Passwortkomplexität

Die Stärke des verwendeten Passwortes war und ist, immer noch, die einzige Hürde, die von einem Angreifer (intern wie extern) genommen werden muss, um sich Zugang zu einem System zu verschaffen.

Hierbei ist es egal ob es sich um den Web Mail Anbieter, eBay, PayPal, das Benutzerkennwort zum Firmennetzwerk oder den Apple Account handelt.

Es gilt die Grundregel: „Jedes Passwort ist unsicher und Jedes Passwort lässt sich mit genug Zeit und Rechenleistung errechnen“.

Folgende Fragen müssen Sie sich stellen:

  • Wie sicher/unsicher ist mein eigenes Passwort? Wieviel Aufwand könnte es bedeuten dieses Passwort „auszurechnen“?
  • Wieviel Wert hat der mit dem Passwort abgesicherte Zugang „für mich“ oder „für andere“?
  • Wie steht es um meine Sorgfaltspflicht, Datenschutz, Rechtssicherheit, etc.?

Folgende Aussagen würden wir an dieser Stelle gerne direkt entkräften:

  • Wie wichtig kann ich schon sein?
    Jeder Datensatz ist wichtig, jeder Schnipsel Information hat seinen Wert – identitätsdiebstahl, zielgerichtete Werbung, etc.
  • Wer würde schon meine Daten stehlen?
    Jeder der ein gewinnorientiertes Interesse hat diese Daten gegen Sie selbst oder andere zu verwenden
  • Ich habe nichts zu verbergen!
    V
    orname? Nachname? Adresse? Alter? Geschlecht? Interessen? ….? – Das freut jeden Datenschützer
  • Als würde ein international agierender Hackerring meine kleine unbedeutende Firma angreifen!
    Wenn dies einfach genug ist? der Aufwand gering ist? Aber sicher doch! (Automatisierte Angriffe)

Bitte bedenken Sie immer – Daten sind nicht nur schützenswert (Datensicherheit = z.B. Datensicherung, Firewall, Sicherheitsrechte etc.), Auch Sie müssen vor Ihren Daten geschützt sein! (Schutz vor Daten = z.B. Identitätsdiebstahl) – Das sind die zwei Seiten derselben Medaille namens Datenschutz.

Hier in diesem Dokument, soll es vor allem um den Schutz der Daten in Firmen gehen, die Firma in der Sie arbeiten! Steuerberater? Rechtsanwalt? Arzt? Krankenpflege? Hier sind die Anforderungen an den Datenschutz nochmal verschärfter!

Sie haben einen Email Account in der Firma den Sie mit dem Smartphone abrufen können? Sie arbeiten von zu Hause auf Ihrem PC in der Firma oder auf einem Terminal Server? Hierbei verwenden Sie dasselbe Passwort das Sie auch morgens zum Anmelden am Firmen PC benötigen! Sie arbeiten an dieser Stelle mit Diensten die von außen rund um die Uhr erreichbar sind! Daher muss ein gutes Passwort Pflicht sein.

Es ist ebenso unerlässlich das kein Kollege/In das Passwort des anderen kennt! Das Wissen um Kennworte Ihrer Kollegen führt ganze Sicherheitssysteme ad absurdum und würde im Falle einer Zugriffsverfolgung den falschen Mitarbeiter ausweisen. Teilen Sie niemals unter keinen Umständen Passworte mit Kollegen/Innen! Es gibt für jede Anforderung die diesen Umstand herbeiführen würde eine technische Lösung! Sprechen Sie uns an!

