Passwort: Bitte nicht kurz und knackig!

Artikel von Dr. Datenschutz·6. Mai 2011

Nach Meldungen von heise online lassen „Anomalien im Netzverkehr“ die Datenbanken des Passwortspeicherdienstes LastPass befürchten, dass unter Umständen Einbrecher an vertrauliche Informationen gelangt sind – dies betrifft möglicherweise einige Masterpasswörter von Kunden. Bei LastPass handelt es sich um einen Online-Passwortmanager, der via Browser-Plug-ins automatisch Login-Formulare von Webseiten ausfüllen kann. Den Vorfall nahm der Anbieter zum Anlass, alle Kunden zum Wechsel ihres Masterpasswortes zu zwingen.

Der Inhalt im Überblick

Angriff auf Passworte
Methoden für Angriffe auf Passworte
Wie sicher ist das Passwort?
Gestaltung und Gebrauch von Passworten
Passwort-Check

Angriff auf Passworte

In diesem Zusammenhang wird erneut auch die Sicherheit von Passworten thematisiert. Der Angriff auf Passworte ist eine von zahlreichen Methoden, um vorsätzlich die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten anzugreifen.

Angriffe auf Passworte haben für den Angreifer meist sehr gute Erfolgsaussichten. Denn einerseits sind Passworte relativ einfach in Erfahrung zu bringen. Zum anderen sind bei Kenntnis des entsprechenden Passwortes alle weiteren Angriffe sehr einfach durchführbar.

Methoden für Angriffe auf Passworte

Beliebte Methoden für Angriffe auf Passworte sind u.a. das einfache Erraten und Ausspionieren, ebenso wie Brute Force Attacken und Phishing.

Wie sicher ist das Passwort?

Heutzutage kann sich ein Computernutzer nicht mehr mit ein oder zwei Passworten durchschlagen. Neben Zugangsdaten für verschiedenen Computer und Programme werden für die Nutzung der zwischenzeitlich ins Netz verlagerter Dienste angefangen vom Online-Banking über Online-Zugtickets bis hin zum virtuellen Postschalter Registrierungen mittels Benutzernamen und Kennung gefordert.

Passwörter sind der Schlüssel zu vielen wichtigen Daten. Der Verlust dieser Daten bringt große Gefahren, insbesondere für Unternehmen mit sich. Daher ist nicht nur der sichere Umgang mit Passworten sowohl im privaten als auch im geschäftlichen Bereich, sondern auch bereits dessen Gestaltung unter Berücksichtigung bestimmter Sicherheitsstandards unerlässlich.

Gestaltung und Gebrauch von Passworten

Sowohl für die datenschutzrechtskonforme Gestaltung als für den entsprechenden Gebrauch von Passworten enthalten beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) zahlreiche Regelungen. Danach sollte

die Verwendung von Trivialpasswörtern (z.B. 12345) vermieden werden,
das Passwort aus mindestens 8 Zeichen bestehen,
von denen mindestens eines ein Sonderzeichen oder eine Zahl ist,
eine Sperrung des Systems nach wenigen Fehleingaben eingerichtet sein,
einen Passwortwechsel nach 90 Tagen erfolgen,
die Verwendung alter Passworte (Passworthistorie) verhindert werden sowie
die systemseitige Initiierung des Passwortwechsels sichergestellt sein.

Passwort-Check

Zur Bewertung eines Passwortes als sicher oder unsicher bietet unter anderem der Datenschutzbeauftragte des Kantons Zürich den Online-Dienst Passwort-Check an. Wer sich außerdem damit auskennen sollte, ist Ihr Datenschutzbeauftragter. Gut also, wenn Sie einen haben…

- Brute Force
  Brute-Force-Angriffe einfach erklärt sowie SchutzmaßnahmenFachbeitrag·14. Oktober 2022
- Kryptographie – Ein leeres Versprechen?Fachbeitrag·24. Juni 2022
- Passwörter hashen: Sicherer mit Salt and PepperFachbeitrag·26. Juni 2020
Mehr zum Thema
- BSI
  Implementierung sicherer KI-Systeme in UnternehmenFachbeitrag·1. Dezember 2023
- Storm-0558 und der mysteriöse Schlüssel zur MS CloudFachbeitrag·8. September 2023
- IT-SiG 2.0: Was sind Systeme zur Angriffserkennung (SzA)?Fachbeitrag·30. Juni 2023
Mehr zum Thema
- IT-Grundschutz-Kataloge
  Das neue IT-Grundschutz-Kompendium 2019 ist daNews·21. Februar 2019
- Das Cloud-Computing hält Einzug in die IT-Grundschutz-KatalogeFachbeitrag·12. Januar 2015
- Ungewollte Informationsweitergabe – der Feind hört mit...Fachbeitrag·1. Dezember 2010
Mehr zum Thema
- Passwort
  Und täglich grüßt das Datenleck – Heute: Cannabis ClubsNews·10. April 2024
- Wie funktionieren eigentlich Passwörter?Fachbeitrag·8. März 2024
- Single Sign-On und Multi-Faktor-AuthentifizierungFachbeitrag·15. Dezember 2023
Mehr zum Thema
- Passwort-Check
  Single Sign-On und Multi-Faktor-AuthentifizierungFachbeitrag·15. Dezember 2023
- Warum das Passwort nicht mehr ständig geändert werden mussNews·11. Februar 2020
- "Ändere dein Passwort" - TagNews·1. Februar 2016
Mehr zum Thema
- Phishing
  OSINT Footprinting: Deep Dive in den Kopf eines HackersFachbeitrag·9. April 2024
- LfDI Baden-Württemberg veröffentlicht TätigkeitsberichtFachbeitrag·21. Februar 2024
- E-Mail-Analyse als Tool zur Bekämpfung von CybercrimeFachbeitrag·2. Februar 2024
Mehr zum Thema
- Sicherheitsstandard
  Cloud-Verschlüsselung: Methoden & Anbieter für sicherere DatenFachbeitrag·14. April 2023
- IT-Sicherheitsbedrohung: Sicherheitslücken und SchwachstellenFachbeitrag·31. März 2023
- Datenschutz-Zertifizierung für Microsoft Cloud-DiensteNews·19. Februar 2015
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Wie kann man denn seine Passwoerter von einem ext. Dienstleister speichern lassen (auch wenn das Master gehasht ist)? Das ist ja fast so dumm wie eine TAN-Liste einzuscannen und als Bild auf der Festplatte abzuspeichern.
Wenn ich mir meine Pass nicht merken kann oder einfach nur zu faul für die Eingabe bin, dann brauche ich eine ext. Crypto Dongle. Komfortabel und kosten nur wenige EUR.

peter am 6. Mai 2011, 17:23 Uhr

Antworten