Was muss ich bezüglich der Sicherheit von Passwörtern beachten?

7 Expertenantworten: Foto von Prof. Dr. Hartmut Pohl Foto von Dirk Buchhalla Foto von Manuel Rundt Foto von Ralf Schmitz Foto von Diethelm Dahms Foto von Frank W. Holliday
...

Antworten:

Foto von Prof. Dr. Hartmut Pohl
Antwort von Prof. Dr. Hartmut Pohl
Geschäftsführer softScheck Sankt Augustin

Folgende Password-Eigenschaften sind relevant:

Wortlänge, Alphabet: Alphazeichen, numerische und Sonderzeichen. Wechselhäufigkeit.

Keine Begriffe aus Wörterbüchern, Lexika oder Namen. 

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

Foto von Dirk Buchhalla
Antwort von Dirk Buchhalla
CDO gulden röttger | rechtsanwälte Mainz

Grundregeln für sichere, starke Passwörter:

  • Es sollte mindestens acht Zeichen lang sein, je länger desto besser
  • Niemals den Nutzernamen, den tatsächlichen Namen, Namen von Familienmitgliedern, Namen von Freunden, das Geburtsdatum usw. verwenden
  • Begriffe vermeiden, die aus einem Wörterbuch stammen
  • Keine einfache Abfolge der Tastatur benutzen (qwertzuiopü)
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (!@#%$*~;.12) bestehen
  • Nutzen Sie einen Passwortmanager um die komplexen Passwörter zu verwalten
  • Nicht das gleiche Passwort für mehrere Konten verwenden

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

Foto von Ron Wieland
Antwort von Ron Wieland
deDATA Kassel

AHHHH das leidige Thema Passwörter, Passsätze etc.

 

Interessante Stimmen die man immer wieder hört...
"Passwort sollte mindestens 8 oder besser 16 Zeichen haben, Groß und Kleinbuchstaben, Sonderzeichen, Zahlen und und und enthalten."

Auch finde ich die Hackingshows immer sehr lustig und verkneife mir in den Vorträgen kritische Fragen, um den "Hacker" nicht unnötig vorzuführen.

Pragmatisch ist was anderes. Wissenschaftliche Studien haben ergeben, dass sich die Mitarbeiter, die sich alle paar Wochen ein neues Passwort merken sollen es sich aufschreiben und unter die z.B. Tastatur kleben.

Mittlerweile gibt es so viele gute Technologien, die eine BruteForce Sinnfrei machen. Der erste Schritt ist eine (Zeitabhängige) Kontensperre nach 5-10 Versuchen einzurichten, egal bei welchem System. Schon ist eine BruteForce Attacke Sinnlos. Hilfreich sind auch 2 Faktor Authentifizierungen unter Zuhilfenahme des Smartphones.

Aus der Erfahrung heraus hat sich Keepass als sehr gute Lösung herauskristalisiert, weil man sich hier gar keine Passwörter (außer das Masterpasswort) mehr merken muss.

In einzelnen Unternehmen mit Zugangsmechnissmen über RFID ist es Wirkungsvoll die Technologie auf die PCs und Arbeitsstationen auszuweiten. Ein Mitarbeiter geht an den PC, diese entsperrt sich, geht er wieder weg, sperrt sich der PC automatisch. Hierbei kann ein MA nur noch einen Sicherheitkey eingeben für besonders sensible Datenbereiche.

Aus Datenschutz und krimminalistischen Aspekten würde ich aber auf Biometrische Systeme verzichten. Ein Passwort kann ich ändern, das Gesicht, oder Fingerabdruck nicht. Sind diese Daten weg, lassen die sich leicht gegen einen verwenden.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

Foto von Manuel Rundt
Antwort von Manuel Rundt
Geschäftsführer IT Compliance Systeme GmbH Köln

Ihre Passwörter sollten nach aktuellem Stand der Technik mindestens 12 Zeichen lang sein (am besten gleich 16-20 Zeichen lang) und Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Alle kürzeren Passwörter können mittlerweile innerhalb von Sekunden bis wenigen Stunden garantiert geknackt werden.

Dabei gilt zu beachten, dass ein Passwort umso sicherer ist, je mehr Zeichen es enthält und je stärker die Großbuchstaben, Zahlen und Sonderzeichen gemischt sind. Beispiel: ein Passwort, dass als erstes Zeichen einen Großbuchstaben enthält, dann Kleinbuchstaben und danach Zahlen und auf ein Sonderzeichen endet, ist dabei deutlich schneller zu knacken, als ein Passwort, wo die Sonderzeichen, Zahlen und Großbuchstaben gut verteilt in der Mitte des Passwortes enthalten sind. Letzteres erhöht den Aufwand zu Cracken derPasswörter enorm.

