Passwortsicherheit: 8 Tipps für sichere Passwörter

Komplexe Passwörter einzurichten und sie regelmäßig zu ändern ist heute keine Garantie mehr für Passwortsicherheit. Dieser Artikel erklärt, wie Sie heute Ihre Passwörter richtig wählen und schützen können, welche Tricks Cyberkriminelle auf Lager haben und warum eine Zwei-Faktor-Authentisierung so wichtig ist.

Passwortrichtlinien auf dem Prüfstand

Die klassische Passwortrichtlinie besagt: Ein Passwort sollte mindestens 8 bis 12 Zeichen lang sein, ein Administratorpasswort gar 16 Zeichen und mehr. Es sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten, denn der Zeichenmix bedeutet Komplexität. Und es sollte mindestens vierteljährlich geändert werden. Doch das allein ist heute kein Garant mehr für Passwortsicherheit.

Passwortsicherheit Tipps

So sieht es zumindest die US-Behörde für Standards und Technologie NIST (National Institutes of Standards & Technology), federführend für Cybersicherheit in den USA. Sie veröffentlichte bereits im Jahr 2015 ihre neuen Digital Identity Guidelines. Danach ist ein Passwort, das sich sklavisch an die alten Regeln hält, tendenziell sogar stärker gefährdet als eines, das dies nicht tut, aber zusätzlich durch Mehr-Faktor-Authentisierung abgesichert wird.

Warum? Weil Zeichenfolgen, die für uns Menschen komplex aussehen, für Computer ein Klacks sind. Die Befolgung der alten Passwortstrategie macht es Cyberkriminellen womöglich sogar noch leichter, Routinen zu schreiben, die Passwörter knacken können.

Angriffe auf die Passwortsicherheit: Die Tricks der Passwort-Hacker

Die folgenden Techniken werden von Cyberkriminellen am häufigsten genutzt:

Phishing und Social Engineering

Welches ist das unsicherste Passwort? Kommen Sie drauf? – In der Praxis ist es das Passwort, das Sie weitergeben! Phishing und Social Engineering sind die häufigsten Ursachen, wenn Passwörter kompromittiert werden. Beide sind Betrugstechniken, bei denen Sie unter Vorspiegelung falscher Tatsachen veranlasst werden, Ihr Passwort zu verraten. Phishing funktioniert mit fingierten Mails, beim allgemeineren Social Engineerinig kann Sie auch jemand persönlich, z.B. per Telefon, beschwatzen, Ihr Passwort herauszugeben.

Nach Erkenntnissen des NIST beruhen die meisten Attacken auf die Passwortsicherheit heute nicht mehr auf dem Erraten oder Knacken von Passwörtern, sondern auf Phishing und Social Engineering.

Passwortdatenbanken kompromittieren

Dann gibt es immer wieder Fälle, in denen Cyberkriminelle die Passwortdatenbanken von Firmen knacken, herunterladen und die Daten gewinnbringend verkaufen. Wenn Firmen schlecht gegen Passwortdiebstahl abgesichert sind, hilft Ihnen auch kein noch so komplexes Passwort.

Passwortraten

Das Passwortraten ist eine sehr bekannte Angriffsmethode. Dabei spielt eine Software nach dem Zufallsprinzip alle möglichen Zeichenkombinationen gegen eine Login-Seite, so lange, bis ein Treffer gefunden wird. Meistens werden häufig genutzte oder bekannte Passwörter zuerst ausprobiert. Die Cyberkriminellen profitieren dabei von schwachen Passwörtern, die entweder zu kurz oder zu leicht zu erraten sind.

Have I Been Pwned?

Machen Sie die Nagelprobe: Geben Sie Ihre E-Mail-Adressen in diese Seite ein: https://haveibeenpwned.com/ Diese prüft, ob Ihre Anmeldedaten schon im Internet veröffentlicht sind. Das geschieht, wenn eine Passwortdatenbank eines Unternehmens oder eines Onlinedienstes geknackt und heruntergeladen wird.

