LfDI: Nützliche Tipps zur Passwort-Sicherheit

News

Wir wollen Ihnen anlässlich des neusten Bericht des Landesbeauftragten für Datenschutz und Informationssicherheit aus Baden-Württemberg (LfDI) „Hinweise zum Umgang mit Passwörtern“ Praxis-Tipps für Passwörter an die Hand geben.

Wild West 2.0

Passwörter sind der häufigste Zugangsschutz für Computer und Nutzerkonten. Oft genug jedoch gelangen Kriminelle bei Hackerangriffen an umfangreiche Passwort-Datenbanken. So ist erst im Januar wieder ein Fall bekannt geworden, in dem Angreifer 773 Millionen Passwörtern zu Online Diensten erbeutet haben. Neben dem Einsatz von Virenschutzprogrammen ist die Vergabe eines sicheren Passworts der wichtigste Baustein eines effektiven Schutzes gegen „digitalen Einbrüche, Erpressung und Entführungen“. Ob Sie bereits Hackerangriffen zum Opfer gefallen sind, finden Sie beim Identity Leak Checker heraus.

Digital-FKK

Viel zu oft ist der Nutzer noch die größte Schwachstelle beim Schutz der eigenen Daten. Viele Zeitgenossen wandeln immer noch ohne jegliches Schamgefühl sozusagen im Adamskostüm durch die digitale Welt. Sei es durch einen „Striptease“ in den sozialen Medien oder durch mangelnden Schutz der eigenen Accounts.

Schenkt man Listen mit den Top10 der Passwörter in Deutschland Glauben, fragt man sich, ob wirklich immer noch alle Deutschen blauäugig sind. Denn unter den Top10 landen regelmäßig ewig Untote wie „1234“, „hallo“ oder „passwort“. Bei solchen Passwörtern denkt sich natürlich jeder Hacker sofort „321meins“!

Du kommst hier nicht rein!

Wie Sie ein sicheres Passwort finden, erklärt der Bericht des LfDI. Wir geben ihnen einen kurzen Überblick über die wichtigsten Aussagen:

Mindestanforderungen an Passwörter?

Zwei goldene Regeln sollten bei jeder Passwortwahl beachtet werden, um sogenannte starke Passwörter zu generieren.

  • Mindestlänge einhalten:
    Die Passwörter sollten aus zwölf oder mehr Zeichen bestehen. Zudem gilt als Merksatz, je wichtiger das Passwort ist, desto länger sollte es sein.
  • Unterschiedliche Zeichen verwenden:
    Durch die Verwendung von Groß- und Kleinschreibung, von Zahlen und Sonderzeichen wird es viel schwieriger für Hacker die Passwörter durch reines Ausprobieren herauszufinden, denn die Kombinationsmöglichkeiten steigen signifikant.

Wie erstelle ich ein sicheres Passwort?

Folgende Verfahren können helfen, sichere Passwörter zu erstellen und sie sich zu merken:

  • Die erster-Buchstabe-Methode:
    Man nehme einen Satz, den man sich gut merken kann und nehme von jedem Wort den ersten oder einen markanten Buchstaben.
  • Ganzer-Satz-Methode:
    Hier sollte man möglichst aus sinnlosen Phantasiewörtern bzw. zufällig aneinandergereihten Wörtern einen Satz bilden, z.B. Hier was Toll Nicht Baum geht!
  • Zufällige Passwörter generieren lassen:
    Browser bieten zum Teil die Möglichkeit, zufällige Passwörter generieren zu lassen und diese in einem Passwort-Safe zu speichern, ohne dass man sie selbst sieht. Sie sollten sich aber versichern, dass der Passwort-Safe die Daten gut verschlüsselt ablegt.
  • Passwort-Karten und –Schablonen:
    Hier kann man die Passwörter anhand einer Tabelle, mit zwei Achsen wählen. Man wählt dann einen Startpunkt aus und merkt sich eine Anzahl x der darauf folgenden Zeichen.