Ebenso sollten die Passwörter keinewegs aus Worten bestehen, die in Wörterbüchern enthalten sind, da sich solche Passwörter auch bei 20 oder mehr Zeichen innerhalb kürzester Zeit knacken lassen.

Als Idealer Kompromiss zwischen Sicherheit und der Merkbarkeit durch den Benutzer hat sich das folgende System etabliert: Nutzen Sie den Anfangsbuchstaben eines längeren Satzes, den Sie sich leicht merken können und mischen Sie dort Zahlen und Sonderzeichen hinein.

Eine andere Alternative wäre beispielsweise der Einsatz von Passwort-Safes. Diese speichern alle Ihre Passwörter (und können diese auch teilweise automatisch in den Login-Masken ausfüllen). Der Vorteil ist, Sie müssen sich dann nur noch ein kompliziertes Passwort für den Passwort-Safe merken. Beliebte Lösungen hier sind z.B. KeePass oder LastPass.

Für Rückfragen stehe ich Ihnen gerne zur Verfügung.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

2 passende Publikationen von Manuel Rundt

Cover zu Firmware von SSDs
Cover zu Sicherung Digitaler Beweismittel
Foto von Ralf Schmitz
Antwort von Ralf Schmitz
Sicherheitsexperte Sicher-Stark-Team Euskirchen

In meinen Sicherheitsvorträgen und Live-Hacking-Shows  in Unternehmen und Schulen empfehle ich immer wieder keine kurzen Passwörter z. b. "Manfred664" oder "Susie78"  weil diese in 15 Minuten gehackt sind.

Nutzen Sie mindestens 16 Zeichen und diese sollten Großbuchstaben , Kleinbuchstaben, Zahlen und Sonderzeichen immer beinhalten.

Es ist auch möglich sowas zu hacken aber man braucht paar Tage und Großrechner mit viel Leitungskapazitäten.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

1 passende Publikation von Ralf Schmitz

Cover zu Internetsicherheit zum Staunen
Foto von Diethelm Dahms
Antwort von Diethelm Dahms
Geschäftsführer Speech & Phone GmbH Berlin

Dazu gibt es unterschiedliche Ansätze. Die meisten Administratoren bevorzugen komplexe Passwörter. Dazu zeigt folgende Grafik, was zu beachten ist.

https://de.slideshare.net/ddsquare/8-passwort-tipps

  • Keine Wörter aus Lexika
  • Sichere Passwortsafes
  • Lange Passwörter
  • 2-Faktor-Anmeldung
  • Für jede Applikation ein anderes Passwort
  • Kleinbuchstaben, Ziffern, Zeichen und Großbuchstaben
  • Das Passwort zum Passowortsafe sicher offline aufbewahren
  • Für Sicherheitsfragen falsche Antworten eintragen und diese offline aufbewahren

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

2 passende Publikationen von Diethelm Dahms

Cover zu 6 Mythen im Datenschutz
Cover zu Datenschutz in beratenden Unternehmen
Foto von Frank W. Holliday
Antwort von Frank W. Holliday
Principal Consultant für Informationssicherheit & Datenschutz Holliday Consulting Otzberg

Da sicherere, benutzerfreundlichere Alternativen noch nicht so ganz überzeugend sind, ist die Passworthandhabung für Ihre Sicherheit und Ihr Risiko nach wie vor von entscheidender Bedeutung! Sie können ihre Sicherheit beträchtlich erhöhen in dieser Frage, wenn Sie für diese Art von Authentifizierung (Echtheitsprüfung der Person) zusätzlich noch andere Faktoren einsetzen. Man spricht dann von einer Mehr-Faktoren-Authentifizierung MFA oder bei zwei Methoden von 2FA. Eine schöne Beschreibung zur 2FA finden Sie übrigens in Wikipedia unter dem Link: https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung

Prinzipiell gilt je länger die Passwörter sind umso sicherer werden Sie unknackbar. Mit jeder Zeichenstelle mehr wächst der Permutationsbaum nach und nach exponentiell. Was im logarithmischen Maßstab der Passwortentropie - in bits angegeben - sich in einem linearen Anstieg darstellt. Ein Beispiel: eine Entropie von 40 bits entspricht einem Permutationsbaum von 2 hoch 40 Elementen. Eine Entropie von 80 bits entspricht schon einem Permutationsbaum von 2 hoch 40 mal 2 hoch 40 Elementen! Legen Sie den alphabetischen Kleinbuchstabenzeichensatz zugrunde mit 25 Zeichen dann erhalten Sie 40 bits Entropie durch eine Zeichenlänge von aufgerundet 9 Stellen. Eine Entropie von 80 bits (und diese Entropie ist schon nicht schlecht!) erhalten Sie dann in etwa durch die doppelte Zeichenlänge von 18 Stellen. Sie sehen schon durch 18 Stellen von Kleinbuchstaben kann man schon eine ordentliche Entropie erzeugen.