Es ist ein unangenehmes Gefühl, wenn die eigene E-Mail dabei abgegriffen wurde. Noch schlimmer ist es, wenn Sie Passwörter wiederverwenden oder gar nur ein einziges Passwort für alle Ihre Accounts benutzen. Ändern Sie schnellstens Ihre Passwörter und verwenden Sie keines zweimal! Neben haveibeenpwned können Sie übrigens auch den Identity Checker des deutschen Hasso-Plattner Instituts (https://sec.hpi.de/ilc/) nutzen.

Selbst wenn Ihr Passwort kompromittiert wurde, sind sie mit einer Zwei-Faktor-Authentisierung zunächst sicher. Denn diese schirmt Ihre Daten durch eine zweite Anmeldeschranke vor unbefugtem Zugriff ab.

Zwei-Faktor-Authentisierung

Die Zwei-Faktor-Authentisierung (2FA) ist so wichtig, dass wir sie noch vor der Frage behandeln, wie denn nun ein möglichst sicheres Passwort gestrickt sein sollte. Sie wird auch Zweistufige Überprüfung oder Anmeldung in zwei Schritten genannt.

Was ist Zwei-Faktor-Authentisierung?

Eine Zwei-Faktor-Authentisierung – manchmal auch Zwei-Faktor-Authentifizierung genannt – verwendet neben der üblichen Benutzernamen/Passwort-Kombination einen zusätzlichen Faktor, um Ihre Identität zu überprüfen. Drei Arten von Faktoren sind dabei üblich:

  1. Etwas, das Sie wissen: Sie geben ein zusätzliches Einmal-Passwort, eine PIN oder ein Identifikationsmerkmal ein, das nur Sie kennen.
  2. Etwas, das Sie sind: Sie identifizieren sich biometrisch, das heißt durch Fingerabdruck, Stimme oder Iris-Scan.
  3. Etwas, das Sie haben: Sie benutzen ein weiteres Gerät, zum Beispiel ein Smartphone oder eine Chipkarte, das Ihnen eindeutig zugeordnet ist.

Die beiden Faktoren, die Ihre Identität nachweisen, müssen aus unterschiedlichen Kategorien stammen, zum Beispiel Passwort (wissen) und Fingerabruck (biometrisch), PIN (wissen) und TAN-Generator (haben) usw.

Wobei ist Zwei-Faktor-Authentisierung besonders wichtig?

Für Accounts, bei denen es um sensible Daten oder Geld geht, ist die zusätzliche Sicherheit der Zwei-Faktor-Authentisierung unerlässlich.

Bei Online-Banking-Verfügungen ist sie bereits verpflichtend eingeführt. Doch auch Anbieter von Business-Software, wie Scopevisio, sowie Online-Shops, E-Mail-Programme und Social Media bieten häufig eine Zwei-Faktor-Authentisierung für ihre Kunden an. Es lohnt sich, in die verschiedenen Anmeldeoptionen hereinzuschauen.

Datenschützer empfehlen, die Zwei-Faktor-Authentisierung überall, wo sie verfügbar ist, einzuschalten.

8 Tipps für die Passwortsicherheit

Die folgenden Tipps für sichere Passwörter basieren auf Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des NIST:

1.      Passwörter – kurz und komplex oder lang und unkomplex

Länge und Komplexität sind immer noch wichtig. Ein Passwort gilt als sicher, wenn es

  • vier Zeichenarten und mindestens 8-12 Zeichen hat (kurz und komplex) oder
  • zwei Zeichenarten und 20 bis 25 Zeichen hat (lang und weniger komplex).

Je länger ein Passwort ist und je mehr verschiedene Zeichen es verwendet, umso besser bzw. sicherer ist es.

Kaum zu glauben: Laut einer Studie des britischen National Cybersecurity Centre ist das häufigste Passwort „123456“, das zweithäufigste „123456789“, das dritthäufigste „qwerty“ und an vierter Stelle kommt – „Password“.

Das Hasso Plattner Institut (HPI) hat 2021 eine Umfrage zu Passwörtern in Deutschland durchgeführt. Das erschreckende Ergebnis hier:

Passwörter TOP 10 2021

 

2.      Passwort-Manager benutzen

Wozu einen Passwort-Manager verwenden, wenn mir der Browser ebensogut meine Zugangsdaten pflegen und sichere Passwörter generieren kann? Ganz einfach: In einem Passwort-Manager verwalten Sie Ihre Passwörter an einer zentralen Stelle, sodass sie in jedem Browser und für jede App zur Verfügung stehen.

Mit einem Passwort-Manager generieren und verwalten Sie mühelos Hunderte von hochkomplexen, verschiedenen Passwörtern, ohne sie sich merken zu müssen. Sie benötigen lediglich ein einziges starkes Master-Passwort für den Zugriff auf den Passwort-Manager selbst. Das erhöht die Passwortsicherheit erheblich.

3.      Kreative Passwörter wählen

Das BSI empfiehlt ein gut zu merkendes Passwort für den Zugriff auf Ihren Passwort-Manager. Sie könnten einen Satz verwenden, der eine Zahl enthält. Fügen Sie die Anfangsbuchstaben der Wörter und die Zahl zusammen. Als Beispiel nennt das BSI den Satz: „Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!“ Daraus wird nach der obigen Vorschrift das Passwort AleiPm4Z+eK!

Wichtig ist, dass Sie Ihren Passwort-Satz selbst erfinden. Texte, die aus Liedern, Romanen oder Gedichten stammen, werden von Angreifern als erstes durchprobiert.

Mindestens 8 Zeichen sollte Ihr so generiertes Passwort haben; wenn WLAN-Verschlüsselung WPA2 oder WPA3 genutzt wird, sogar mindestens 20 Zeichen.

4.      Passwörter immer nur einmal verwenden

Wird ein Passwort gestohlen, das Sie für mehrere Online-Zugänge verwenden, dann sind alle diese Zugänge auf einmal kompromittiert. Der Angreifer kann mit Hacker-Tools automatisiert und in Sekundenbruchteilen durchtesten, für welche Accounts das gestohlene Passwort sonst noch verwendet wird.

Vergeben Sie deshalb eindeutige Passwörter. Mit den Passwort-Generatoren von Browsern und Passwort-Manager-Programmen können Sie einfach für jeden Nutzeraccount ein eigenes, starkes Passwort erstellen – und im Notfall ohne Mühe ändern.

5.      E-Mail-Konto besonders schützen

Hat ein Angreifer einmal den Zugriff auf Ihren E-Mail-Account, kann er sich für jeden Online-Zugang, bei dem Sie mit dieser E-Mail-Adresse angemeldet sind, ein neues Passwort geben lassen. Der Schaden für Sie kann sehr groß sein. Deshalb sollten Sie den Zugriff auf Ihr E-Mail-Programm mit einem extra-starken Passwort sichern und, wenn möglich, zusätzlich mit einem zweiten Faktor.

6.      Bildschirmschoner mit Passwort sperren

Um Ihre Passwörter in Abwesenheit zu sichern, schalten Sie bei Verlassen des Comupters den Bildschirmschoner ein. Das geht bei gängigen Betriebssystemen mit einer einfachen Tastenkombination. Stellen Sie ein Passwort ein, das man eingeben muss, um den Bildschirmschoner wieder zu entsperren. So können Sie auch sicherstellen, dass niemand Ihre wichtigen Dateien löscht.

7.      Passwörter unter Verschluss halten

Klingt einfach, wird aber oft vernachlässigt. Die gelbe Haftnotiz mit dem Passwort, die am Bildschirm oder unter der Tastatur pappt, ist schon legendär. Aber auch ein Zettel in der Schublade oder eine Liste von Passwörtern im Buchkalender, der in der Mittagspause offen herumliegt oder mit der Handtasche gestohlen werden könnte, ist keine gute Idee, wenn es um die Passwortsicherheit geht.