Die 8 Gebote zur Passwortsicherheit

  1. Du sollst Passwörter nicht mehrmals verwenden:
    Hacker nutzen geleakte Passwörter, um sich mit leichten Variationen dieser Zugang zu weiteren Konten der Betroffenen zu verschaffen. Um sich nicht dutzende Passwörter merken zu müssen, sind Passwort-Safes hilfreich. Dort kann man seine Passwörter hinterlegen und sichert sie mit nur einem „Masterpasswort“. Zum Teil haben Betriebssysteme, wie z. B. der Schlüsselbund in MacOS, die Funktion bereits integriert und auch viele Web-Browser unterstützen die Speicherung von Passwörtern.
  2. Du sollst Standard-Passwörter immer ändern:
    Standard-Passwörter sind häufig nicht rein zufällig, sondern folgen einem bestimmten Muster oder sind sogar bei allen Geräten gleich. Daher sollte man sie sofort ändern.
  3. Du sollst lügen (!), aber nur bei Sicherheitsfragen:
    Wer hätte gedacht, dass Lügen einmal zu einem Gebot des digitalen Selbstschutzes wird, jedoch kennen Leute aus Ihrem näheren Umfeld häufig die korrekte Antwort.
  4. Du sollst Zwei-Faktor-Authentifizierung aktivieren:
    Hierbei muss man bei der erstmaligen Nutzung mit einem neuen Gerät noch einen zweiten Faktor zur Authentifizierung eingeben, so z.B. beim Online-Banking. Dabei wird der zweite Faktor auf einem anderen Kommunikationsweg übertragen, daher können Unbefugte sich alleine mit dem Passwort keinen Zugang verschaffen.
  5. Du sollst keine Wörter aus Wörterbüchern verwenden:
    Aufgrund der Möglichkeit für Angreifer Milliarden von Kombinationen pro Sekunde auszuprobieren, sollte keine schlichten Wörter oder zusammengesetzte Wörter verwenden (z.B. Thug4Life)
  6. Du sollst Passwörter nicht weitergeben:
    Passwörter sollen nicht weitergegeben werden. Auch sollte man Passwörter nicht in unverschlüsselten E-Mails versenden oder auf unverschlossenen Dokumenten notieren.
  7. Du sollst dein Passwort nur bei Kompromittierung ändern:
    Dies ist eine wirkliche Neuerung bei dem Hinweis des LfDI. Bisher wurde von den Aufsichtsbehörden noch vertreten, dass die regelmäßige erzwungene Änderung von Passwörtern die „best practice“ ist. Da dies in der Praxis aber häufig nur dazu führt, dass man sein Passwort notiert, nur leicht variiert oder ähnliches, ist es eine eher kontraproduktive Empfehlung. Wirksamer Passwortschutz macht nicht immer alles nur mühsamer.
  8. Du sollst auch auf dem Smartphone sichere Passwörter verwenden:
    Sie kennen es wahrscheinlich auch – Man hält das Smartphone nur mit einer Hand und muss das Passwort oder ein Muster eingeben. Das ist gerade bei größeren Geräten umständlich, dennoch sollte man auch sein Smartphone sichern. Hier ist die Authentifizierung per Fingerabdruck eine bequeme und sichere Alternative.

Tipps für Admins

Über die spiegelbildlichen Empfehlungen zur Zwei-Faktor-Authentifizierung und zum Passwortwechsel hinaus empfiehlt das LfDI noch weitere technische und organisatorische Maßnahmen für Administratoren und Entwickler.

Es werden folgende technisch organisatorischen Maßnahmen empfohlen:

  • Passwort-Richtlinie erstellen in der Sie die obigen Empfehlungen für Nutzer aufführen.
  • Berechtigungskonzept für Passwort-Datenbanken erstellen: Nur ausgewählte Mitarbeiter sollten Zugriff haben.
  • Keine fremden Passwörter sammeln
  • Sperrung nach mehrmaligen Fehlversuchen oder Zeitsperren einbauen.
  • Passwörter keinesfalls im Klartext speichern, sondern als Hash mit Salt & Pepper.
  • Fehlgeschlagene Anmeldeversuche protokollieren und den Nutzer darüber informieren.

