Die private und unternehmerische Sicherheit fängt beim Passwort an. Insbesondere in Unternehmen sind die Passwörter von Mitarbeitenden ein Problem. Denn das menschliche Hirn ist kein Computer. In der Folge werden häufig kurze, simple Zeichenabfolgen gewählt, die bei Brute-Force-Attacken schnell geknackt werden können.
Nicht nur Betriebe schreiten mit der Automatisierung und Digitalisierung mit, Cyberkriminelle entwickeln sich genauso in diese Richtung. Auch sie nutzen automatisierte Vorgänge und AI, um effizient und in schneller Abfolge die üblichen Schwachstellen zu attackieren. Phishingmails und Brute-Force-Angriffe bieten den Hacker:innen die Möglichkeit, unzählige Ziele zügig abzuklappern. Der Einsatz von Algorithmen für kriminelle Absichten ist in diesem Jahr auf einem Rekordhoch. Neben der regelmässigen Schulung von Mitarbeitenden bezüglich verdächtigen E-Mails ist vor allem auch die Regelung von starken Passwörtern essenziell.
Was macht ein Passwort unsicher?
Wir leben in einer Welt der Passwörter. Privat und auf der Arbeit müssen wir uns mit massenweisen Zugangscodes herumschlagen. Einige Dienste und Websites verlangen, dass gewisse Sicherheitsanforderungen erfüllt werden. Andere enthalten wiederum keine Vorgaben. Fachkundige warnen jedoch vor den folgenden schlechten Eigenschaften eines Passworts.
Passwortmenge: Leider ist es gang und gäbe, für unterschiedliche Dienste dieselben oder ähnliche Passwörter zu verwenden. Die Gefahr hierbei ist, dass wenn Hacker:innen eines der Logins knacken, schnell auch Zugang zu den anderen finden werden. Um solch einen Vorfall zu vermeiden, sollte man für jede Website und Applikation ein einzigartiges Passwort festlegen.
Länge: Noch vor Komplexität ist die Zeichenanzahl ein wichtiges Sicherheitsmerkmal. Mit jedem Charakter mehr dauert auch die automatische Auswertung länger. Empfohlen wird aus diesem Grund, mindestens 8 bis 16 oder mehr Zeichen zu verwenden.
Wortwahl: Viele Menschen greifen auf bekannte Wortkombinationen zurück, um sich die Passwörter merken zu können. Tatsächlich nutzen Cyberkriminelle Wörterbücher als Grundlage, um bei Brute-Force-Angriffen Kennwörter zu knacken. Deshalb verzichtet man besser auf Worte, die auch so im Duden erscheinen, optimalerweise kann man die Zeichenabfolge gar nicht aussprechen.
Persönlicher Bezug: Genauso wenig sollten persönliche Informationen wie Geburtstage, Haustiere, Adressen und dergleichen in die Logins integriert werden. Durch Social Engineering können Cyberkriminelle an diese Bezüge herankommen und ein Eindringen erleichtern.
Muster: Schematische Zeichenabfolgen sollten nicht Teil eines Passwortes sein. Zum Beispiel verringern zusammenhängende Zahlen oder dasselbe Zeichen mehrere Male hintereinander die Komplexität erheblich. Dazu gehören ausserdem Buchstabenfolgen, wie sie auf der Tastatur zu finden sind, beispielsweise das bekannte «qwertz».
Sonderzeichen: Grundsätzlich sind Sonderzeichen eine gute Idee und werden auch von Sicherheitsexpert:innen empfohlen. Allerdings erhöhen sie die Sicherheit nicht, wenn sie als Ersatz für ähnlich aussehende Buchstaben oder Zahlen verwendet werden. Tatsächlich ist zum Beispiel «pa$$wort» kaum schwieriger zu knacken als «passwort», insbesondere wenn Brute-Force-Methoden zum Einsatz kommen.
Plain-Text: Bei den vielen Passwörtern ist die Versuchung hoch, sich diese irgendwo zu notieren, um sie nicht zu vergessen. Dennoch sollten sie nicht im Plain-Text abgespeichert oder auf einem Zettel aufgeschrieben werden. Auch sollten Logins nicht weitergegeben werden. Selbst die IT-Abteilung darf die persönlichen Zugänge der Mitarbeitenden nicht kennen.
Für Aufsehen sorgte das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI, als es 2020 die Empfehlung zum erzwungenen Passwortwechsel revidierte.
Wie kann man sichere Passwörter erstellen?
Die oben genannten Punkte zu vermeiden, scheint in der Theorie einfach, in der Praxis finden Studien aber immer wieder, dass sich ein grosser Teil nicht daran hält. Egal wie simpel oder komplex die Tipps sind, Menschen wählen den Weg des geringsten Widerstands oder in diesem Falle: des geringsten Erinnerungsaufwands. Trotzdem gibt es einige Erfahrungswerte, aus denen man Best Practices extrapolieren kann.
Passphrasen: Eine Vorgehensweise, um ein sicheres Passwort zu erstellen, ist, sich eine einfach zu merkende Phrase auszudenken. Zum Beispiel: «Im Bett darf ich keine Chips essen? Nur weil 2019 alles voller Krümel war!» Daraus entsteht das Passwort «IBdikCe?Nw2019avKw!». Ein guter Weg, um die häufigsten Fallen zu vermeiden und es sich trotzdem merken zu können.
Multifaktor-Authentifizierung: Auf der technischen Seite kann man ebenfalls einiges bewirken. Falls vorhanden, sollte die Zwei- oder Multifaktor-Authentifizierung aktiviert werden. Egal ob zusätzlicher Fingerabdruck, SMS-Code oder Bestätigung per App, die Zwischenschritte erhöhen die Sicherheit enorm.
Versuchsbegrenzung: Für Unternehmen ist es sinnvoll, eine Versuchsbegrenzung für Logins festzulegen. Nach einigen Anläufen sollte der Account für eine gewisse Dauer gesperrt bleiben. Auf diese Weise nimmt man Brute-Force-Angriffen den Wind aus den Segeln und man erhält Zeit zu reagieren, auch bei kurzen Sperrzeiten.
Passwortwechsel, ja oder nein?
Unter Sicherheitsexpert:innen tobt in den letzten Jahren ein Kampf darüber, ob Passwörter gezwungenermassen in regelmässigen Abständen gewechselt werden sollten. Das Nationale Zentrum für Cybersicherheit NCSC führt dies als optionale Empfehlung auf. Für Aufsehen sorgte das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI, als es 2020 die Empfehlung zum erzwungenen Passwortwechsel revidierte und es als potenziell schädlich einstufte. Nur bei Hinweisen auf eine Kompromittierung eines Accounts sollten alle Passwörter konsequent geändert werden. Das amerikanische National Institute of Standards and Technology NIST war die Ursache für den Kurswechsel. Laut dem Institut kann ein erzwungener Passwortwechsel insofern schädlich sein, da Menschen ihre Logins nur geringfügig ändern oder einfach wählen, da sie sich es andernfalls nicht merken können. Dennoch sind sie der Auffassung, dass für bestimmte Dienste in gewissen Unternehmen ein Zwang Sinn ergibt. Schlussendlich zählt die Stärke des Passworts, nicht wann es definiert wurde.
Schreibe einen Kommentar