IT Security und die Passwort Problematik

Oder: wieso ist das beliebteste Passwort immer noch 123456?

Unser erster Blogbeitrag im März 2016 widmete sich dem Thema, wie man ein sicheres Passwort wählt (https://www.entec.ch/blog/sicheres-passwort-wozu-ueberhaupt). Wirklich erschreckend, dass sich bezüglich Passwortsicherheit auch in den letzten 5 Jahren nur wenig geändert hat.

Gemäss der kürzlich von Nordpass veröffentlichten Studie, ist das beliebteste Passwort nach wie vor «123456» und auch die folgenden Passwörter in den Charts sind keineswegs einfallsreicher. Unter den 50 evaluierten Ländern ist auch die Schweiz – und steht leider kein bisschen besser da als der Rest der Welt (https://nordpass.com/de/most-common-passwords-list/)

Dabei sollte nach den unzähligen geleakten Logins, Cyberangriffen und Ransomware-Erpressungen weltweit doch langsam jedem und jeder bewusst sein, wie wichtig es ist, seine Logins und Passwörter sicher zu wählen und entsprechend zu pflegen. Auch bieten Browser heutzutage eine Funktion zum Erstellen und Speichern von Passwörtern und man findet unzählige Passwortmanager-Apps, die das Verwalten von Logins, Passwörtern und Kreditkartendaten zu einem Kinderspiel machen.

Leider siegt wie so oft die Bequemlichkeit und der Faktor Mensch ist und bleibt der grösste Risikofaktor im IT Security Alltag.

Weshalb ist ein sicheres Passwort denn so wichtig?

Cyberkriminelle benutzen verschiedene Tools und Programme, die alle möglichen Zeichen- und Buchstabenkombinationen ausprobieren, um einen Login zu knacken. Selbstverständlich gehen diese Tools als erstes die beliebtesten Passwörter sowie die Wörterbücher durch, anschliessend aber auch zufällige Kombinationen. Viele Plattformen fordern von ihren Anwendern ein achtstelliges Passwort. Die Praxis zeigt jedoch auf, dass die Erhöhung auf zwölf Stellen die Sicherheit massgeblich erhöht. Auch eine höhere Vielfalt von Zeichen erschwert die Berechnung von Passwörtern. Beispielsweise würde ein bösartiger Algorithmus auf einem herkömmlichen Rechner zum Knacken der Zeichenkombination qBza8l? vermutlich weniger als 2 Stunden benötigen. Das entschlüsseln des Passwortes qBza8l?W2b: hingegen dauert bereits 18’000 Jahre, was spätestens bis zur Einführung von Quantencomputern ausreichen sollte.

Welche Kriterien sollte ein sicheres Passwort erfüllen?

Ein sicheres Passwort setzt sich in der Regel aus einer Kombination von Gross- und Kleinschreibung, Zahlen sowie Sonderzeichen zusammen. Möchte man sich ein gewisses Passwort auswendig merken können, kann man dieses aus einem Merksatz formen und sich dadurch eine Eselsbrücke schaffen. Bei der riesigen Anzahl Logins, die heutzutage jede einzelne Person verwalten muss, ist die Verwendung eines Passwort-Managers aber immer die erste Wahl. Da die Passwort-Manager-Tools einem auch das Ausfüllen der Passwörter abnehmen, stellt auch das Verwenden von Passwörtern mit über 12 Zeichen überhaupt kein Mehraufwand mehr dar.

10 Regeln für ein sicheres Passwort

1. Verwenden Sie mindestens 12 Zeichen
12 Zeichen sollte ein Passwort mindestens enthalten, besser sogar darüber. Verwendet man einen Passwort Manager, dann ist dies überhaupt kein Mehraufwand.

2. Verwenden Sie Zahlen und Sonderzeichen
Es sollten stets eine Kombination sein – und nicht einfach als Anhang am Schluss des Wortes oder der Zahlenreihe. Ihr Motto sollte lauten: «Mittendrin, statt nur dabei!»