Anwendung: Bilden Sie einen langen Merksatz. Verketten Sie alle Wörter in Kleinbuchstaben geschrieben hintereinander, Sie müssen dabei nicht einmal die Shift-Taste drücken;-). Bei einem ordentlich langen Merksatz sammeln Sie Zeichenstellen nur noch so dahin und Sie haben im Nu eine bombastische Passwortentropie!

Kleiner Tipp dazu: Setzen Sie einen Passwort-Safe oder -manager ein, damit Sie gut unterstützt für jeden Zugang - und das ist für Ihr Risiko wichtig! - tatsächlich ein eigenes Passwort definieren. Nehmen Sie zum Beispiel den kostenlosen Passwort-Safe 'KeePass' (beziehbar über den Link: https://keepass.info/ und das https ist für Ihre Sicherheit wichtig!). Der ist sogar für viele verschiedenartige Betriebssysteme erhältlich (Interoperabilität) und zeigt Ihnen gleich die Passwortentropie in bits angegeben mit an. Immerhin ist die Datenhaltung dieses Passwortmanagers ab Version 2 mit AES-258-bit verschlüsselt. Selbst Quantencomputer der chinesischen oder amerikanischen Dienste können da nicht ran:-) Kombinieren Sie das jetzt für die die Ablage mit einer abgesicherten Private-Cloud, haben Sie den sogar weltweit unter Anwendung einer verschlüsselten VPN-Verbindung sicher bei sich zur Verfügung! Ganz Mutige legen die Datenhaltung von KeePass gleich z.B. in DropBox ab.

Bei nach obigem Verfahren so leicht erzeugten großen Passwortlängen können Sie sich es leisten, den nervig häufigen gerade auch sehr mit Sicherheitsproblemen verbundenen Passwortwechsel zu sparen. Jährliche Perioden sind dann voll ausreichend, wenn Sie mehr Risikoappetit und Passwortentropien >= 128 bits haben, können Sie es riskieren es gleich ganz sein zu lassen. Sie tragen dann allerdings das Risiko einer unentdeckten Kompromittierung des Passworts, welches Sie durch die regelmäßigen Passwortwechsel als Gegenmaßnahme minimieren (mitigieren) oder noch besser durch eine Zwei-Faktoren-Authentifizierung (2FA), z.B. insbesondere für den Masterpasswortzugang eines Passwort-Safes, kompensieren. Wird ein Passwort "abgephisht" (leider nach wie vor eine weltweit erfolgreiche Methode!) oder das Passwort wird versehentlich, wenn nicht sogar absichtlich, oder durch die gelungene Platzierung eines Keyloggers zugänglich gemacht (Kompromittierung), dann müssen Sie so schnell wie möglich handeln und das Passwort auswechseln (so in etwa lautet auch die neueste Empfehlung der amerikanischen Standardorganisation NIST).

Besonderes Augenmerk gilt es den voreingestellten Passwörtern von Herstellern zu widmen. Den Hackern sind diese so gut wie alle bekannt! Hier gilt es unbedingt auf alle Fälle das voreingestellte Passwort durch ein eigen definiertes sicheres Passwort so rasch wie möglich auszutauschen. Sie glauben nicht, was diese Sicherheitslücke sogar bei größeren (oder gerade deswegen?) Unternehmen an enormen Schäden auslösen kann.

Um das Ganze noch näher zu beleuchten kann ich den Leitfaden des BSI empfehlen unter dem Link: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

Vergessen Sie aber den Quatsch mit den vielen einzusetzenden Zeichenklassen. Das kommt noch aus den Zeiten als Passwörter höchstens 8 oder noch weniger Stellen aufweisen durften um damit noch einen Hauch von Entropie erzeugen zu können. Aber mit den obigen Ausführungen verstehen Sie das jetzt ja: Der bedeutend entscheidendere Treiber für Ihre Passwortsicherheit ist der Einsatz großer Passwortlängen.

Eine sehr gute Referenz zum Wissen über Passwörter finden Sie in Wikipedia unter dem Link:
https://de.wikipedia.org/wiki/Passwort

Dem gibt es dann nichts mehr an Wissen hinzuzufügen.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Frank W. Holliday

Cover zu ISM - Zeit für einen Paradigmenwechsel - Update
Cover zu IT-Sicherheitsmanagement - Zeit für einen Paradigmenwechsel
Cover zu Was beinhaltet der Begriff IT-Sicherheit?


Weitere Fragen zum Thema Datenschutz