Grundregeln der Passwort-Sicherheit

6 goldene Regeln für sichere Passwörter

26.02.2007 | Autor / Redakteur: Peter Riedlberger / Peter Schmitz

Die Gruppenrichtlinie „Komplexitätsvoraussetzungen“ erzwingt Passwörter mit mindestes 6 Zeichen und drei verschiedenen Zeichenarten, die sich zudem wesentlich vom Benutzernamen unterscheiden.
Die Gruppenrichtlinie „Komplexitätsvoraussetzungen“ erzwingt Passwörter mit mindestes 6 Zeichen und drei verschiedenen Zeichenarten, die sich zudem wesentlich vom Benutzernamen unterscheiden.

Ohne grundlegendes Wissen um sichere Passwörter stellen Anwender eines der größten Risiken für die Netzwerksicherheit dar. Deshalb haben wir hier die sechs wichtigsten Tipps zur Passwort-Sicherheit für Admins und Anwender zusammengestellt.

Der Alptraum eines jeden Admins: Unter der Tastatur klebende Zettel mit notiertem Passwort oder Kennwörter die mit dem Benutzernamen identisch sind. Letzteres können moderne Zugriffsschutzsysteme teilweise abfangen, aber gegen vieles das sich Anwender einfallen lassen um sich den Umgang mit Passwörtern zu vereinfachen, kommt keine technische Lösung an; da hilft nur Bewusstsein schaffen bei den Anwendern.

Dass es auch für den Anwender von großem Vorteil ist seine Passwort-Daten zu schützen, liegt auf der Hand. Kann ein Angreifer erst einmal ein Passwort in Erfahrung bringen, steht ihm nicht nur Tür und Tor zum kompletten System offen. Er nimmt dabei auch noch eine fremde Identität an, sodass eventuelle Machenschaften zunächst den eigentlichen Inhaber des Passworts angelastet werden. Beachtet man aber ein paar einfache Regeln beim Umgang mit Passwörtern, kann man deren Sicherheit massiv erhöhen.

1. Mindestens acht Zeichen verschiedener Typen, keine Wörter

Zum Knacken von Passwörtern werden zwei Methoden eingesetzt: Dictionary-Attacken, bei denen Wörter aller Sprachen, Namen sowie sonstige feste Kombinationen (etwa Tastaturfolgen wie „qwertz“) durchprobiert werden, sowie Brute-Force-Attacken, bei denen der Computer stur alle möglichen Kombinationen abarbeitet.

Damit Dictionary-Attacken ins Leere laufen, sind Wörter, Namen, Kombinationen absolut tabu. Administratoren sollten die Passwörter ihrer Benutzer selbst per Dictionary-Attacke testen.

Brute-Force-Attacken sind machtlos, wenn das Passwort lang genug ist (Faustregel: 8 Zeichen) und möglichst variante Zeichen (Groß-, Kleinbuchstabe, Zahl, Sonderzeichen) verwendet. Administratoren sollten möglichst entsprechende Richtlinien definieren, die dafür sorgen, dass das System keine Passwörter akzeptiert, die zu kurz oder nicht variant genug sind.

2. Verschiedene Passwörter für verschiedene Bereiche

Wer immer dasselbe Passwort verwendet, macht es Einbrechern allzu leicht. Beispiel: Mitarbeiter X von Unternehmen A verwendet aus Faulheit das Firmenpasswort beim Webshop Y. Ein krimineller Mitarbeiter von Y wird gekündigt, kopiert aber zuvor die Kundendatenbank. Er sieht die Firmen-E-Mail-Adresse von X und probiert einfach, ob das Passwort von X nicht auch bei A passt.

3. Keine Erinnerungsfragen

Manche Anbieter erzwingen die Einrichtung einer Erinnerungsfrage („Mädchenname der Mutter“). Das mag Support-Kosten sparen und suggeriert für den Passwortinhaber zusätzliche Sicherheit, ist aber trotzdem grob fahrlässig. Die Erinnerungsfrage ist ja nichts anderes als ein alternatives Passwort, es führen also zwei Passwörter zum Ziel. Während das eine gut gesichert sein mag, ist das andere („Mädchenname“, womöglich Meier oder Schmidt) trivial. Kurzum: Geben Sie als Antwort auf eine Erinnerungsfrage nur Sonderzeichen ein, um diese Sicherheitslücke zu stopfen.

4. Keine Passwortmanager

Es gibt Programme, die dabei helfen die Passwortverwaltung automatisieren, also automatisch Passwörter generieren und Zugriff nach Eingabe eines Master-Passworts geben. Allerdings sollten Passwörter nie einem anderen anvertraut werden, und schon gar nicht einer nicht-selbstprogrammierten Software.

5. Notizen

Niemand kann sich verschiedene Passwörter merken, die aus wirren Zeichenkombinationen bestehen. Sie aufzunotieren, ist nicht gut, aber immer noch das geringste Übel, so lange die Notiz an einem sicheren Ort aufbewahrt wird.

6. Smartcards / Token

Smartcards oder andere Sicherheits-Token sind ein gangbarer Passwort-Ersatz für die Anmeldung. Die Sicherheit, dass der Anwender kein ungeeignetes Passwort verwenden kann, bezahlt er damit, dass er ein weiteres Stück Plastik mit sich herumtragen muss – ein geringer Preis.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002752 / Benutzer und Identitäten)