Nach Meldungen von heise online lassen „Anomalien im Netzverkehr“ die Datenbanken des Passwortspeicherdienstes LastPass befürchten, dass unter Umständen Einbrecher an vertrauliche Informationen gelangt sind – dies betrifft möglicherweise einige Masterpasswörter von Kunden. Bei LastPass handelt es sich um einen Online-Passwortmanager, der via Browser-Plug-ins automatisch Login-Formulare von Webseiten ausfüllen kann. Den Vorfall nahm der Anbieter zum Anlass, alle Kunden zum Wechsel ihres Masterpasswortes zu zwingen.
Der Inhalt im Überblick
Angriff auf Passworte
In diesem Zusammenhang wird erneut auch die Sicherheit von Passworten thematisiert. Der Angriff auf Passworte ist eine von zahlreichen Methoden, um vorsätzlich die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten anzugreifen.
Angriffe auf Passworte haben für den Angreifer meist sehr gute Erfolgsaussichten. Denn einerseits sind Passworte relativ einfach in Erfahrung zu bringen. Zum anderen sind bei Kenntnis des entsprechenden Passwortes alle weiteren Angriffe sehr einfach durchführbar.
Methoden für Angriffe auf Passworte
Beliebte Methoden für Angriffe auf Passworte sind u.a. das einfache Erraten und Ausspionieren, ebenso wie Brute Force Attacken und Phishing.
Wie sicher ist das Passwort?
Heutzutage kann sich ein Computernutzer nicht mehr mit ein oder zwei Passworten durchschlagen. Neben Zugangsdaten für verschiedenen Computer und Programme werden für die Nutzung der zwischenzeitlich ins Netz verlagerter Dienste angefangen vom Online-Banking über Online-Zugtickets bis hin zum virtuellen Postschalter Registrierungen mittels Benutzernamen und Kennung gefordert.
Passwörter sind der Schlüssel zu vielen wichtigen Daten. Der Verlust dieser Daten bringt große Gefahren, insbesondere für Unternehmen mit sich. Daher ist nicht nur der sichere Umgang mit Passworten sowohl im privaten als auch im geschäftlichen Bereich, sondern auch bereits dessen Gestaltung unter Berücksichtigung bestimmter Sicherheitsstandards unerlässlich.
Gestaltung und Gebrauch von Passworten
Sowohl für die datenschutzrechtskonforme Gestaltung als für den entsprechenden Gebrauch von Passworten enthalten beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) zahlreiche Regelungen. Danach sollte
- die Verwendung von Trivialpasswörtern (z.B. 12345) vermieden werden,
- das Passwort aus mindestens 8 Zeichen bestehen,
- von denen mindestens eines ein Sonderzeichen oder eine Zahl ist,
- eine Sperrung des Systems nach wenigen Fehleingaben eingerichtet sein,
- einen Passwortwechsel nach 90 Tagen erfolgen,
- die Verwendung alter Passworte (Passworthistorie) verhindert werden sowie
- die systemseitige Initiierung des Passwortwechsels sichergestellt sein.
Passwort-Check
Zur Bewertung eines Passwortes als sicher oder unsicher bietet unter anderem der Datenschutzbeauftragte des Kantons Zürich den Online-Dienst Passwort-Check an. Wer sich außerdem damit auskennen sollte, ist Ihr Datenschutzbeauftragter. Gut also, wenn Sie einen haben…
Wie kann man denn seine Passwoerter von einem ext. Dienstleister speichern lassen (auch wenn das Master gehasht ist)? Das ist ja fast so dumm wie eine TAN-Liste einzuscannen und als Bild auf der Festplatte abzuspeichern.
Wenn ich mir meine Pass nicht merken kann oder einfach nur zu faul für die Eingabe bin, dann brauche ich eine ext. Crypto Dongle. Komfortabel und kosten nur wenige EUR.