Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Checkliste: In sieben Schritten sichere Passwörter erstellen

Eric Weis | 09.03.2017 11:31:41 | Lesezeit ca. X Minuten
Ihre Mitarbeiter sollten grundsätzlich sichere Passwörter erstellen. Dies gilt sowohl für die Legitimierung des eigenen Rechners am Arbeitsplatz als auch für die Zugangsdaten von Benutzerkonten aus den Bereichen ERP, CRM und weiteren Unternehmenssystemen. Denn vergessen Sie eines niemals: Sie als Geschäftsführer haben an sicheren Passwörtern ein wesentliches Interesse. Schließlich müssen Sie im schlimmsten Falls die persönliche Haftung für fahrlässiges Handeln im Rahmen der IT Sicherheit übernehmen.

Deswegen müssen Sie auch die Voraussetzungen dafür schaffen, dass Ihre Mitarbeiter im Arbeitsalltag sichere Passwörter erstellen. Welche Schritte dazu im Detail berücksichtigt werden müssen, will ich Ihnen nun im Rahmen einer „Checkliste für das Erstellen sicherer Passwörter“ verraten.

Erster Schritt, um sichere Passwörter zu erstellen: Je mehr Zeichen, desto besser!

Die Vorgabe lautet: Das Passwort sollte mindestens acht Zeichen haben. Besser ist aber, wenn es noch länger ist! 

Der Grund dafür liegt darin, dass es eine Reihe von Möglichkeiten gibt, wie Passwörter generell geknackt werden können. Eine vergleichsweise einfache Methode ist das systematische Durchprobieren von Buchstaben- und Zahlenkombinationen – der sogenannte Brute-Force-Angriff (aus dem Englischen: Angriff mit roher Gewalt).

Spezielle Software-Programme sind nämlich in der Lage, pro Sekunde über zwei Milliarden verschiedene Schlüssel zu generieren. Wenn man seinen PC also zum Beispiel mit einem siebenstelligen Passwort – ausschließlich bestehend aus Kleinbuchstaben geschützt hat – gibt es insgesamt acht Milliarden Schlüssel. Das Programm knackt dieses also in gerade einmal vier Sekunden. Ist das Passwort nur ein Kleinbuchstabe länger, erhöht sich die Zeit, in der die Kombinationen ausprobiert werden, bereits um das 26-Fache! Und stellen Sie sich vor, Sie verwenden noch zusätzlich Sonderzeichen und Ziffern.

Aus mathematischer Sicht entscheidet daher die Länge des Passwortes über die Sicherheit der dahinter verborgenen Daten. Zusammengefasst gilt deshalb: Je mehr Zeichen ein Passwort hat, desto länger dauert eine Brute-Force-Attacke. 

 

Zweiter Schritt zur Erstellung sicherer Passwörter: Nutzen Sie kleine und große Buchstaben sowie Sonderzeichen und Ziffern!

Die Argumentation, die hinter dieser Bedingung steckt, ist eigentlich ganz logisch. Denn: Nicht nur die Länge entscheidet über die Dauer einer Brute-Force-Attacke, sondern ebenso die möglichen Kombinationen. Für ein achtstelliges Passwort, welches aus Groß- und Kleinbuchstaben sowie Ziffern besteht, wird unser Beispiel-PC rund einen ganzen Tag benötigen, um alle Kombinationen auszuprobieren. Der Einsatz von Sonderzeichen erhöht die Komplexität noch einmal zusätzlich und somit auch die Dauer des Suchvorgangs.

 

Jetzt Blog abonnieren!

 

Sichere Passwörter, dritter Schritt: Keine bekannten Namen oder Daten verwenden!

Wenn Sie sichere Passwörter erstellen wollen, sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten absolut tabu!

Nachdem wir jetzt gelernt haben, dass Passwörter möglichst lang und komplex sein müssen, glauben Sie das Sammy1408! ein gutes Passwort ist? Na klar, dürften Sie jetzt zunächst denken. Ist doch alles wie gewünscht: Groß- und Kleinbuchstaben sind genauso enthalten, wie Zahlen und sogar ein Sonderzeichen ist dabei. Darüber hinaus hat das Passwort sogar zehn Stellen.

Das ist ja auch richtig und ein Brute-Force-Angriff für sich alleine betrachtet, würde dafür auch über zwölf Jahre dauern. Aber eine Gegenfrage: Wie lange würde ein Arbeitskollege oder ein Bekannter dafür benötigen? Ihr Hund heißt vielleicht Sammy und Sie sind am 14.08. geboren? Ich denke, Sie wissen, worauf ich hinaus möchte: Ihr berufliches oder privates Umfeld kann solche Passwörter nämlich mit Leichtigkeit erraten. Verzichten Sie daher lieber auf solche Bestandteile!

 

Vierter Schritt: Das Passwort sollte nicht in Wörterbüchern vorkommen!

Eine weitere Methode, wie man ein Passwort knacken kann, ist der sogenannte Wörterbuchangriff (dictionary attack). Dieses Verfahren wird angewandt, wenn der Angreifer davon ausgeht, dass das Passwort aus einer sinnvollen Zeichenkombination besteht.

Wenn Ihr Passwort also in einem Wörterbuch zu finden ist, sollten Sie dieses möglichst bald abändern. Denn: Das Risiko eines erfolgreichen Angriffs – und den verbundenen negativen Konsequenzen für Sie ganz persönlich – nimmt damit nämlich stark zu.

 

Schritt fünf: Das Passwort sollte nicht aus gängigen Wiederholungs- oder Tastaturmustern zusammengesetzt sein!

Beispiele hierfür wären die Kombinationen asdfgh oder 1234abcd. Darüber hinaus ist es ebenfalls nicht empfehlenswert, einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen. Ganz einfach deswegen, weil ein solches Verhalten vorhersehbar ist und von Angreifern im Übrigen bereits berücksichtigt wird.


Schritt sechs: Für jedes Benutzerkonto ein eigenes sicheres Passwort verwenden!

Der Grund liegt darin, dass die obigen Angriffsmethoden nur dann funktionieren, wenn beispielsweise keine Kontosperrung implementiert wurde. Denn für gewöhnlich werden nach einer bestimmten Anzahl an Fehlversuchen Konten gesperrt.

Dazu kommt noch, dass die Angriffe recht „laut" sind. Mit anderen Worten: Der Eindringling hinterlässt Spuren in den Protokolldateien des Servers. Wenn Sie aber das gleiche Passwort bei fünf verschiedenen Accounts nutzen und nur bei einem einzelnen Dienst keine Kontosperrung implementiert ist und ein Angriff unbemerkt bleibt, was passiert dann? In diesem Fall könnten Ihre Benutzerkonten von allen fünf Diensten kompromittiert sein.

 

Sichere Passwörter, Schritt sieben: Setzen Sie Passwort Manager ein!

In der Realität ist es für die meisten Menschen fast unmöglich, alle obigen Punkte zu befolgen und sich mehrere so komplexe Passwörter zu merken. Die Konsequenz wird sein, dass die obigen Regeln nicht befolgt oder Passwörter unsicher notiert werden.

Verwenden Sie daher einen Passwort-Manager, um Ihre möglichst komplexen Passwörter adäquat zu verwalten. Letztendlich tragen Sie auf diese Weise zum Vertrauen Ihrer Kunden und Dienstleister in Ihre innerbetrieblichen Prozesse entscheidend bei.

Wir haben Ihnen alle Informationen zum Thema "Passwortsicherheit" in einem kostenfreien Passwort-Guide zusammengestellt. Neben Tipps zur richtigen Passworterstellung erhalten Sie außerdem eine Anleitung, wie Sie ein Passwortkonzept erstellen können. Laden Sie sich das PDF einfach und kostenfrei herunter. 

 

Passwort-Guide

 

Fazit

Wenn Sie sich an unsere „Checkliste zur Erstellung von sicheren Passwörtern“ konsequent halten, reduzieren Sie die Wahrscheinlichkeit eines erfolgreichen externen Angriffs auf Ihr Netzwerk. Zudem müssen Sie eine persönliche HaftungIhrerseits für die IT Sicherheit weniger fürchten, schließlich sind Sie angemessen auf eine Attacke zum Knacken von Passwörtern vorbereitet!

 

Sie möchten eine klare Sicht auf Ihre gesamte IT Sicherheit erhalten und nicht bloß auf Ihre Passwortsicherheit? Wir von BRANDMAUER IT Security auditieren Ihre IT-Organisation neutral anhand von 28 Prüfpunkten. Informieren Sie sich jetzt über den IT Sicherheitscheck!

 

BRANDMAUER IT Sicherheitscheck

Themen: Passwortsicherheit

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de