2015 war geprägt durch zahlreiche Hackerangriffe und Datenlecks – das Seitensprungportal Ashley Madison, der Angriff auf den Bundestag und der fremdgesteuerte Jeep sind dabei nur einige prominente Beispiele. Hackern wurde es dabei teilweise sehr einfach gemacht. Die Notwendigkeit ein starkes Passwort zu nutzen wird daher immer wichtiger.
Der Inhalt im Überblick
Das perfekte Passwort?
Gibt es das perfekte Passwort? Ein klares „Jein“! Aufgrund der anhaltenden rasanten Entwicklung der Technik kann auch ein perfektes Passwort theoretisch in absehbarer Zeit geknackt werden. Bei der sogenannten Brute Force Attacke probiert der Angreifer dafür in Sekunde zahlreiche Passwortkombinationen aus. Weitaus häufiger werden Passwörter aber durch mangelhafte Verwaltung (bspw. fehlender regelmäßiger Passwortwechsel) oder durch das Ausspionieren kompromittiert (Infektion des Systems oder Phishing).
Man sollte es einem Hacker oder Angreifer trotzdem durch die Verwendung eines starken Passwortes so schwer wie möglich machen an die begehrten Daten zu kommen – nicht nur im privaten Umfeld sondern auch in Ihrem Unternehmen.
Gestaltung eines starken Passwortes
Selbstkontrolle bzw. Selbstschutz ist der erste Schritt! Darum geben wir hier ein paar Tipps zur Gestaltung eines sicheren Passwortes. Die Gestaltung des Passwortes richtet sich dabei grundsätzlich hinsichtlich der Komplexität und Länge auch nach der Art der zu schützenden Daten. Man sollte jedoch Folgendes dabei beachten:
- Die Zusammensetzung des Passwortes sollte so komplex sein, dass es nicht leicht erraten werden kann.
- Das Passwort sollte jedoch auch nicht so kompliziert sein, damit der Nutzer sich dieses mit vertretbarem Aufwand merken
Mindestanforderungen an ein starkes Passwort
Grundsätzlich sollten folgende Aspekte, die auch vom Bundesamt für Sicherheit der Informationstechnik (BSI) als Mindeststandard angesehen werden, bei der Gestaltung eines Passwortes berücksichtigt werden:
- Mindestens 8 Zeichen, wobei sich die Länge nach dem Schutzbedarf der Daten richten sollte;
- Kombination aus Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern (3 von 4 Kriterien sollten erfüllt sein; technische Umsetzung am Idealsten);
- Keine Verwendung von Trivialpasswörtern, die leicht zu erraten sind; bspw. fortlaufende Ziffern, Name des Haustieres, Geburtsdatum, oder einer Kombination dieser;
- Keine Fortlaufenden Passwörter, bspw. Kennwort1, Kennwort 2.
Es sollte beachtet werden: Je einfacher das Passwort gewählt ist, umso schneller kann dieses geknackt werden!
- Bei einem aus 5 Zeichen (3 Kleinbuchstaben, 2 Zahlen) bestehenden Passwort kann durch automatisches Ausprobieren aller Kombinationen innerhalb von 0,03 Sekunden einen Treffer bedeuten.
- Bei einem Passwort bestehend aus 9 Zeichen (bestehend aus 2 Großbuchstaben, 3 Kleinbuchstaben, 2 Zahlen, 2 Sonderzeichen) benötigt das System ca. 9 Jahre bis es geknackt ist. In der Zwischenzeit hat man hoffentlich das Passwort gewechselt.
Sichere Aufbewahrung
Natürlich schützt ein noch so komplexes Passwort nicht davor, dass ein Unbefugter Kenntnis davon erlangt, wenn es nicht sicher aufbewahrt wird. Der Aufkleber am Bildschirm mit dem Passwort macht es zwar für den Nutzer einfach sich das Passwort zu merken, jedoch erleichtert dies auch einem Unbefugten den Zugang zum Computer.
