IT-Security

Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit

22. September 2020 von PSW GROUP Redaktion
So erstellt man sichere Passwörter
© Song_about_summer - stock.adobe.com

5
(2)

Bequemlichkeit statt Sicherheit: Das ist leider nach wie vor das Credo in Sachen sichere Passwörter bei vielen Internetnutzer*innen. Viele Nutzer*innen mit laschen Passwörtern glauben, dass es sie nicht trifft. Was aber, wenn doch? Was, wenn das eBay-Passwort abgegriffen wurde, mit dem die Angreifer auch ins Online-Shopping- und den Facebook-Account kommen? Unrealistisch ist das nicht, denn wie eine Bitkom-Umfrage zeigt, nutzen 36 % dasselbe Passwort für mehrere Online-Dienste. Sichere Passwörter: Fehlanzeige! Die Dunkelziffer jener Nutzer*innen, die so die Passwortsicherheit gefährden, dürfte jedoch weitaus höher sein. Nicht nur Privatanwender*innen, sondern besonders Unternehmen müssen auf sichere Passwörter achten. Wir zeigen heute, worauf es ankommt.

Passwörter kontinuierlich wechseln war gestern

Viele Nutzer*innen kennen noch dieses Mantra: „Passwörter müssen lang sein, Sonderzeichen integrieren und vor allem regelmäßig gewechselt werden.“ Das ist lange her – inzwischen ist man von der Empfehlung abgerückt, Passwörter regelmäßig zu wechseln. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von diesem antiquierten Grundsatz abgerückt: Im BSI Grundschutz-Kompendium wurde die entsprechende Passage gestrichen.

Woher kommt dieses Umdenken in der Passwort-Sicherheit? Security-Experten sind sich einig: Wer regelmäßig seine Passwörter ändert, nutzt eher mal schwache Kennungen, die einem Schema entsprechen, etwa Passwort1, Passwort2 usw. Hat man hingegen ein wirklich starkes Passwort ausgewählt, gibt es keinen Grund, es zu ändern. Über Jahre hinweg lassen sich sichere Passwörter nutzen.

Sichere Passwörter: So sehen sie aus

Als „entscheidende Merkmale“ für sichere Passwörter bezeichnet das BSI Länge und Komplexität eines Passworts. Man hat zwei Möglichkeiten: Entweder ist das Passwort kürzer und komplexer oder länger und weniger komplex. Empfohlen  werden mindestens 8 Zeichen, wobei bei einer solchen Kürze noch Komplexität hinzugefügt werden muss. Bei Passwörtern mit 20 bis 25 Zeichen Länge muss weniger über die Komplexität nachgedacht werden. Konkret empfiehlt das BSI:

  • Passwörter mit bis zu 8 Zeichen: Nutzen Sie für solche eher kurzen Passwörter mindestens drei Zeichenarten (Groß-/Kleinschreibung, Ziffern, Sonderzeichen). Grundsätzlich, besonders aber bei kürzeren Passwörtern ist eine Zwei-Faktor-Authentifizierung (2FA) empfehlenswert.
  • Passwörter mit 8 bis 12 Zeichen: Nutzen Sie auch hier mehrere Zeichenarten und idealerweise 2FA.
  • Passwörter mit 20 bis 25 Zeichen: Nutzen Sie mindestens zwei Zeichenarten, wird das Passwort lang und weniger komplex. Je mehr Zeichenarten Sie verwenden, umso komplexer wird das Passwort. Auch bei solchen Passwörtern ist eine 2FA empfehlenswert.

Klar: Je länger und komplexer Ihr Passwort ist, umso sicherer ist es. Sie können sämtliche verfügbaren Zeichen für Ihr Passwort mitnutzen, also neben Groß- und Kleinbuchstaben auch Ziffern oder Sonderzeichen. Wichtig, falls Sie viel im Ausland unterwegs sind: Umlaute lassen sich auf landestypischen Tastaturen womöglich nicht eingeben.

Passwortinhalt

Falls Ihr Name Lieschen Müller ist und Sie in der Friedrichstraße hier im schönen Fulda wohnen, sollte keine dieser Informationen Teil Ihres Passworts sein. Weder Adressangaben noch Namen von Familienmitgliedern, aber auch nicht von Haustieren, Ihrem besten Freund oder Ihres Lieblingsstars gehören in Passwörter. Idealerweise kommt das vollständige Passwort auch in keinem Wörterbuch vor. Verzichten Sie auf gängige Muster wie „123abc“ oder „qwertz“. Ebenfalls nicht empfehlenswert ist es, einfach ein Sonderzeichen an ein sehr simples Passwort zu hängen wie bei „kennung%“.

Weiter gilt es, für jeden Dienst ein separates Passwort zu erstellen. Seien Sie auch dabei kreativ, denn Abwandlungen wie „Passwort1%3-PC“ und „Passwort1%3-Facebook“ werden von Hackern zügig erraten.

Sichere Passwörter erstellen

Eine sehr beliebte Methode zum Erzeugen sicherer Passwörter ist es, sich einen Satz auszudenken, die Anfangsbuchstaben der Wörter zu nutzen und das Ganze mit Sonderzeichen zu garnieren. Ein Beispiel:

„Das Team der PSW GROUP freut sich über Ihr Interesse an Passwort-Sicherheit.“ Nehmen wir die Anfangsbuchstaben, entsteht: „DTdPGfsüIIaPS“, garniert mit Sonderzeichen entsteht ein sicheres Passwort: „D:T§dPG?&§süllaP$!S“ – das hackt so leicht niemand! Denken Sie sich selbst einen Satz aus – verzichten Sie auf bekannte Zitate oder Songs. Der Vorteil daran, selbst kreativ zu werden, ist, dass man sich dieses Passwort, so komplex es auch ist, merken kann. Falls das doch nicht so einfach ist, bieten sich Passwort-Manager an, auf die wir später noch einmal zu sprechen kommen.

Gestohlene Passwörter erkennen

Was aber tun, wenn unser Beitrag zu spät kommt und Ihr Passwort bereits abgegriffen wurde? Gibt es die Möglichkeit, herauszufinden, ob die eigenen Passwörter kompromittiert wurden? Die gibt es glücklicherweise: Der HPI Identity Leak Checker ist ein deutschsprachiges Angebot, haveibeenpwned.com ein internationales. Greifen Kriminelle Zugangsdaten ab, werden diese oft im World Wide Web veröffentlicht oder zum Verkauf angeboten. Je länger solche Daten im Netz kursieren, umso wahrscheinlicher ist es, dass sie missbraucht werden. Die beiden eben vorgestellten Tools prüfen nach Eingabe Ihrer E-Mail-Adresse, ob Ihre Zugangsdaten bereits in solchen Datensätzen enthalten sind. Falls ja: Ändern Sie bitte umgehend Ihre Zugangsdaten!

Passwörter teilen: Wenn, dann sicher

Gerade im geschäftlichen Umfeld kann es passieren, dass Zugänge geteilt werden müssen, um beispielsweise Dienstleistern oder Kunden Zugriff zu gewähren. Die DSGVO klärt die Rechtslage in diesem Fall eindeutig: Zum Versand von Zugängen müssen zwei getrennte Kanäle genutzt werden. Bedeutet in der Praxis: Sie können den Nutzernamen per E-Mail versenden, während Sie telefonisch das Passwort durchgeben. Oder Sie übertragen den Nutzernamen per TeamViewer und versenden kommentarlos das Passwort per E-Mail. Muss ein Teil der Kennung per E-Mail oder Smartphone übertragen werden, ist auf einen sicheren, also verschlüsselten Versand zu achten. Bitte verzichten Sie Ihrer eigenen Sicherheit zuliebe auf den Versand über soziale Netzwerke oder andere Kanäle, die oft Hackingopfer werden.

Sichere Sache: Passwortmanager

Der berühmte Notizzettel am Monitor: Geht gar nicht, denn unsicherer geht es kaum! Doch wohin mit den komplexen Passwörtern? Legen Sie Ihre Passwörter nie unverschlüsselt ab – weder virtuell auf dem Rechner noch physisch auf einem Notizzettel. Sie können ihre notierten Passwörter jedoch gut unter Verschluss halten, indem Sie physische Notizzettel wegsperren oder Ihre Passwörter verschlüsselt auf dem Rechner speichern.

Doch auch das kann unübersichtlich werden, gerade wenn man viele Passwörter zu verwalten hat. Dann kann sich ein Passwort-Verwaltungsprogramm lohnen – kurz Passwortmanager genannt. Praktisch an diesen Tools ist die Tatsache, dass Sie Ihre Passwörter nicht nur speichern, sondern auch sichere Passwörter generieren können. Ihre einzige Aufgabe: Erstellen Sie ein sicheres Masterpasswort und merken Sie sich dieses gut, alle weiteren verwaltet Ihr Passwortmanager für Sie.

Passwortmanager: Must-have oder nice-to-have?

Die Punkte, die für den Einsatz eines Passwortmanagers sprechen, sind schnell zusammengefasst: Dieses Tool dient als Passwort-Gedächtnis; es merkt sich all die komplexen Passwörter, die wir uns nicht merken können. Hinzukommen – je nach Anbieter – weitere Funktionen, die die Nutzung der IT vereinfachen, etwa das bereits erwähnte Erstellen sicherer Passwörter. Doch wo Licht ist, gibt es auch Schatten – und so haben Passwortmanager durchaus auch Nachteile:

  • Masterpasswort vergessen: Vergessen Sie Ihr Masterpasswort, können Sie den Dienst im schlimmsten Fall nicht mehr nutzen – und alle anderen, für die Sie sich gute Passwörter generiert haben, auch nicht. Möchten Sie einen Passwortmanager nutzen, empfehlen wir Ihnen ein Tool, welches zur Not auch eine andere Authentifizierungsmethode nutzt, beispielsweise TouchID.
  • Hacker im Himmel: Sollte es ein Hacker auf den Passwortmanager selbst abgesehen haben, kann es sein, dass er sich im Himmel befindet – und Sie in der Hölle. Denn nicht nur eines Ihrer Passwörter, sondern all Ihre Passwörter, Ihre Zugänge, Ihre IDs und weitere Daten sind hier gespeichert. Das ist der absolute Jackpot für finanzinteressierte Hacker, die nun Ihre Accounts zum Shoppen, Überweisen oder Ändern Ihrer Online-Identitäten nutzen können.
  • Cloudbasierte Dienste: Setzen Sie auf cloudbasierte Passwortmanager, hat das zweifelsohne Vorteile! Schauen Sie aber kritisch in die AGB und Datenschutzerklärung, denn hier können Überraschungen warten: Prüfen Sie den Standort des Anbieters, aber auch den der Server. So bringen Sie in Erfahrung, welchem Datenschutzrecht der Anbieter unterworfen ist – und damit auch Ihre Daten. Da Clouds gehackt werden können und Offline-Tools einfach sicherer sind, Online-Dienste jedoch von überall abgerufen werden können, müssen Sie sich genau überlegen, welche Anforderungen Ihr Alltag an einen Passwortmanager stellt.

Lohnt sich nun ein Passwortmanager oder nicht? Pauschal gibt es darauf keine Antwort. In aller Regel ist ein Passwortmanager sicherer und sinnvoller, als überall dasselbe Passwort wiederholt zu nutzen. Es ist jedoch ein Abwägen und Vergleichen von Anbietern notwendig, um konkret entscheiden zu können. Achten Sie auch auf das Kleingedruckte!

Es gibt auch Passwortmanager, die einen erweiterten Schutz bieten. Bei wichtigen Accounts können Sie einen zweiten Faktor einrichten. Dies könnte beispielsweise ein Bestätigungscode sein, der aufs Smartphone geschickt wird.

Bekannte Passwortmanager

Einer der am häufigsten verwendeten Passwortmanager ist KeePass. Wenngleich die KeePass-Datenbank AES-256-verschlüsselt ist, ist ein sicheres Masterkennwort unabdingbar. Da KeePass Open Source ist, ist das Tool nicht nur kostenfrei, sondern wird von der Gemeinde stetig weiterentwickelt und verbessert.

Der Passwortmanager LastPass kommt als Browser-Erweiterung für gängige Browser daher. Die Passwörter werden auf den Hersteller-Servern gespeichert; Entwickler ist LogMeIn Inc. Verschlüsselt wird mit AES-256 sowie PBKDF2-Hashes.

Eine Anleitung zur Installation sowohl von KeePass als auch von LastPass stellt heise online in diesem Beitrag bereit.

Sichere Passwörter sind kein Hexenwerk

Am 1. Februar ist alljährlich der „Ändere-dein-Passwort-Tag“ – ein Tag, der nach aktuellen Erkenntnissen wahrscheinlich noch unnötiger ist als der internationale Handtuchtag, der am 25. Mai begangen wird. Sie brauchen Ihre Passwörter nicht regelmäßig zu wechseln. Viel sinnvoller ist es, gleich sichere Passwörter zu verwenden. Wie Sie das machen, haben wir im Artikel gezeigt.

Zum Verwalten der Passwörter kann es sinnvoll sein, auf einen Passwortmanager zu setzen. Es ist – gerade im geschäftlichen Umfeld – nahezu ein Ding der Unmöglichkeit, alle komplexen Kennungen im Kopf zu haben, da machen Passwortmanager einfach Sinn. Trauen Sie solchen Tools nicht oder haben Sie nur wenige Passwörter, die Sie sich merken müssen, tut es in der Tat auch der Zettel. Aber: Verstauen Sie diesen sicher!

Verzichten Sie unbedingt darauf, dasselbe Passwort für verschiedene Dienste zu verwenden. Legen Sie sich für jeden Dienst ein völlig neues Passwort an, welches nicht die geringste Ähnlichkeit mit bestehenden Passwörtern haben sollte. Achten Sie auf eine ausreichende Zeichenlänge und Komplexität: Je länger das Passwort, umso weniger komplex muss es sein – ergo: Je kürzer, umso komplexer (mindestens drei Zeichenarten).

Wechseln Sie Ihre sicheren Passwörter nur, wenn es unbedingt sein muss. Das ist der Fall, wenn es kompromittiert wurde, was Sie durch oben genannte Tools prüfen können. Das ist aber auch der Fall, wenn der Anbieter selbst angegriffen wurde – in aller Regel nimmt der Anbieter dann Kontakt mit seinen Kunden auf und weist diese darauf hin, dass sie ihre Passwörter ändern müssen.

Geben Sie Ihre Passwörter nie an Unbekannte! Weder telefonisch durch vermeintliche Service-Mitarbeiter noch per E-Mail würden Ihre Bank, Online-Shops oder andere Services Passwörter erfragen. Müssen Sie Kennungen doch teilen, weil Sie mit Dienstleistern oder Kunden zusammenarbeiten, wählen Sie eine DSGVO-konforme Versandmethode, nämlich die über mehrere Kanäle.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu