UNSER BLOG

Zahlenschloss

Starke Passwörter – hoher Schutz

Passwort-Richtlinien

In den meisten Unternehmensrichtlinien wird den Anwendern die Nutzung von Passwörtern mit einer Mindestlänge von 8 Zeichen aus einer Mischung von Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen vorgeschrieben. Darüber hinaus wir ein regelmäßiger Passwortwechsel (z.B. alle 30 bis 90 Tage) systemisch erzwungen. Dabei orientieren sich die Unternehmen oftmals an den Empfehlungen aus dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Laut BSI soll jedes Jahr im Februar das IT-Grundschutz-Kompedium aktualisiert werden, um den technischen Fortschritt stand zu halten. Seit diesem Jahr verzichtet das BSI auf den regelmäßigen Zwang der Passwortänderung. Weiterhin bleibt jedoch die Empfehlung zur Verwendung von starken Passwörtern.

Der Verzicht auf regelmäßigen Passwortwechsel ist seit Langem überfällig. Denn die Erfahrung zeigt, dass die Anwender sich bei einem regelmäßigen Wechselzwang die Systeme austricksen (z.B. sie verwenden den gleichen Passwortkern und zählen das Passwort hoch) oder schreiben ihr Passwort auf einem digitalen oder konventionellen Spickzettel. Beide Workarounds schaden mehr als sie nutzen.

Schwache Passwörter

Für schwache Passwörter ist es charakteristisch, dass sie leicht zu erraten oder ermitteln sind. Beispiele hierfür gibt es viele und dennoch werden sie allzu oft verwendet. Das Hasso Plattner Institut ermittelt regelmäßig die meist verwendeten Passwörter in Deutschland:

Top 20 Passwörter in Deutschland (Quelle: HPI)

Top 20 Passwörter in Deutschland (Quelle: HPI)

All oben aufgeführten Passwörter sind schwache Passwörter. Der Schutz bei Verwendung solcher Passwörter ist gleich Null.

Ebenfalls auf keinen Fall verwenden, sollte man Namen aus seiner persönlichen Umgebung (bspw. Namen der Kinder oder der Haustiere), Geburtsdaten oder Jubiläumsdaten. Diese Passwörter sind dank sogenanntem „social engineering“ oder einem einfachen googeln leicht zu ermitteln oder erraten.

Zu schwachen Passwörtern gehören auch ganze Wörter. Der Hintergrund hierfür liegt in der Methode, wie Passwörter inzwischen geknackt werden. Anders als oft noch geglaubt, werden die Passwörter nicht durch „brute force“ Angriffe (Zeichen für Zeichen) geknackt, sondern sie werden mittels eines Vergleiches gegen riesige Datenbanken (mit Hash-Werten) ermittelt. Der Vorteil für die Hacker ist insbesondere eine höhere Geschwindigkeit, mit der ein Passwort ermittelt werden kann.

Starke Passwörter

Zu Erstellung von starken Passwörtern stehen uns alle Zeichen des Alphabets (Gross- und Kleinbuchstaben, Sonderzeichen) sowie die Zahlen zur Verfügung. Es ist offensichtlich, dass das Wort „Fahhrad“ mit angehängter Zahl (Bsp. „Fahhrad1“) ist einfacher zu merken als „%gTzuH/jK1q“. Jedoch ist es nicht so stark.

Nr. Passwort Zeichenlänge Qualität
1 Fahhrad1

8

38

2 %gTzuH/jK1q

11

71

3 Ich mag meine Pizza mit Pilzen und Salami aber ohne Zwiebel bitte!

66

285

4 IchmagmeinePizzamitPilzenundSalamiaberohneZwiebelbitte!

55

233

5 ImmPmP&SaoZb!

13

61

 

Wie aus der obigen Tabelle ersichtlich ist, nimmt die Passwort-Qualität mit der Passwortlänge aber auch mit der Kombination seiner Bestandteile zu. Natürlich ist das dritte Passwort komplex und scheint zumindest sehr sicher zu sein. Allerdings ist seine Verwendung sehr umständlich. Oder wer möchte einen ganzen Satz als sein Passwort alle fünf Minuten eingeben?

Dann doch lieber ein Kompromiss eingehen und das verkürzte Passwort (siehe 5. Beispiel in der obigen Tabelle) verwenden. Erfahrung zeigt, dass die Anwender sich Passwörter anhand eines ganzen Satzes (z.B. Lieblingslied oder eine schöne Erinnerung, usw.) besser merken können, als anhand rein kryptischer Zeichen.

Bei Verwendung mehrerer Passwörter ist der Einsatz von Passwortmanagern empfehlenswert (Bsp. KeePass). Solche Passwort-Manager haben ebenfalls die Möglichkeit selbst Passwörter zu generieren, die bei der jeweiligen Anwendung oder einer Webseite abgerufen werden können. Die Passwortdatenbank selbst ist zudem durch ein separates Passwort geschützt. So muss sich der Anwender nur ein starkes Passwort, und nicht mehrere, merken.

Grundsätzliche Empfehlung

  1. Wenn möglich, sollte eine zwei-Faktor-Authentifizierung (2FA) verwendet werden.
  2. Wo das nicht möglich ist, sollten starke Passwörter mit einer Mindestläge von 15 Zeichen verwendet werden (Kombination aus Gross- und Kleinbuchstaben, Sonderzeichen, einzelnen Ziffern).
  3. Wem es schwerfällt, sich mehrere Passwörter zu merken, sollte einen Passwortmanager nutzen (z.B. KeePass).

Wichtig: Passwörter sind ein sehr wichtiger Bestandteil der Informationssicherheit, jedoch nicht der einzige. In Unternehmen müssen auch andere Maßnahmen in Abhängigkeit vom jeweiligen Bedarf eingesetzt werden.

Kontaktieren Sie mich gerne bei Fragen und Anregungen.

Tomasz Lawicki_100x100

Tomasz Lawicki

Mehr über Tomasz Lawicki

 

Tomasz LawickiStarke Passwörter – hoher Schutz