DataDay: Passwort-Sicherheit

Inhalt

Friday is DataDay. Heute dreht es sich um die Passwort-Sicherheit. Man kann nicht direkt sagen, was ein gutes Passwort ist. Man sollte aber darauf achten, kein schlechtes Passwort zu wählen. Schauen wir uns das mal an.

Die Ausgangslage ist die Sonderveröffentlichung des NIST, das amerikanische Pendant zum deutschen BSI. Dazu nehmen wir uns mal den Datensatz eines fiktiven Unternehmens.

Exemplarischer Datensatz mit Nutzernamen und Passwörtern

1. Regel: Passwort sicher speichern

Egal ob als Anwender oder Diensteanbieter: Passwörter in Klartext in einer Textdatei oder in einer Datenbank sind ein No-Go. Anwender sollten daher zu Passwort Manager wie KeePass greifen. Für Diensteanbieter (Apps, Websites, etc.) sollten Salt and Pepper daher zum Einmaleins gehören.

2. Regel: Keine kurzen Passwörter verwenden

Jedes Unternehmen kann festlegen, wie lang die Passwörter sein sollen. Weniger als 8 sollten es nicht sein, da die Zeit zum Ausprobieren („Bruteforce„) aller möglichen Passwörter sonst nicht lang genug ist. Zu lang sollte die Mindestlänge aber auch nicht sein, sonst kleben mehr Passwörter unter der Tastatur…

Passwörter sollten mindestens 8 Zeichen umfassen

3. Regel: Keine bekannten Passwörter verwenden

Im Internet können Passwort-Listen heruntergeladen werden. Diese stammen in der Regel aus bereits Nutzer-Datensätzen, die entwendet wurden. Erstaunlicherweise benutzen viele Menschen ähnliche oder gleiche Passwörter. Daher sollten bekannte Phrasen außen vorgelassen werden.

Bereits veröffentliche Passwörter

4. Regel: Keine allgemeinen Wörter verwenden

Ähnlich wie bei den Kennwörter-Listen kann man auch Wörter des täglichen Sprachgebrauchs herunterladen („Dictionary Attack„). Diese wurden beispielsweise aus Online-Zeitungen oder der Wikipedia herausgezogen (und das ist nicht schwer). Daher sollten allgemeine Wörter nicht als Passwort verwendet werden.

Benutzung von allgemeinen Wörtern

5. Regel: Keine Namen als Passwort

Den eigenen Vornamen oder Nachnamen als Passwort verwenden ist ohne Frage keine gute Idee.

Vor- oder Nachnamen im Kennwort

6. Regel: Zeichen-Wiederholungen vermeiden

Diese Empfehlung zielt auf Muster ab. Die Zeichenfolgen 123456, 13579, qaywsx oder poiuzt sind Wiederholungen, treffen aber inzwischen sicherlich auch schon auf die Regel 3 zu.
Aber auch looooooos als Kennwort ist eine Art Wiederholung. Lange auf einer Taste bleiben macht das Passwort nicht sicherer.

Passwörter mit wiederholenden Zeichen

Empfehlungen

Gute Kennwörter befolgen die oben genannten Regel und empfehlen zudem Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen einzuarbeiten. Aber wie merkt man sich so etwas? Meine Empfehlungen sind Kinderlieder.

Das Kinderlied „Ein Männlein steht im Walde, ganz still und stumm!“ ergibt das folgende Passwort: 1MsiW,gsus!

Und wer hat in der fiktiven Firma gute (naja, halt, keine schlechten) Passwörter?

Passwörter, die nicht durch die Regeln durchfallen

Credits: DataCamp

Mehr Artikel entdecken:

Updates

Was ist eigentlich ein Update? Unter Update versteht man in der IT die Aktualisierung von Programmen, Betriebssystemen, Firewalls oder den Antiviren-Schutz. Auch Datenbank- oder Website-Aktualisierungen

Weiterlesen »

Backups

Festplattendefekt, Löschung durch Mitarbeitende, Synchronisationen in die falsche Richtung, Hacker-Angriffe, Diebstahl, Feuer- oder Wasserschäden, Dateisystemfehler, Verlust, Ransomware… die Ursachen für Datenverlust sind vielfältig. Generell kann

Weiterlesen »
Picture of Denis Uckel

Denis Uckel

DU Consult ist Ihr Experte für ein maßgeschneidertes IT-Sicherheitskonzept. Ihr Unternehmen und Ihre individuellen Arbeitsabläufe stehen dabei im Mittelpunkt!