Sicheres Passwort – Passwort-Richtlinie hilft

Sicheres Passwort – Passwort-Richtlinie hilft

Dezember 11, 2018 0 Von Laura Putschies

Nach der Datenschutz-Grundverordnung sollen im Unternehmen Maßnahmen ergriffen werden, die verhindern, dass Datenverarbeitungssysteme wie Computer von Unbefugten genutzt werden können. Den Zugang zu einem Computer kann Unbefugten ein Passwort verwehren. Wenn es für die Festlegung eines Passwortes im Unternehmen jedoch keine Regeln gibt, steht häufig nicht die Sicherheit im Vordergrund, sondern die Einfachheit beim Merken und die Schnelligkeit beim Eingeben. Dies zeigt auch jedes Jahr aufs Neue die Liste der häufigsten genutzten Passwörter.

Die Top 10 der meistgenutzten Passwörter in Deutschland 2017 laut des Hasso-Plattner-Institut (HPI):

  1. 123456
  2. 123456789
  3. 1234
  4. 12345
  5. 12345678
  6. hallo
  7. Passwort
  8. 1234567
  9. 111111
  10. hallo123

Damit Mitarbeiter keins dieser Passwörter nutzen, sondern auf die Sicherheit bei der Erstellung eines Passworts achten, kann eine Passwort-Richtlinie im Unternehmen sinnvoll sein.

Grundlagen für die Passwortgestaltung

  • Die Zeichenumsetzung des Passwortes muss so komplex sein, dass es nicht leicht zu erraten ist oder durch einfaches Ausprobieren ermittelt werden kann.
  • Das Passwort darf nicht zu kompliziert sein, damit der Besitzer mit vertretbarem Aufwand in der Lage ist, es auswendig zu lernen.

Neue Erkenntnisse bei der Passwortgestaltung

2003 hatte Bill Burr die „NIST Special Publication 800-6” verfasst, in welcher Regeln für das Aufstellen sicherer Passwörter festgelegt wurden. Regeln waren zum Beispiel die Nutzung von Großbuchstaben, Symbolen und Zahlen sowie eine regelmäßige Änderung der Passwörter (alle 90 Tage). Im Jahr 2017 bereute Burr öffentlich seine Ratschläge.

Die Auswertungen geknackter Passwörter durch Hacker in den vergangenen Jahren zeigte, dass Burrs Empfehlungen von 2003 nicht zu einer höheren Passwortsicherheit führten – im Gegenteil.

Erfahrungen zeigten, dass Passwörter durch regelmäßiges Wechseln nicht sicherer wurden. Anwender wären durch das Wechseln genervt und wählten ähnliche Passwörter, um sich die Änderungen leichter zu merken. Dadurch wurde aus einem Passwort wie „Pa33word?1“ das Passwort „Pa33word?2“. Die Sicherheit nahm somit nicht zu, jedoch der Aufwand für die Anwender und die Kosten für die Unternehmen.

Auch die einfache Vorgabe kleine und große Buchstaben sowie Symbole und Zahlen zu nutzen, brachte oftmals nicht den gewünschten Effekt, da häufig lediglich ein Begriff variiert wurde. So wurde beispielsweise aus dem Begriff „Passwort“: „Pa$$w0rt123!“. Dies können Algorithmen jedoch leicht erraten.

So schnell werden Passwörter geknackt

Jedes Passwort kann ermittelt werden. Je nach Komplexität des Passwortes dauert die Ermittlung jedoch unterschiedlich lang. Beispielsweise wird bei einem Brute-Force-Angriff durch ein entsprechendes Programm jede mögliche Zeichenkombination ausprobiert. Bei einem derartigen Angriff hängt die Dauer unter anderem von der Rechenleistung des Computers ab. Die maximale Rechenzeit eines Brute-Force-Angriffs bei einer Milliarde Schlüsseln pro Sekunde zeigt die folgende Tabelle:

Legende: rot = nicht sicher       gelb = einigermaßen sicher       grün = sicher

Regeln zur Passwortgestaltung

Um ein sicheres Passwort zu erstellen, gibt es einige neue Empfehlungen. Auch NIST erstellte eine neue Publikation mit neuen Passwort-Regeln. Im Folgenden werden nun Regeln für die Passwortgestaltung aufgezeigt, die für eine Passwort-Richtlinie im Unternehmen empfehlenswert sind.

  • Keine Nutzung von Trivialpasswörtern (z. B. „BBBBBB“, „123456“, Namen, Geburtsdaten).
  • Das Passwort sollte mindestens 12 Zeichen lang sein.
  • Nutzung von Passwortphrasen (Beispiel: Denken Sie sich einen Satz aus wie „Am Wochenende gehe ich in die Stadt und kaufe mir drei neue Pullover“. Nun nutzen Sie für ein gutes Passwort nur die ersten Buchstaben: „AWgiidSukmdnP“. Durch das Ersetzen des i durch die Ziffer 1, das „und“ durch ein kaufmännisches &, das S durch ein $ und das Wort drei durch die Ziffer 3, erhalten Sie ein sicheres Passwort: „AWg11d$&km3nP“).
  • Nutzung von Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Zahlen ist erlaubt. Dabei den Passwortleitsatz beachten: Ein langes Passwort mit wenig Sonderzeichen ist besser als ein kurzes Passwort mit vielen Sonderzeichen!
  • Für jeden Account soll ein anderes Passwort verwendet werden.

Tipps für den Passwortgebrauch

  • Die Eingabe des Passworts soll unbeobachtet stattfinden.
  • Das Passwort muss geheim gehalten werden.
  • Es sind keine regelmäßigen Passwortwechsel durchzuführen. Wechseln Sie das Passwort jedoch, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht besteht.

Fazit

Neben Sicherheitsmechanismen für den PC wie Virenscanner und Firewall sind Passwörter nicht zu vernachlässigen. Es gibt zwar keine 100-prozentige Sicherheit für Passwörter. Werden jedoch die genannten Regeln zur Passwortgestaltung und Tipps für den Passwortgebrauch angewendet, wird das Risiko verringert Opfer eines Hacks zu werden. Ein Passwort-Hack kann sowohl Nerven kosten als auch eine große Menge Geld für ein Unternehmen.