IT-Sicherheit 01.02.2019

"Ändere dein Passwort"-Tag: Mach es, aber richtig!

Seit 2012 rufen Pressemeldungen alljährlich am 1. Februar dazu auf, die eigenen Passwörter zu ändern. Dieser regelmäßige Aufruf soll die Nutzer dazu bewegen, mindestens einmal im Jahr die eigenen Passwörter anzupassen. Aber wie wählt man ein gutes Passwort und warum soll man sie überhaupt ändern?

In der digitalen Welt begegnet man überall Passwörtern: ob beim Online-Banking, Shoppen im Internet, um sich in Foren oder sozialen Netzwerken anzumelden oder um sich als Nutzer am privaten oder beruflichen Computer zu authentifizieren. Dies bedeutet, dass oft nur dieses Passwort zwischen den Hackern und den Daten und Informationen der Nutzer steht.

 

Da der Mensch häufig bequem ist, haben wir oft für die unterschiedlichsten Internet-Dienste nur ein Passwort; wie sollte man sich auch all die unterschiedlichen Passwörter merken? So wird der Missbrauch der Informationen durch Hacker sehr leicht gemacht. Ein Hacker muss nur einen Online-Dienst finden, dessen Schutzmaßnahmen er umgehen kann. Hat der Hacker einmal Usernamen und Passwörter gestohlen, kann er bei den gängigen Online-Diensten ausprobieren, ob er sich mit diesen Zugangsdaten anmelden kann. So kann es sein, dass er Zugangsdaten von einem Online-Shop erbeutet hat, aber die Zugangsdaten auch für einen Netflix-Account verwenden kann. Damit kann der Angreifer auf die gleichen Inhalte zugreifen wie der eigentliche Nutzer. Der Hacker muss sich noch nicht einmal die Mühe machen und selbst versuchen bei den Online-Diensten einzudringen, er kann derartige Usernamen-Passwortkombinationen gleich zu hunderten im Darknet kaufen.

 

Dieses Beispiel macht deutlich, warum es sinnvoll ist, sein Passwort regelmäßig zu ändern und bei unterschiedlichen Online-Diensten auch unterschiedliche Passwörter zu verwenden. Wenn man die Passwörter regelmäßig ändert, sei es auch nur einmal im Jahr, können sich Hacker oder diejenigen, die Username-Passwortkombinationen im Darknet gekauft haben, nicht mehr anmelden. Verwendet man nun unterschiedliche Passwörter für verschiedene Dienste, so können Hacker, auch wenn diese an ein Passwort herangekommen sind, nicht auf weitere Dienste zugreifen.

 

How to: Das ist ein gutes Passwort.

Aber wie bildet man ein gutes Passwort? Wie lang sollte dieses sein? Und wie soll man sich all die unterschiedlichen Passwörter merken können? Hier gibt es unterschiedliche Empfehlungen. Ein Passwort sollte nicht aus Informationen bestehen, die man leicht erraten kann (beispielsweise: Geburtsdatum, Namen von engen Familienmitgliedern oder Haustieren, oder Informationen, die man leicht in sozialen Netzwerken nachlesen kann). Zudem sollten Passwörter Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.

 

Häufig wird einem empfohlen, sich einen Satz auszudenken und dann die Anfangsbuchtstaben der Wörter zu verwenden, wodurch jedoch die Länge eines Passwortes reduziert wird. Allerdings gilt bei Passwörtern die Devise: Länge schlägt Komplexität! Umso länger ein Passwort ist, desto länger brauchen Angreifer, um dieses zu knacken. Daher sollte man sich nicht auf ein Passwort beschränken, sondern eine "Passphrase" verwenden. Anstelle eines "Passwortes" wird ein kompletter Satz inklusive Satzzeichen verwendet. Beispielsweise: "Ich gehe heut am schönen Strand spazieren!". Um nun auch noch Zahlen in einem solchen Satz unterzubringen, sollte man nicht einfach eine Zahlenfolge hinten anhängen, sondern bestimmte Buchstaben durch Zahlen ersetzen, z.B.: ein "E" durch eine "3" oder ein "S" durch eine "5".

 

Alternativ wählt man einen Satz, in dem Zahlen auf natürliche Weise auftreten, wie "Meine Nachbarin ist gestern 102 Jahre alt geworden.". Diese Passphrases kommen einem sehr lang vor und die Bequemlichkeit sagt, dass wir zu faul sind, derart lange Passphrases einzugeben. Da die Zeichenfolge aber den natürlichen Bewegungen auf der Tastatur folgen, kann man diese Passphrase zügig eingeben, anders als "IghasSs!". Bei diesem Passwort muss man jedes Mal überlegen, welches das nächste Zeichen ist.

 

Passwort-Safes sind hilfreich.

Für das Merken von Passwörtern gibt es ebenso Möglichkeiten: Passwort-Safes (Keepass, Lastpass, 1password, ...). Diese speichern Passwörter/Passphrases, zugehörige Usernamen, URL und viele weitere Informationen in verschlüsselter Form ab. Die Verschlüsselung verhindert den unberechtigten Zugriff auf die Passwörter.

 

Einige dieser Passwort-Safes ermöglichen die Synchronisierung der verschlüsselten Passwortinformationen über verschiedene Geräte hinweg. Zudem bieten diese Programme die Möglichkeit der zufälligen Passwortgenerierung nach gewissen Kriterien wie Länge, Vorkommen von Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen, etc. Von dieser Möglichkeit sollte man Gebrauch – vor allem für Konten, auf die man immer nur dann zugreift, wenn man ebenfalls Zugriff auf den Passwort-Safe hat.

 

Zwei-Faktor-Authentifizierung nutzen.

 

In den vergangenen Monaten und Jahren haben Online-Dienste den Schutz von User-Konten durch eine Zwei-Faktor-Authentifizierung erweitert. Dies bedeutet, dass man neben dem Passwort auch noch einen zweiten Faktor benötigt, meistens etwas was man besitzt. Dies wird oft durch eine SMS abgebildet oder eine App auf dem Smartphone des Benutzers, welches eine zufällige Zeichenfolge generiert, die man bei der Anmeldung zusätzlich angeben muss.

 

Durch die Zwei-Faktor-Authentifizierung wird also verhindert, dass ein Angreifer ein gestohlenes Passwort erfolgreich verwenden können. Es sei denn, der Angreifer hat ebenfalls Zugriff auf das Smartphone. Daher sollte man, wenn eine Zwei-Faktor-Authentifizierung angeboten wird, diese auch nutzen. Auch, wenn die Anmeldung dadurch ein wenig länger dauert.

 

 

Jetzt anmelden

kirsten-heitmann.png
Kirsten Heitmann
Teamleitung Security Solutions