Passwortsicherheit – die wichtigsten Tipps im Überblick

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

In der Online-Welt sind Passwörter unumgänglich. Doch wie sicher sind Ihre Passwörter? Dem Thema Passwortsicherheit sollte entsprechende Aufmerksamkeit erteilt werden, denn ohne diese können sensible Daten schnell in falsche Hände geraten.

In diesem Newsletter Beitrag erläutern wir, welche Charakteristika ein sicheres Passwort aufweist, und wie Passwörter gecrackt und ausgelesen werden können.

Erstellung eines sicheren Passwortes

Grundsätzlich gibt es zwei entscheidende Faktoren – zum einen die Zeichenanzahl, zum andern die Einzigartigkeit des Passwortes. Bedenken Sie unsere nachfolgenden Schritte bei der Erstellung eines sicheren Passwortes und schützen Sie Ihre Daten!

1.    Starten wir mit dem Offensichtlichen. Die Todsünde der Datensicherheit sind Passwörter wie „12345“, „password“ oder „admin“. Auch wenn wir Serien wie beispielsweise jene, die sieben Königreiche behandelt und in welcher der Winter naht, überaus ansprechend finden, so sind „dragon“ oder auch „princess“ keine sicheren Passwörter. Hier finden Sie eine Auflistung der häufigsten Passwörter. Wir empfehlen im ersten Schritt sicherzustellen, dass unter keinen Umständen ein Passwort gewählt wird, welches hier aufscheint. 

2.    Ein sicheres Passwort sollte eine Länge von mindestens acht Zeichen umfassen. Es gilt jedoch, je länger desto besser, da die benötigte Zeit, um ein Passwort beispielsweise durch die Brute Force Methode zu knacken, erhöht wird. Dasselbe gilt für die Verwendung von Sonderzeichen und Zahlen – je mehr desto besser. Wir empfehlen besonders wichtige Accounts mit 20 Zeichen langen Passwörtern zu schützen.

Doch welche Vorgehensweise ist bei der Erstellung dieser Passwörter zu empfehlen? Ist ein Passwortmanager im Einsatz, empfiehlt sich die automatische Generierung und anschließende Ablage in diesem. Ist eine solche Software nicht im Einsatz, kann mittels Merksätzen Abhilfe geschaffen werden. Sichere Passwörter können schwer merkbar sein, dennoch sollten Sie sich Ihre Kennwörter nie aufschreiben. Der Zettel könnte in falsche Hände geraten. Es werden Passphrasen empfohlen, die so nicht in Wörterbüchern auftauchen. Das Passwort "JsjAtm3TK,dsmsna!" könnte beispielsweise mit folgendem Merksatz verbunden sein: Johanna startet jeden Arbeitstag mit 3 Tassen Kaffee, davor sollte man sie nicht ansprechen! Dieser Satz dient natürlich nur als Beispiel und hat keinerlei Bezug zur Realität.

3.    Ist das gewählte Passwort erstmal sicher, ist es wichtig, dass nicht ein identisches Passwort für jede Plattform verwendet wird. Ein Leak auf einer Webseite kompromittiert auch das sicherste Passwort, wenn man es dort nutzt. Passwortvielfalt stellt sicher, dass nicht sämtliche Konten betroffen sind. Daher empfehlen wir, für jede Plattform unterschiedliche Passwörter zu verwenden. Kleine Anpassungen in der oben erwähnten Passphrase können das Merken dieser vereinfachen.

4.    Lässt ein Service oder eine Plattform ausschließlich Kennwörter mit geringeren Sicherheitskriterien zu, so sollte deren Nutzung überdacht werden. Wobei hier das bestehende Risiko abgeschätzt und die Kritikalität der betroffenen Daten betrachtet werden sollte.

5.    Sowohl im privaten wie auch im beruflichen Umfeld empfiehlt sich die Zwei-Faktor-Authentifizierung. Die klassische Formel lautet „Etwas, das man hat“ (Einmal-Passwort) in Kombination mit „Etwas, das man kennt“ (Nutzername & Passwort) oder etwas das man ist (Fingerabdruck & Face ID). Zusätzlich zur Identifikation mit Nutzername und Passwort muss sich der User beispielsweise mit einem Einmal-Passwort ausweisen. Dieses verliert nach einem gewissen Zeitraum seine Gültigkeit. Werden nun Zugangsdaten gestohlen, können Unbefugte so nicht zu schützenswerten Daten vordringen.

6.    Sind Passwörter sicher, ist es wenig sinnvoll diese laufend zu ändern. Unternehmen verfolgen teilweise die Strategie, User regelmäßig zur Kennwortänderung aufzufordern. Das sei häufig kontraproduktiv, erklärt das NIST (National Institute of Standards and Technology). Muss das Passwort in zu hoher Frequenz geändert werden, neigen die Nutzer dazu, einfache Passwörter zu vergeben, um sich diese auch merken zu können und somit sind sie für Angreifer schneller abgreifbar. Wird ein User oder das Unternehmen Opfer einer Cyberattacke, so ist ohne Zeitverzug eine sofortige Änderung von Passwörtern vorzunehmen.

