsonst die Mühe für ein gutes Passwort gemacht."

 

Unser Tipp: Nutzen Sie Passwort-Verwaltungsprogramme

Wer die o.g. Ratschläge befolgt und möglichst unterschiedliche komplexe Passwörter verwendet und diese zudem regelmäßig ändert hat noch ein Problem: all diese Passwörter muss man sich merken.

Unterstützen kann hierbei die Verwendung eines Passwort-Verwaltungsprogramms.  

Mit diesen Programmen können neben der sicheren Aufbewahrung von Passwörtern auch sehr komplexe Passwörter generiert werden. 

Für den Zugang zum Passwort-Verwaltungsprogramm ist ein Masterpasswort erforderlich. Dieses ist sozusagen der Generalschlüssel zu allen Passwörtern. 

Die Passwort-Verwaltungsprogramme unterschieden sich hinsichtlich Funktionalität, Handhabung und Kosten.

Die einfachste Variante ist ein Passwort-Verwaltungsprogramm auf dem eigenen PC/Smartphone/Tabletcomputer. In diesem werden die eigenen Passwörter verschlüsselt abgelegt und können nach Eingabe des Masterpassworts angezeigt werden.

Manche Produkte bieten als Erweiterung hierzu die Einbindung in den PC-Internetbrowser an. Hierbei wird das Passwort-Verwaltungsprogramm per „Add-On“ eingebunden und ermöglicht es, dass die eigenen Passwörter nach Eingabe des Masterpassworts direkt in die entsprechenden Eingabefelder von Webseiten eingetragen werden.

Je nach Produkt besteht auch die Möglichkeit, je eine Installation auf dem PC und eine Installation auf dem Smartphone/Tabletcomputer durchzuführen und beide Programme per WLAN oder Cloud-Dienst zu synchronisieren. Somit werden neue Passwörter und Passwort-Änderungen zwischen den beiden Passwort-Verwaltungsprogrammen aktualisiert und man kann von verschiedenen Endgeräten auf seine Passwörter zugreifen. Hierbei ist darauf zu achten, dass diese Synchronisierung nur mit verschlüsselten Daten erfolgt.

Allen Programmen gemeinsam ist aber, dass sie nur so sicher sind, wie der programmierte Verschlüsselungsalgorithmus. 

Eine hundertprozentige Sicherheit gibt es nicht. Die Verwendung eines Passwort-Verwaltungsprogramms ist auf jeden Fall sicherer als die Nutzung von unsicheren Passwörtern.

Beispiele für Passwort-Verwaltungsprogramme

Nachfolgend ist eine Liste mit einer Auswahl von Passwort-Verwaltungsprogrammen aufgeführt:

Passworttest

Im Internet existieren einige Seiten, auf denen man seine Passwörter hinsichtlich Sicherheit testen kann, z. B.:

Diesen Test sollte man aus Sicherheitsgründen natürlich nicht mit seinen echten Passwörtern, sondern nur mit ähnlichen Passwörtern durchführen.

Kurzzusammenfassung

  • Achten Sie darauf, sichere Passwörter zu verwenden
  • Nutzen Sie unterschiedliche Passwörter für unterschiedliche Dienste
  • Ändern Sie Ihre Passwörter in regelmäßigen Abständen
  • Achten Sie darauf, dass Ihnen bei der Eingabe des Passwortes niemand zusieht
  • Geben Sie Ihre Passwörter niemals weiter (auch nicht an Freunde, Kollegen oder die IT-Abteilung Ihrer Arbeitsstätte) 
  • Speichern Sie Ihre Passwörter niemals unverschlüsselt auf dem PC oder in der Cloud oder kleben Sie diese niemals auf dem berühmten Notizzettel an den Bildschirm
  • Versenden Sie Passwörter nicht per unverschlüsselter E-Mail
  • Achten Sie bei der Nutzung von Online-Diensten auf eine verschlüsselte Eingabe von Passwörtern (https-Adresse)
  • Ändern Sie voreingestellte Passwörter nach der Erstanmeldung
  • Speichern Sie keine Passwörter in Ihrem Internet-Browser ab

Quelle

Download