Sichere Passwörter - der Schlüssel zu Ihren Daten

Okt. 27, 2021

Sichere Passwörter sind nach wie vor wichtig für den Schutz jeder IT-Infrastruktur. Daher möchten wir einige sinnvolle Maßnahmen für den Umgang mit Passwörtern vorstellen.

Sichere Passwörter sind die Basis für den technischen Schutz von IT-Infrastruktur aller Art. Dies ist das vorweggenommene und sicherlich nicht überraschende Fazit unseres heutigen Artikels. Die Vergabe eines einfachen Passworts entspricht dem Szenario, einen hochwertigen Tresor mit einem Buntbartschloss oder einem billigen Vorhängeschloss zu verriegeln. Potenzielle Täter müssten sich gar nicht die Mühe machen, mit schwerem Gerät, etwa einem Schweißbrenner, anzurücken. Sie könnten die sprichwörtliche Haarnadel zum Öffnen benutzen. Passwortsicherheit sollte also unbedingt im Fokus einer Sicherheitsbetrachtung Ihrer IT stehen. Doch was macht sichere Passwörter eigentlich aus?

Komplexität und Zufälligkeit als erste Kriterien für sichere Passwörter

Bei der Auswahl für sichere Passwörter sollten ein paar Faktoren im Vorfeld bedacht werden:

  1. Absolut tabu müssen simple Kombinationen wie "123456" oder "Passwort" sein. Generell sind Wörter, die in der verwendeten Schreibweise in Wörterbüchern zu finden sind, eine schlechte Wahl. Bei objektiver Betrachtung wirken sichere Passwörter möglichst zufällig.

  2. Der verwendete Zeichenvorrat spielt eine entscheidende Rolle für die Passwortsicherheit. Nutzen Sie nur Ziffern von 0-9, so vervielfacht sich die Anzahl der möglichen Passwortkombinationen mit jeder zusätzlichen Stelle um den Faktor 10. Nehmen Sie hingegen alle druckbaren Zeichen des ASCII-Zeichensatzes, so erreichen Sie mit jedem zusätzlichen Zeichen im Passwort eine Vervielfachung um den Faktor 95. Dies entspricht - bei einer empfohlenen Passwortlänge von mindestens 8 Zeichen - ca. 6 Billiarden anstatt 100 Millionen möglicher Passwörter! Für Smartphones besteht beispielsweise häufig die Möglichkeit, anstatt Ziffern alle alphanumerischen Zeichen zuzulassen. Dies ist unbedingt empfehlenswert.

  3. Es empfiehlt sich hingegen nicht, für sämtliche verwendete Geräte und Accounts identische Passwörter zu vergeben. Kommt dieses bei einer Hacking-Attacke auf einen der von Ihnen genutzten Provider abhanden, so haben Täter sofort Vollzugriff auf alle damit geschützten Dienste.

  4. Natürlich ist es sinnvoll, Passwörter regelmäßig zu verändern. Hier können Sie allerdings Augenmaß walten lassen. Zwingt man Mitarbeiter zur Verwendung kryptischer Passwörter, die zudem noch in sehr kurzen Abständen zu ändern sind, führt dies meist zu den gefürchteten Klebezetteln am Monitor oder unter der Tastatur, auf denen eigentlich sichere Passwörter notiert werden. Es kann beispielsweise ausreichen, regelmäßig nur ein oder zwei Stellen in einem Kennwort zu verändern. Zudem sollte durch Verantwortliche im Auge behalten werden, ob es zu bekannten Hackerangriffen auf genutzte Dienste gekommen ist, bei denen Zugangsdaten erbeutet worden sein könnten.

  5. Die verantwortungsbewusste Aufbewahrung und Geheimhaltung ist ebenfalls essenziell für die Passwortsicherheit. In der heutigen Zeit müssen sich viele Menschen eine Unmenge an PINs und Passwörtern für den beruflichen und privaten Bereich merken. Gerade wenn es mit einem hohen Aufwand verbunden ist, vergessene Passwörter zurücksetzen zu lassen, tendieren viele Menschen verständlicherweise zu einem Backup in Form von Notizzetteln. Dies ist grundsätzlich unschädlich, sofern die Notizen sicher verwahrt werden. Passwörter an Kollegen weiterzugeben sollte allerdings ausdrücklich untersagt sein. In einem professionellen Umfeld führt dies etwa dazu, dass Handlungen nicht mehr eindeutig einzelnen Personen zuzuordnen sind.