Nachfolgend einige Regeln wie man sichere Passworte erstellt, die man sich auch merken kann:

  • Erstellen Sie sich einen Merksatz der Ihnen persönlich etwas bedeutet
    z.B. „
    Mein Hund ist der Allerbeste“ = MHidA
  • Nehmen Sie sich eine Zahl die Ihnen etwas bedeutet (Jahrestag, Hochzeitstag, Geburtstag der Kinder, etc.)
    z.B. 18.12.1979 = 181279
    Nehmen Sie keine Daten die sich auf Sie beziehen, sondern auf andere. Mischen Sie diese Zahlen oder drehen sie diese.
    Verwenden Sie nicht den Gebutstag Ihres Mannes, Ihrer Frau wenn diese Daten öffentlich bei Facebook gepostet sind.
    Ein StarWars Fan würde vielleicht den 04.05 ins Auge fassen - May the Fourth - May the Force be with you. Wortspiel.
  • Wirklich schwer zu errechnen und definitiv das Salz in der Suppe sind Sonderzeichen!
    z.B. ein $ ein / oder ein % Zeichen am Anfang des Passwortes, in der Mitte und/oder auch am Ende.
  • Das Passwort könnte dann so aussehen: $MHidA/181279%
  • Es ist sicherer Groß- und Kleinbuchstaben abzuwechseln als diese in Blöcke zu setzen.
  • Hilfreich ist es auch Zahlen/Sonderzeichen durch Buchstaben zu ersetzen oder andersherum.
    z.B. Pa55word oder Pa$$word

Anmerkung:

  • Die oben aufgeführten Regeln richten sich gegen Brute Force-Attacks (stumpfes durchprobieren von allen möglichen Kombinationen an Zahlen, Buchstaben, Sonderzeichen, etc. Erfordert vor allem Rechenleistung)
  • Die oben aufgeführten Regeln richten sich gegen Dictionary-Attacks  (Durchprobieren von echten Wörtern)
  • Diese Regel hilft nicht gegen sogennantes Social Engineering (zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Informationen oder technische Infrastrukturen zu gelangen. Quelle: WikiPedia)

Seien Sie also trotz der oben gennanten Tips vorsichtig! Das sind nur möglichst banale Beispiele die beim bauen eines Passwortes helfen sollen - Seien Sie immer vorsichtig mit "echten" Daten!

Was Sie auf garkeinen Fall machen sollten:

  • Verwenden Sie nie „echte“ Worte wie sie in Wörterbüchern, Lexika oder einer Sprache im Allgemeinen vorkommen. Absolut tödlich sind Worte wie „passwort“, „hund/katze/maus“, „sonne“, „liebe“, Gerätehersteller oder auch jedes andere reale Wort.
  • Passworte mit 8 Zeichen oder weniger sind grundsätzlich unbrauchbar. Microsoft empfiehlt Passworte mit einer Länge von mindestens 14 Zeichen, der BSI sagt hier 12. Wenn wir uns das oben erstellte Beispielpasswort anschauen sind wir schon bei 14 Zeichen, ohne viel Mühe investiert zu haben.
  • Speichern Sie Passworte oder ganze Passwortlisten niemals auf Ihrem Smartphone oder, noch schlimmer, in einer Word/Excel bzw. Text-Datei auf Ihrem Computer ab (Der Nutzen diese Dateien mit einem Passwort zu versehen, tendiert gen Null!).
  • Verwenden Sie nie Ihren Namen, einen Teil Ihres Namens, Firmennamen etc. (Das gilt im Besonderen auch für WLANs!)
  • Schreiben Sie Ihr Passwort nicht auf einen Zettel und hängen diesen an Ihren Monitor oder legen ihn unter Ihre Schreibtischauflage.
  • Verwenden Sie niemals, unter keinen Umständen dasselbe Passwort und dieselbe Email Adresse bzw. Benutzernamen für unterschiedliche Dienste. Im Besonderen, wen diese mit Geld zu tun haben (z.B. eBay, Amazon, PayPal, Apple Account etc.)