Ein Passwort sollte daher leicht zu merken sein. Bedenkt man jedoch die schiere Vielzahl der Passwörter, die sich ein normaler Mensch in seinem Alltag – privat und beruflich – merken muss, ist es manchmal schwierig sich alle zu merken. Außerdem ist der Mensch ein Gewohnheitstier und vernachlässigt die Verwendung von unterschiedlichen Passwörtern für jeden Login. Hier kann einem heutzutage die jedoch ebenfalls die Technik zu Hilfe kommen. Passwortsafes, wie KeePass, 1Password, LastPass ermöglichen die sichere Aufbewahrung von zahlreichen Passwörtern. Der Nutzer muss sich hier nur ein „Masterpasswort“ für den Passwortsafe merken und gelangt einfach zu allen anderen Passwörtern. Ansonsten sollte davon abgesehen werden, das Passwort niederzuschreiben.
Praxistipp
Neben Hilfsprogrammen gibt es noch weitere Kniffe, um sich besonders sichere Passwörter wie B%y0m1Iw@thl1 zu merken. Eine Möglichkeit ist ein Passwort aus unzusammenhängenden Begriffen zusammenzuwürfeln, z.B. Datenschutzbeauftragter, Strand und Esel. Dazu erfindet man dann eine kleine Geschichte. Je ausgefallener, desto leichter lässt sich diese merken. Der Datenschutzbeauftragte macht im Sommer einen Strandurlaub mit seinem sprechenden Esel. Das Passwort „DatenschutzbeauftragterStrandEsel“ ist an sich schon solide. Anschließend kann man noch Buchstaben durch Zahlen und Sonderzeichen ersetzen und schon hat man ein vergleichsweise einfach zu merkendes Passwort wie D@t%nschutzb%@uftragt%rS7randE53l.
Eine weitere Möglichkeit für ein starkes Passwort ist die Kryptographie des eigenen Lieblingssong. Dafür nimmt man einen Ohrwurm wie „I walk the line“ von Johnny Cash:
„Because you’re mine, I walk the line.“
Von dem Refrain wählt man dann jeweils z.B. immer die ersten zwei Buchstaben des Wortes (BeyomiIwathli). Anschließend tauscht man wieder einzelne Buchstaben durch Sonderzeichen und Zahlen aus und erhält B%y0m1Iw@thl1. Solche Passwörter sind für den Menschen durch die Geschichte oder den Song relativ leicht nachzuvollziehen und zu merken. Für Maschinen hingegen sind sie relativ schwer zu knacken.
Umsetzung im Unternehmen – Passwortrichtlinie
In einem Unternehmen ist die Umsetzung auch manchmal nicht so einfach. Jedoch kann hier die IT-Abteilung die Umsetzung im Unternehmen unterstützen und beispielsweise folgende technische Vorkehrungen implementieren:
- Verwendung von Individualpasswörtern;
- Bei der Eingabe des Passwortes sollte dies auf dem Bildschirm nicht angezeigt werden;
- Sperrung des Nutzerkontos bei 3-5 Fehlversuchen;
- Mindestanforderungen an ein Passwort: mind. 8 Zeichen, Kombination aus Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern;
- Regelmäßiger durch das System initiierter Passwortwechsel, bspw. nach 90 Tagen;
- Unterbindung der Verwendung von alten Passwörtern (Passworthistorie; bspw. 5-10 Generationen).
Um all diese Punkte in einem Unternehmen auch dem Mitarbeiter gegenüber mitzuteilen, lohnt es sich die Zeit in eine Passwortrichtlinie, die teilweise in der IT-Richtlinie Platz findet, zu investieren. Vergessen sollte man nicht, dass auch Smartphones heutzutage wichtige Daten beinhalten und genauso wie ein Computer genutzt werden können. Folglich lohnt es sich auch hier ein Passwortkonzept zu implementieren. Bei der Umsetzung ist Ihnen sicherlich Ihr Datenschutzbeauftragter in Zusammenarbeit mit Ihrer IT-Abteilung behilflich.
Sehr gute Tipps! Vielen Dank!