Zwei-Faktor-Authentifizierung, biometrische Merkmale und Passwort-Manager

Glücklicherweise gibt es einige Hilfsmittel, die es erleichtern, sichere Passwörter zu verwenden. Dazu gehört das Bilden von Merksätzen, aus denen beispielsweise Anfangsbuchstaben und ähnlich aussehende Ziffern sowie Sonderzeichen für die Passworterstellung genommen werden. Absolut sinnvoll ist es, eine Zwei-Faktor-Authentifizierung zu nutzen. Neben dem Passwort wird dabei ein zweites, unabhängiges Identifizierungsmerkmal für die Anmeldung benötigt. Dies kann beispielsweise eine PIN sein, die dem Nutzer auf das Handy gesendet wird. Als kostenlose Alternative, für die keine aktive Rufnummer benötigt wird, gibt es von verschiedenen Anbietern Authenticator-Apps, die kurzzeitig gültige Einwegpasswörter als zweiten Faktor generieren. Eine Verknüpfung mit dem Account erfolgt in der Regel mittels eines dort abrufbaren QR-Codes.

Die Verwendung von biometrischen Merkmalen sorgt aus zweierlei Gründen für mehr Passwortsicherheit. Wird ein Gerät etwa mittels eines Fingerabdrucks entsperrt, so ist die Nutzung eines beliebig langen und komplexen Passworts mit keinerlei Komforteinbussen im Alltag verbunden. Zudem kann der Nutzer nicht bei der Eingabe beobachtet werden.

Für die Speicherung von Kennwörtern sind sogenannte Passwort-Manager verfügbar. Diese sichern mit einem Master-Passwort die hinterlegten Zugangsdaten. Es gibt sie in unterschiedlicher Form. Eine sehr komfortable Variante ist, dass die Software sich in das Kontextmenü des Dateimanagers einbettet und Passwörter bei Bedarf mit einem Rechtsklick eingefügt werden können. Hier ist natürlich die Auswahl eines vertrauenswürdigen Anbieters und die Vergabe eines sicheren Master-Passworts entscheidend.

Warum sichere Passwörter so wichtig sind: So funktionieren Passwortattacken

Für das Verständnis, wieso die vorgestellten Maßnahmen für mehr Passwortsicherheit sorgen, ist es hilfreich, sich ein wenig mit möglichen Angriffsmethoden zu beschäftigen. Zu den bekanntesten Attacken gehören:

- Wörterbuchangriffe: Hierbei werden Listen von bekannten oder häufig verwendeten Passwörtern benutzt und automatisiert am angegriffenen Objekt ausprobiert. In Hackerforen kursieren beispielsweise derartige Dateien, die aus Systemeinbrüchen bei Anbietern von Online-Diensten stammen. Bei gezielten Angriffen ist es zudem möglich, dass der Angreifer Erkundungen über den Nutzer eines Rechners einholt und Wort- und Zahlenkombinationen wie Namen oder Geburtsdaten von Familienmitgliedern nutzt. Dies ist ein Grund, warum man solche Daten weder für sichere Passwörter verwenden noch unnötig in sozialen Medien preisgeben sollte.

- Bruteforce-Attacken: Bei dieser Form des Angriffs will der Hacker die Passwortfeststellung erzwingen, indem er einfach alle möglichen Kombinationen des verwendeten Zeichensatzes durchprobiert. Die Eingabe erfolgt automatisiert und im ungünstigsten Falle mit einer Geschwindigkeit, die zumindest einfache PINs in wenigen Stunden ermittelt. Durch Passwortlänge und -komplexität erschweren Sie diese Angriffsmethode und sorgen für mehr Passwortsicherheit. Die gute Nachricht ist zudem, dass zumindest Online-Accounts, aber auch viele Endgeräte gegen zu häufige Fehleingaben geschützt sind. Verlassen sollte man sich darauf allerdings nicht, da immer wieder Sicherheitslücken auftauchen, die derartige Schutzvorkehrungen aushebeln.