Wenig Aufwand – Großer Nutzen

Die Handreichung des LfDI bietet einen guten Überblick über die Fallstricke bei der Passwortwahl. Sie legt auch gut die realen Gefahren dar, denen man sich ohne sichere Passwort aussetzt. Doch die gute Nachricht ist, dass man bereits mit relativ wenig Aufwand die eigene Sicherheit im Netz signifikant erhöhen kann.

Neu und erfreulich ist die Position des LfDI, dass nicht anlasslos regelmäßigen Änderungen des Passworts zu erzwingen sind. Als erste deutsche Aufsichtsbehörde hat das LfDI damit Abstand von dieser, zugegeben lästigen, Pflicht genommen. Es bleibt zu hoffen, dass weitere Aufsichtsbehörden und das BSI nachziehen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

3 Kommentare zu diesem Beitrag

  1. Ein Absehen von der Änderungspflicht würde voraussetzen, dass tatsächlich ein sicheres (!) Passwort eingesetzt wird. Die Erfahrung zeigt, dass dies meist oder eben doch nicht lückenlos der Fall ist. Ein nicht sorgfältiger Mitarbeiter genügt, um eine Sicherheitsbedrohung zu sein! Nutzer sind bequem.
    Bereits beim Beispiel aus dem Text „Hier was Toll Nicht Baum geht!“ würde mit der vorgeschlagenen Methode nur ein 7-stelliges Passwort gebildet. Das ist schnell zu wenig; erst Recht, wenn es nicht mehr geändert werden soll! Zurecht wird im Text eine zweistellige Länge gefordert. Ein wirklich gutes Passwort dieser Länge wird aber vermutlich dann doch wieder notiert.

    Zusätzlich besteht das Problem, dass keine verlässliche Möglichkeit besteht, die Güte des geheimen Passwortes zu überprüfen – oder ob es nicht doch noch an anderen Stellen, etwa privat, eingesetzt wird. Im Unternehmen kann man wenigstens immer wieder erzwingen, dass Zugangsdaten nicht

    Zudem dürfte auch diese Empfehlung vermutlich selektiv beachtet werden: es bleibt bei schlechten Passworten, nur dass eine Behörde nun sagt, man müsse nicht mehr ändern, wird beachtet.
    Ein Zwang zur Passwortänderung kann nur entfallen, wenn den Benutzern 100% vertraut werden kann und der Verantwortliche seine Hand dafür ins Feuer legt.

  2. Der Beitrag und die Tipps der Behörde B.-W. sind leider nicht hilfreich. Wer – bitte schön – verwendet stets Passwörter mit „mindestens“(!) 12 Zeichen Länge und dazu noch für jeden Anwendungsfall ein anderes?
    Wir brauchen bei praxistauglichen Tipps viel viel mehr Ehrlichkeit.

  3. Sehr guter und sehr wichtiger Artikel!!!

    @Namenescio:
    Ich denke Sie haben den Artikel etwas falsch verstanden.
    Die erste-Buchstaben-Methode ist eine andere Methode als die Ganzer-Satz-Methode!
    Nur bei der ersten Methode wird jeweils nur der erste Buchstaben des Wortes zur Erstellung des Kennwortes genutzt. Bei der zweiten Methode ist das Kennwort eben HierwasTollNichtBaumgeht! und somit sehr sicher (bei ca. 50.000 einfachen deutschen Wörtern ^ 6, also ca. 1:1 x 10 hoch 28.)
    Auch bei kurzen Kennwörtern lässt sich durch Nutzung von Salt und Pepper beim Hashen der Kennwörter die Entropie um Potenzen steigern. https://de.wikipedia.org/wiki/Salt_(Kryptologie)
    Ein regelmäßiges Ändern von 10-100 unterschiedlichen Kennwörtern pro User ist gerade bei sicheren (langen, variablen) Kennwörtern nicht machbar.
    Daher sollte man dies meiner Meinung nach nur bei sehr sensiblen Kennwörtern fordern oder direkt auf die erwähnte 2-Faktor-Authentifizierung wechseln.

    @Ralph Wagner: praxistauglich wäre eine 2-Faktor-Authentifizierung, sowie bei Bankautomaten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.