Geben Sie Ihre Passwörter niemals per E-Mail weiter. Wenn Sie ein Passwort per E-Mail erhalten, was häufig der Fall ist, wenn Sie sich erstmals bei einem Dienst einloggen, dann sollten Sie dieses Passwort sofort ändern, sobald Sie Ihren Account bei diesem Dienst erstellt haben. Passwörter sind etwas Persönliches und niemand außer Ihnen sollte sie kennen – nicht einmal Ihr IT-Administrator.

8.      Passwörter nach Sicherheitsvorfall ändern

Früher hieß es, dass Passwörter alle 30 Tage oder alle drei Monate geändert werden sollten. Das wird heute nicht mehr unbedingt empfohlen. Doch wenn ein Account von Ihnen kompromittiert wurde, dann ist es dringend geboten, das zugehörige Passwort zu ändern.

Cyberkriminelle greifen oft komplette Passwort-Datenbanken bei Firmen ab oder spähen die Anmeldedaten einzelner Nutzer aus. Diese Daten werden im Internet verkauft. Websites wie die oben erwähnten haveibeenpwned.com und HPI Identity Checker informieren darüber. Sie können sogar eine Warnmeldung für Ihre E-Mail-Adresse einstellen.

Finger weg von diesen Passwörtern

Um folgende, leider immer noch gebräuchliche, Passwörter sollten Sie einen großen Bogen machen:

  1. Begriffe aus Wörterbüchern. Passwort-Rateprogramme lassen oft komplette Wörterbücher gegen eine Login-Seite laufen.
  2. Ihr Name oder Namen Ihrer Familienmitglieder oder Haustiere, inklusive der zugehörigen Geburtsdaten, so wie „Helmut3103“ oder „LisaMueller“.
  3. Auch ein vorangestelltes oder angehängtes Sonderzeichen oder eine Zahl, wie in „!Helmut3103?“, machen die Eigennamen-Methode nicht besser.
  4. Zahlenfolgen wie „23456789“, Buchstabenfolgen wie „abcdefg“ oder Tastaturmuster wie „sdfghjk“ sind sehr unsicher. Oder natürlich Klassiker wie „password“ oder „P@sswort1!“ in allen seinen Variationen.

Passwortsicherheit: Was Unternehmen tun können

Das NIST hat umfangreiche Empfehlungen für Passwortsicherheit bei Unternehmen formuliert. Die wichtigste Rolle spielt dabei die Mehr-Faktor-Authentisierung. Verschiedene Modelle mit asymmetrischen oder symmetrischen Schlüsselpaaren bzw. Kombination verschiedener Faktoren sind möglich.

Darüber hinaus sollten Unternehmen die Zahl der Anmeldeversuche für ein Nutzerkonto überwachen und beschränken. Damit mildern sie die Gefahr, dass Passwörter durch Passwortraten kompromittiert werden.

Drittens sollten Unternehmen ihren Nutzern verbindlich eine bestimmte Länge und Komplexität für die Passwörter vorschreiben. Damit werden die berüchtigten allzu einfachen Passwörter „qwertz“ oder „abc123“ verhindert. Ein zusätzlicher automatischer Abgleich mit häufig genutzten Passwörtern erhöht weiter die Sicherheit.

Ein weiterer Aspekt ist die regelmäßige Mitarbeiterschulung in Fragen der IT-Sicherheit. Laut DSGVO müssen Mitarbeiter ohnehin eine Unterweisung in grundlegenden Datenschutz- und Datensicherheitsfragen bekommen. In einer solchen Schulung sollte auch Authentifizierung und Passwortsicherheit angesprochen werden.

Autor:in Sabine Jung-Elsen
Das könnte auch interessant sein

Digitalisieren Sie noch heute Ihr Unternehmen

Testen Sie die Unternehmenssoftware von Scopevisio kostenlos und unverbindlich. Alle Prozesse in einem System - vernetzt, automatisiert und effizient.