Erweiterte Tipps zum Thema Passwort:

  • Sie haben Angst das sich kein Mensch mehr diese ganzen Passworte merken kann? Sie haben recht!
    Die Software LastPass ist kostenlos und integriert sich in Ihren Browser (Internet Explorer, FireFox, Chrome etc.). Diese Software speichert die Anmeldedaten Ihrer Webseiten sicher (Im Gegensatz zu den Browserinternen Passwortdatenbanken) online auf den LastPass-Servern und füllt Ihnen beim Aufruf der Seite Benutzername und Passwort automatisch aus. Die Premium Version kostet 12$ im Jahr und ermöglicht den Einsatz einer weiteren Schutzschicht namens 2Faktor-Authentifizierung (dazu unten mehr). LastPass gibt es auch als App für alle gängigen Smartphones / Tablets und erlaubt es Webseiten mit automatischer Passworteingabe auch auf den Mobilgeräten zu nutzen (Premium erforderlich). Weiter ermöglicht es die Software mit "Sicheren Notizen" jede andere Art von Zugangsdaten zu speichern, von WLAN Schlüsseln bis Kreditkartendaten. Formulardaten automatisch ausfüllen zu lassen ist nur eine weitere komfortable Funktion. Sicher gilt hier aber auch erst dann wenn ein 2Faktor System verwendet wird (Nur mit Premium).
  • Wenn Sie Passworte professionell Verwalten (z.B. mit LastPass), drängt sich sehr schnell die Frage auf: „Warum Passworte noch ausdenken?“ LastPass generiert Ihnen ein kryptisches Passwort und verwaltet dieses ohne dass Sie es eingeben müssen. So können Sie auf einfache Weise auch sehr starke Passworte verwenden, wie z.B.: a48tK?8TL{PxVfbKJXz[d6]9 (24 Zeichen).
  • Wenn Sie Passworte selber generieren möchten schauen Sie sich mal einen Passwortgenerator an.
    Wenn Sie LastPass verwenden ist dort schon ein Passwortgenerator integriert den wir an dieser Stelle auch unbedingt präferieren wollen!
  • Wenn Sie testen möchten wie sicher Ihr Passwort ist geben Sie eine Abwandlung davon (nie das echte!) hier in der Form ein, dass Sie sich zwar an Ihre Zeichenlänge, verwendete Groß/Klein-Buchstaben, Zahlen und Sonderzeichen halten aber andere Zeichen anstelle der originalen eingeben. Beachten Sie bitte weiter, dass die dort angezeigte Dauer zum knacken Ihres Passwortes sich auf die Rechenleistung eines einzelnen normalen Büro PCs bezieht. Hacker verwenden aber nicht einzelne Computer, sondern im schlimmsten Fall zehntausende von zusammengeschalteten Rechnern (Server Farm, BOT-Netzwerk, etc.). Somit verkürzt sich die angezeigte Dauer, je nach Anzahl der Computer die gleichzeitig an Ihrem Passwort rechnen, dramatisch!
  • 2Faktor-Authentifizerung: Zu Beginn des Dokumentes wurde erwähnt, dass jedes Passwort am Ende, egal wie stark, unsicher ist (Mit genug Rechenleistung lässt sich alles errechnen). Diesem Problem kann man mit einem einfachen Mechanismus entgegen wirken. Der Zwei-Faktor-Authentifizierung. GoogleTFA (Google Two Faktor Authentication), OTP (One Time Password) oder Sicherheits-Token (z.B. RFID, RSA, SMS) beschreiben im Grunde dasselbe Verfahren, welches den Schutz durch ein Passwort um eine weitere Sicherheitsebene ergänzt. Entscheidend ist der Punkt das ein 2Faktor gesichertes System erst Benutzername und Kennwort verlangt und dann einen Einmalcode anfordert der von einem externen System generiert wird und eine extrem kurze Verfallszeit hat. Bekannt ist hier der Google-Authenticator oder YUBI-Key. Beides sind Zusatzsysteme die persönliches interagieren, mit einer zusätzlichen Hardware (z.B. Smartphone, RFID Chip, USB-Key, NFC, RSA etc.) erfordern. Vorausgesetzt niemand außer Ihnen, hat Zugriff auf dieses System! Sie kennen sicher das CHIP-TAN Verfahren Ihrer Bank, der Ansatz ist derselbe.

Der BSI hat hier natürlich auch etwas zu zusagen!
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html

Und hier noch eine schöne Seite von der CosmosDirekt
https://www.cosmosdirekt.de/sicherheit-im-internet/sicheres-passwort/