3. Verwenden Sie Gross- und Kleinbuchstaben
Auch die Verwendung von Gross- und Kleinbuchstaben tragen zur Passwortsicherheit zu.

4. Benutzen Sie einen Merksatz als Eselsbrücke
Denken Sie sich einen einprägsamen Satz aus. Nun können Sie die Anfangsbuchstaben durch Sonderzeichen ersetzen. Bsp. Mein Auto steht seit Januar 2017 in der Garage ergibt dann das Passwort: Mas$01/17@dG. Ein derart kryptisches Passwort lässt sich aufgrund der möglichen Kombinationsvielfalt von Dritten nicht ohne weiteres nachvollziehen, aber Sie können es sich besser merken.

5. Das Passwort sollte nicht im Wörterbuch zu finden sein
Hier können gegebenenfalls einzelne Buchstaben gegen Sonderzeichen ausgetauscht werden. (Bsp. Sicher vor Hackern à 51ch3r_v0r_HaCk3rn). Hier gibt es jedoch viele häufig genutzte Passwörter wie «Pa$$w0rt» oder «Adm1n», welche trotzdem immer zuerst ausprobiert werden.

6. Namen und Geburtsdaten sind Tabu
Genauso wie Informationen, welche sich einfach auf Sie oder Ihr Umfeld beziehen lassen. Es ist nicht unüblich, dass Hacker auch Ihre Sozialen Medien nach möglichen Passwörtern wie z.B. Haustiernamen durchforsten.

7. Vermeiden von Umlauten oder länderspezifischen Sonderzeichen
Dies kann zu Problemen führen, wenn Sie ihr Passwort im Ausland auf einer anderen Tastatur eingeben müssen (Umlaute und einzelne Sonderzeichen sind jeweils nicht auf allen Tastaturen zu finden)

8. Passwörter sicher aufbewahren
Bewahren Sie Ihre Passwörter gut auf. Post-it, die einfach an den Bildschirm geheftet oder unter die Tastatur gelegt werden, sind natürlich alles andere als sicher. Wenn man seine Passwörter schriftlich aufnotiert – wovon wir aber generell abraten – sollte man diese wenigstens an einem sicheren Ort aufbewahren. Zum Beispiel in einem Safe oder einem abgeschlossenen Raum.

9. Verwenden Sie jedes Passwort nur einmal
Wenn Sie sicherstellen, dass Sie jedes Passwort nur einmal verwenden, kann ihnen auch in dem Fall nichts passieren, indem eine Webseite gehackt und die Passwortdaten geleakt oder weiterverkauft werden.

10. Zu guter Letzt: Verwenden Sie auf keinen Fall ein Passwort aus der oben genannten Passwortliste
123456 wollen wir in Zukunft wirklich nicht mehr auf dieser Liste sehen :-)

 

Passwortsicherheit und geleakte Passwörter im Internet überprüfen

Diverse Online-Anbieter haben sich darauf spezialisiert, die Sicherheit von Passwörtern zu prüfen. Auf deren Websites erhält man in Sekundenschnelle eine Antwort, ob das Passwort einerseits sicher ist und andererseits wie lange eine Hacker benötigen würde, um dieses zu knacken. Testen Sie es selbst! Auf der folgenden Webseite können Sie verschiedene Passwortkombinationen auf ihre Sicherheit testen *: https://checkdeinpasswort.de/

*Wichtig! Bitte geben Sie hier keine aktiven oder potentiellen Passwörter ein!

 

Mit einem Leak-Checker können Sie zudem überprüfen, ob eines ihrer Passwörter bereits geleakt wurde. Falls dem so ist, ändern Sie das Passwort sofort.

https://leakchecker.uni-bonn.de/
https://haveibeenpwned.com/
https://sec.hpi.de/ilc/search?lang=de

Die DCS Disaster-Recovery-Lösung der Swisscom