- Rainbow-Table-Attacken: Passwörter sollten in der heutigen Zeit auf keinem Rechner oder Server mehr klartextlich abgelegt werden. Vielmehr speichern die meisten Anwendungen diese in Form eines sogenannten Hashwertes. Hierbei handelt es sich um unumkehrbare mathematische Einwegfunktionen, die Passwörter in nicht klartextlich lesbare Zeichenketten umwandeln. Bei der Authentifizierung errechnet die Anwendung, ob die Nutzereingabe mit dem Hashwert übereinstimmt. Gelangen Angreifer an derartige Hashwerte, können sie versuchen, durch automatisiertes Ausprobieren von möglichen Passwortkombinationen zufällig das zum Hash passende Kennwort herauszufinden. Da Hashwerte allerdings keinen Rückschluss auf die Länge des ursprünglichen Eingabewertes zulassen, erhöhen Sie die Passwortsicherheit wenn nicht klar ist, wie lang das Passwort sein muss.

- Keylogger: Dies ist eine Schadsoftware, die Tastatureingaben aufzeichnet und an externe Server schickt. Entsprechend ist bei dieser Angriffsmethode irrelevant, wie hoch die Passwortsicherheit theoretisch wäre. Allerdings werden derartige Programme durch Virenschutzsoftware häufig erkannt. Sicherheitsrichtlinien gegen die Ausführung unbekannter Programme und Vorsicht beim Umgang mit E-Mail-Anhängen erhöhen den Schutz gegen Keylogger.

- Social Engineering: Tatsächlich nehmen Angriffe gerade im Umfeld von Firmen zu, bei denen Angreifer versuchen, das Passwort direkt beim Nutzer zu erfragen oder auszuspähen. Hierfür werden beispielsweise Notlagen vorgetäuscht und Anwender unter vermeintlichen Zeitdruck gesetzt. Daher sollte es in Unternehmen generell untersagt werden, Zugangsdaten telefonisch oder per E-Mail weiterzugeben. In Bereichen, in denen Publikumsverkehr herrscht, hilft die Nutzung von Fingerabdruckscannern, damit Mitarbeiter nicht im Beisein von Externen ein Passwort eintippen müssen.

Wesentlich ist zudem die Unterscheidung zwischen Offline-Angriffen und Online-Angriffen. Generell sind Offline-Attacken gefährlicher. Diese beziehen sich auf "tote", also nicht in Betrieb befindliche Dateien oder Datenträger. Hier hat der Angreifer in der Regel unbegrenzt Zeit, Passwörter ausprobieren zu lassen. Aufgrund von sicherer Verschlüsselung auf den meisten Endgeräten verliert diese Angriffsmethode zunehmend an Bedeutung.

Online-Attacken auf eingeschaltete Endgeräte oder Server hingegen lassen sich, unabhängig von der Passwortsicherheit, wirkungsvoll durch Software erschweren. Hierzu zählen die bereits erwähnte Begrenzung von Eingabeversuchen und Methoden wie eine Zwei-Faktor-Authentifizierung.

Passwörter - wichtig wie ein Schlüsselbund

Was in der früheren Zeit Ortskenntnisse und Telefonnummern waren, sind heutzutage Passwörter und PINs. Es ist im Alltag schlicht nötig, sich hiervon einige zu merken. Sie können es sich und Ihren Mitarbeitern mit den vorgestellten Möglichkeiten zumindest in manchen Bereichen etwas leichter machen, sichere Passwörter zu verwenden und dennoch komfortabel auf Endgeräte und Accounts zuzugreifen. Wichtig ist es, die Bedeutung der Passwortsicherheit zu erkennen und zu vermitteln. Ansonsten besteht die Gefahr, dass moderne Schutzmechanismen von Herstellern unnötig ins Leere laufen

Blog

vor 9 Monaten

Wie kann Adey Meselesh zu den SDGs der UN beitragen?

Die Integration der ESG-Prinzipien in das ERP-System von Adey Meselesh zeigt das Engagement des Unternehmens für verantwortungsvolle Geschäftspraktiken und nachhaltige Entwicklung.

vor 2 Jahren

Netzwerk Security - der 10-Punkte-Plan für Ihre IT

Jeder Schwachpunkt in der eigenen IT-Infrastruktur kann zu einem Angriffspunkt für einen Cyber-Angriff mit unabsehbaren Folgen werden. Speziell für KMU ohne eigene IT-Sicherheitsabteilung bieten wir daher unser Network Security Assessment an.

vor 2 Jahren

Lieferkettengesetz - ein Anwendungsfall für Smart Contract und Blockchain

Das Lieferkettengesetz tritt Anfang 2023 in Kraft und verpflichtet große Unternehmen zur Dokumentation seiner Produktionsketten. Smart Contracts und Blockchain-Technologie sind ein Weg zur Umsetzung.