7.    Angesichts unserer bisherigen Empfehlungen ist klar, dass sich eine Passwortstrategie mit unterschiedlichen, komplexen und kreativ gewählten Kennwörtern ohne entsprechende technische Unterstützung nur schwer in den Arbeitsalltag integrieren lässt. Wir raten daher zum Einsatz von Passwortmanagern, die häufig nicht nur Passwortsicherheit sicherstellen, sondern auch das Generieren sicherer Kennwörter unterstützt. Auch wir setzen diese Maßnahme intern um und können davon aus unseren Erfahrungen mit zahlreichen persönlichen aber auch Unternehmens- und Kundenkennwörtern nur Positives berichten. Die zentrale Ablage mindert den administrativen Aufwand und unterstützt die Vermeidung von Chaos. 

8.    Eine Möglichkeit die Sicherheit eines Passwortes zu überprüfen, bietet der Passwortcheck von Experte.de. Dazu geben Sie ein Passwort ein. Anschließend wird überprüft, wie lange ein Computer im Durchschnitt benötigen würde, dieses zu knacken. Im Zuge von Datenpannen und Hackerattacken sind Millionen von Passwörtern öffentlich geworden. Diese können nun von Angreifern für Wörterbuchangriffe genutzt werden. Der Passwort Check überprüft daher auch, ob das eingegebene Passwort in der Vergangenheit von einer Datenpanne betroffen war.

9.    Zusätzlich empfehlen wir, Ihre Anmeldeinformationen regelmäßig auf Kompromittierung zu überprüfen. Dazu eignet sich Have I Been Pwned. Hierbei handelt es sich um eine Website, die es Internetnutzern ermöglicht, zu kontrollieren, ob ihre persönlichen Daten durch Datenpannen kompromittiert wurden. Der Dienst sammelt und analysiert Hunderte von Datenbank-Dumps, die Informationen über Milliarden von geleakten Konten enthalten und ermöglicht es Benutzern, nach ihren eigenen Informationen zu suchen, indem sie ihren Benutzernamen oder ihre E-Mail-Adresse eingeben. Benutzer können sich auch anmelden, um benachrichtigt zu werden, wenn ihre E-Mail-Adresse in zukünftigen Dumps auftaucht. 

Attacken

Cyber-Attacks gibt es zahlreiche. Im Folgenden beschreiben wir zwei Vorgehensweisen, die besonders verbreitet sind. 

Brute-Force-Attack

Eine beliebte Methode, Passwörter zu entschlüsseln, ist die so genannte Brute-Force-Attacke. 

Bei dieser Art von Attacke erfolgt das Ausprobieren (Trial and Error) verschiedener Schlüssel, um Passwörter zu entschlüsseln. Vergleichbar ist dies mit einem Einbruch in einen Tresor. Auch hier werden viele mögliche Kombinationen ausprobiert. 
Bei der Brute-Force-Attacke ist der Einsatz automatisierter Tools ausschlaggebend, um verschiedene Kombinationen aus Benutzernamen und Passwort zu generieren, bis die richtige Kombination gefunden ist. Wurde das Passwort nach den zuvor genannten Kriterien erstellt, dauert es in der Regel sehr lange, die richtige Eingabe zu finden.
Bei der Brute-Force-Attacke gibt es diverse Vorgehensweisen. Eine Möglichkeit, möglichst schnell zusammengehörige Kombinationen aus Benutzernamen und Passwort zu erraten, ist die Credential Recycling Methode, bei der Benutzernamen und Passwörter aus früheren Angriffen verwendet werden. Eine weitere Methode ist die Reverse-Brute-Force-Methode, hierbei ist dem Angreifer das Kennwort bekannt, nicht aber der Benutzername. Der Hacker folgt dann dem gleichen Muster wie bei einem normalen Brute-Force-Angriff, um den richtigen Benutzernamen zu finden.

Dictionary Attack

Bei einer Wörterbuch-Attacke wird das Ziel verfolgt, über die Verwendung von Passwortlisten ein unbekanntes Passwort zu ermitteln. Geeignet ist die Methode immer dann, wenn von der Verwendung von Passwörtern mit sinnvollen Zeichenkombinationen ausgegangen werden kann. Mit dieser Methode ein Passwort wie „dMSJnsdkvfls7!“ zu erraten, ist äußerst unwahrscheinlich. Anders verhält es sich bei einem Passwort wie „Sonnenblume“. Bei einem Angriff wird die Wortliste so lange systematisch durchprobiert, bis das Passwort geknackt ist.
Viele Unternehmen schützen ihre Systeme bereits mit technischen und organisatorischen Maßnahmen gegen diese Attacke. So sind beispielsweise Wörter aus Wörterbüchern oder auch der eigene Name im Passwort organisatorisch mittels einer Arbeitsanweisung untersagt. Zudem besteht die Möglichkeit derartige Passwörter technisch zu verbieten.

Unsere Empfehlung

Legen Sie Unternehmenskennwörter und private Passwörter in jeweils eigene Passwort-Safes, verwenden Sie sichere Passwörter und hinterlegen Sie keinesfalls ein und dasselbe Kennwort in unterschiedlichen Portalen. Auch darf niemals ein Firmenpasswort für private Zugänge verwendet werden. Unternehmenskennwörter gehören in ein zentrales Passwort-Managementsystem mit granularen Berechtigungseinstellungen, denn Firmenkennwörter gehören dem Unternehmen und nicht dem Benutzer. UND führen Sie eine Zwei-Faktor Authentifizierung ein.

Sollten Sie diesbezüglich Unterstützung benötigen, so können unsere IT-Experten eine passende Lösung für Sie bereitstellen.