Ich empfehle einen Blick auf „Hacker können LastPass-Zugangsdaten stehlen“.
http://www.pcwelt.de/news/Hacker-koennen-LastPass-Zugangsdaten-stehlen-9913629.html
Netter Artikel, jedoch scheint die Technik von BruteForce nicht ganz verstanden worden zu sein. Ein Zeichen ist ein Zeichen, egal ob „%“ oder „a“, insofern bringen Sonderzeichen IMHO keinen signifikanten Gewinn an Sicherheit. Statt dem Unfug mit schwer zu merkenden – und im Ausland oder der versehentlich englischen Tastatur kaum einzutippenden – Kennwort sollte man einfach ein paar Zeichen länger wählen: „IchMagBatteriePferdeApfelmusMitExtraLoeffel“ dürfte per Brutforce deutlich länger brauchen als Pseudo-Leetspeak… ;-)
Just my 2 cents
Netter Cartoon zu dem Thema: https://xkcd.com/936/
Vielen Dank für den Hinweis und natürlich für den netten Cartoon. :)
Bei einer Brute Froce Attacke haben sie natürlich recht. Ob man ein Sonderzeichen oder ein anderes Zeichen („a“) verwendet, ist beim bloßen „Ausprobieren“ der möglichen Kombinationen bis zur Lösung, wie es bei einer Brute Force Attacke der Fall ist, eigentlich egal. Wenn allerdings bei einer Brute Force Attacke neben den Kombinationen aus Groß-, Kleinbuchstaben und Ziffern zusätzlich alle Sonderzeichen durchlaufen werden müssen, dauert es für den Angreifer durch die erhöhte Vielzahl an Möglichkeiten ggf. länger ein Passwort zu knacken. Bei der Gestaltung eines Passwortes sollte daher sowohl auf eine Kombination aus Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern (3 von 4 sollten erfüllt sein) als auch auf die Länge des Passwortes selbst geachtet werden. Zwar gibt es kein 100%ig „perfektes“ bzw. „unhackbares“ Passwort, allerdings kann es der Nutzer dem Angreifer so erheblich schwerer machen.
Hallo Dr. D! Welchen Passwort Safe können Sie empfehlen? Es gibt zahlreiche auf dem Markt und da tut man sich doch etwas schwer. Manche verlangen sogar eine monatliche Gebühr. Vielen Dank!
Eine konkrete Empfehlung ist immer schwierig, da es zwischen den einzelnen Anbietern doch erhebliche Unterschiede in der Usability und dem Leistungsumfang gibt. Je nach den gewünschten Einsatzbereich sind daher unterschiedliche Anwendungen empfehlenswert.
Generell sollte man bei der Auswahl aber auf verschiedene Aspekte achten. So sollte z.B. der Container eine möglichst starke Verschlüsselung (AES-256 o.ä.) aufweisen.
Der Programmcode sollte als Open Source verfügbar sein. So kann man sich recht sicher sein, dass etwaige Programmierschwachstellen bzw. Sicherheitslücken von der (möglich größten) Community schnell identifiziert werden.
Schließlich sollte man auf die Plattformverfügbarkeit achten. Sinn eines Passwort Safes ist es ja, möglichst komplexe Passwörter leicht zu verwalten und automatisch bereit zu stellen. Es sollte gewährleistet sein, dass die Anwendung auch für alle eingesetzten Plattformen (insbesondere Browser, Betriebssysteme) zu Verfügung steht.
Hallo Dr. Datenschutz, woher stammen die Informationen zur „Brute-Force-Pwd-Knack-Dauer“? Gibt es hierzu weitere Infos (z.B. wie sich die Geschwindigkeit im Laufe der Jahre geändert hat?
Die Dauer wurde damals vom Autor selbst berechnet. Die Formel dafür ist [(Anzahl der möglichen Zeichen)^(Passwortlänge)] / (Passwörter pro Sekunde). Der Wert Passwörter pro Sekunde hängt immer von der eingesetzten Technik und dem Dateiformat des Passworts ab, welche zu stark unterschiedlichen Ergebnissen führen. Im Internet lassen sich dazu verschiedene Benchmarks finden.
Soweit die Theorie… Und dann kommen die 1-n Systeme, mit denen der Anwender täglich zu tun hat und die noch ihre eigenen Passwortvergabe-Regeln aufsetzen. Resultat: Post-it am Bildschirm.