Schlecht gewählte Passwörter sind immer noch ein großes Defizit bei der IT-Sicherheit. Oft wählen Nutzer zu kurze oder zu wenig komplexeZeichenkombinationen oder nutzen dasselbe Passwort für mehrere Anwendungen.

Oft müssen sich Hacker daher noch nicht einmal die Mühe machen, solche Passwörter auszuspähen. Vielmehr  wird der entsprechende Account durch eine Brute-Force-Attacke angegriffen. Bei einer solchen Attacke werden vollautomatisch eine große Anzahl an Zeichenkombinationen ausprobiert oder ganze Wörterbücher als Passwort getestet.

Es gibt einige Grundregeln bei der Vergabe von Passwörtern, die zumindest solch einfache Angriffe erschweren bzw. vereiteln.

1. Ein komplexes Passwort wählen:

Ein gutes Passwort sollte mindestens 12 Zeichen lang sein und nicht im Wörterbuch stehen. Neben großen und kleinen Buchstaben sollte es auch Ziffern und Sonderzeichen enthalten.

Sonderzeichen erhöhen die Komplexität der Passworteingabe, insbesondere wenn man als Administrator nicht direkt vor dem Server sitzt, sondern per Remote darauf zugreift und das Tastaturlayout nicht eindeutig bekannt ist – wie es beispielsweise in einem Rechenzentrum der Fall sein könnte.

Es gibt also Gründe, auf Sonderzeichen zu verzichten. In diesem Fall sollte das Passwort jedoch um zwei Zeichen länger sein, um die gleiche Sicherheit mathematisch zu gewährleisten.

Jedes zusätzliche Zeichen trägt generell erheblich zur Sicherheit bei und erschwert Brute-Force-Angriffe deutlich.

2. Keine Namen verwenden:

Sie sollten unter keinen Umständen Namen von Familienmitgliedern, des Haustieres, des besten Freundes oder des Lieblingsstars verwenden. Solche Namen sind für jeden Hacker der erste Ansatz, wenn es darum geht mögliche Passwörter zu testen.

3. Komplexes Passwort – so merken Sie es sich:

Um ein komplexes und dennoch leicht zu merkendes Passwort zu konstruieren, empfiehlt sich ein Merksatz als Eselsbrücke. Dabei denkt sich der Nutzer einen Satz aus und benutzt von jedem Wort beispielsweise nur den ersten Buchstaben. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. So wird zum Beispiel aus dem Merksatz „Morgens stehe ich auf und putze meine Zähne.“ das Passwort „Ms1a&pmZ“.

4. Passphrase:

Statt eines Passworts kann auch eine Passphrase verwendet werden – eine Kombination aus mehreren zufälligen Wörtern, die einfach zu merken und gleichzeitig schwer zu erraten ist.

5. Fremde Rechner:

Sie sollten unbedingt darauf achten, ob sich der Browser eines fremden Rechners, (z.B. im Hotel im Urlaub) die Passwörter merkt. Erst wenn Sie sich vergewissert haben, dass die Speicherung der Passwörter in dem entsprechenden Browser deaktiviert ist, sollten Sie Ihr Passwort eingeben. Ich möchte hier ausdrücklich darauf hinweisen, dass evtl. weitere Software auf dem System installiert ist, die sich Passwörter merkt. Daher empfehle ich  dringend die Eingabe von Passwörtern auf fremden Systemen möglichst zu unterlassen. Am besten Sie ändern ein Passwort immer wenn Sie es auf anderen Computern verwendet haben.

6. Passwörter regelmäßig ändern:

Jedes Passwort sollte in regelmäßigen Zeitabständen geändert werden. Viele Programme erinnern automatisch daran, wenn das Passwort schon ein halbes Jahr benutzt wird.

7. Passwörter nicht aufschreiben

Auch wenn es bei selten genutzten Zugangsdaten schwer fällt. Grundsätzlich sollten Nutzer sich Passwörter nicht notieren, zumindest nicht auf Papier. Eine gute Möglichkeit ist eine Software in der Sie Ihre Passwörter verschlüsselt speichern können, so genannte Passwort-Manager. Im Anschluss finden Sie eine kleine Liste mit bekannten Programmen.

8. Unterschiedliche Passwörter verwenden:

Problematisch ist die Gewohnheit, einheitliche Passwörter für viele verschiedene Zwecke zu verwenden. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, sind auch die anderen Anwendungen nicht mehr geschützt.

9. Voreingestellte Passwörter ändern:

Bei vielen Softwareprodukten werden bei der Installation (beziehungsweise im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Diese sollten vom Nutzer schnellstmöglich geändert werden.

10. Bildschirmschoner mit Kennwort sichern:

Bei den gängigen Betriebssystemen haben Nutzer die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Diese Möglichkeit sollte insbesondere bei Notebooks oder Rechnern, die auch Unbefugten zugänglich sind, genutzt werden. Denn ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit des rechtmäßigen Benutzers Zugang zu dessen PC erlangen.

11. Zwei-Faktor-Authentifizierung (2FA):

Eine zusätzliche Sicherheitsstufe, bei der neben dem Passwort ein zweiter Authentifizierungsfaktor erforderlich ist, bietet weiteren Schutz und kann die Sicherheit deutlich erhöhen.

12. Passwort-Manager:

Um lange und komplexe Passwörter für verschiedene Konten sicher zu verwalten, ist die Nutzung eines Passwort-Managers empfehlenswert. Diese Programme speichern und verschlüsseln Passwörter, sodass Nutzer sich nur noch ein sicheres Master-Passwort merken müssen.

Hier finden Sie entsprechende Lösungen:

• Pins- http://www.mirekw.com/winfreeware/pins.html
• Alle meine Passworte – http://www.alle-meine-passworte.de
• PasswordWallet: https://www.selznick.com/products/passwordwallet
• Password Safe – https://pwsafe.org
• Scarabay – http://www.alnichas.info/scarabay.html
• Password Corral – http://www.cygnusproductions.com/freeware/pc.asp
• Any Password – http://www.romanlab.com/apw/
• Password Safe – http://www.passwordsafe.de/portal/de/

 

Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor