Starke Passwörter im Einsatz - Workshop Software GmbH

Starke Passwörter im Einsatz

17. Juli 2018

Nachdem Sie nun im vorherigen Beitrag der Serie erfahren haben wie Sie starke Passwörter erstellen können, befassen wir uns in diesem Artikel mit dem Einsatz von Passwörtern.

Wie oft sollte ich ein Passwort einsetzen?

Sie sollten für jeden Einsatzzweck ein gesondertes Passwort verwenden. Angreifer, die z. B. eines Ihrer Internetkonten geknackt haben, versuchen oft mit diesen Informationen in weitere Internetportale einzudringen. Dazu ein Beispiel:

Sie verwenden bei Google die E-Mail-Adresse "w.pfiffig@gmail.com" mit dem Passwort "GVGoldfinger1950". In vielen Fällen wird als Login- bzw. Benutzername die E-Mail-Adresse verlangt. So auch bei Facebook und Amazon. Aus Bequemlichkeit verwenden Sie dort genau die gleichen Anmeldedaten.

Wenn nun ein Angreifer eines dieser Konten knackt, egal ob direkt oder durch Abgreifen der Daten bei Ihnen auf dem Computer, hat er Zugriff auf alle Konten.

So könnte er im ersten Schritt das Passwort aller 3 Dienste ändern. Anschließend bestellt er auf Ihren Namen bei Amazon eine teure Armbanduhr. Als nächstes beleidigt er per E-Mail Ihren Vorgesetzten und Ihre Kollegen. Zuletzt postet er in Ihrem Namen auf Facebook rechtsradikales Gedankengut.

Auch wenn dies sicherlich ein sehr extremes Szenario ist, so ist es mit Leichtigkeit durchführbar. Und der Schlüssel zu diesem Identitätsklau war Ihre Bequemlichkeit. Den Angreifern sollten also möglichst viele Steine in den Weg gelegt werden. Dazu zählt vor allen Dingen ein Passwort pro Account.

Einen sehr interessanten Artikel finden Sie im "c't magazin" in der Ausgabe 24/2012: "Risiko Identitätsklau".

Wie oft sollte ich ein Passwort ändern?

Bequemlichkeit ist der größte Feind der IT-Sicherheit, die wichtigsten Zugangsdaten sollten alle drei Monate verändert werden

BITKOM-Präsident Prof. Dieter Kempf (Quelle)

Einfach gesagt: So oft wie möglich. Wie im vorherigen Beitrag gesehen ist selbst ein relativ starkes Passwort mit 8 Zeichen bestehend aus Ziffern, Klein- und Großbuchstaben in ungefähr 1 - 2 Tagen geknackt. Je mehr Zeit sie also dem Angreifer geben, umso höher ist die Wahrscheinlichkeit, dass er zum Ziel kommt.

Da es realitätsfern wäre vorzuschlagen täglich alle Passwörter zu ändern empfehlen wir Ihnen diese Änderungszyklen abhängig von Ihrer Passwortstärke (0 bis 4) und der Sensibilität der zu schützenden Daten (A bis C):

  A B C
0 nicht verwenden nicht verwenden nicht verwenden
1 jede Woche jede 2. Woche jeden Monat
2 jeden Monat jeden 2. Monat jedes Quartal
3 jeden 2. Monat jedes Quartal jedes Halbjahr
4 jedes Quartal jedes Halbjahr jedes Jahr

 Eine kleine Erläuterung der Kategorien erhalten Sie, wenn Sie die Maus über der jeweilige Zeilen- bzw. Spaltenbeschriftung schweben lassen.

Wie merke ich mir meine Passwörter?

Es sollte nun klar sein, dass es mehr als ratsam ist jedes Passwort nur einmal zu verwenden und es regelmäßig zu ändern. Doch bei der Vielzahl an Geräten und Accounts ist das ohne fremde Hilfe kaum möglich. Und der berühmte Zettel am Bildschirm ist keine Lösung.

In der heutigen Zeit kommen schnell mal 20 bis 40 Passwörter oder mehr zusammen:

  • 3 - 5 Geräte (PC, Tablet, Smartphone, WLAN, Router, Alarmanlage, Überwachungskamera, ...)
  • 2 - 4 E-Mail-Accounts (geschäftlich, privat)
  • 6 - 8 Accounts in sozialen Netzwerken (Facebook, Twitter, Instagram, ...)
  • 5 - 10 Kunden-Accounts (von Amazon bis Zalando)
  • 5 - 10 Foren (berufsbezogen oder private Interessen)

Auch wenn diese Zahlen nur eine grobe persönliche Schätzung des Autors aufgrund von Online-Recherchen und eigener Einschätzung sind, zeigt sich, wie groß die Anzahl der unterschiedlichen Passwörter mit Leichtigkeit sein kann. Überlegen Sie einfach mal selbst wo Sie sich überall angemeldet haben. Und vor allem auch welche Dienste Sie noch aktiv nutzen. Gerade die ungenutzten Dienste können zur Gefahr werden, da nicht bemerkt wird, dass Sie geknackt wurden. Es empfiehlt sich also alle nicht mehr genutzten Dienste zu kündigen oder die Passwörter zu erneuern.

Laut einer BITKOM-Umfrage "verwenden Internetnutzer in Deutschland im Durchschnitt 9 Passwörter für den Zugang zu Geräten wie Computern, Tablets oder Smartphones sowie zu unterschiedlichsten Online-Diensten". Das zeigt, dass die Passwort-Vielfalt viel zu gering ist.

Eine Möglichkeit ist es ein Programm einzusetzen, dass alle Passwörter verschlüsselt sammelt und bei Bedarf einfach zur Verfügung stellt. Dies sind sogenannte Passwort-Manager oder Passwort-Safes.

Hier gibt es verschiedenste Produkte. In manchen Anti-Viren-Programmen ist eine solche Funktion enthalten. Aber es gibt natürlich auch eigenständige Programme. Aufgrund der Vielfalt kann in diesem Beitrag nicht auf ein einzelnes Programm eingegangen werden. Wenn Sie die Softwarelösungen vergleichen, sollten Sie aber unter anderem auf folgende Dinge achten und die für Sie beste Version wählen.

  • Wie gut ist die Verschlüsselung des Programms?
  • Wo liegt der Schlüssel zum Entschlüsseln?
  • Wo werden die Passwörter gespeichert?
  • Wie ist die Synchronisation zwischen verschiedenen Geräten geregelt?
  • Wie werden die Passwörter im normalen Betrieb bereitgestellt?

Was ist zu tun, wenn mein Passwort geknackt wurde?

Viele Angriffe werden erst sehr spät oder gar nicht bemerkt. Daher ist es gerade im letzten Fall besonders wichtig sein System zu schützen und den Schutz regelmäßig zu erneuern.

Meist ist auch davon auszugehen, dass nicht nur ein Passwort, sondern das gesamte System geknackt wurde. Auszuschließen ist es nie.

Sollte es also doch mal passieren, dass Ihr System geknackt wurde, ist oft nicht mehr nachvollziehbar, wie es dem Angreifer möglich war den Schaden anzurichten. Es ist nun ratsam sein komplettes System neu aufzusetzen, um alle Spuren auf dem lokalen Computer zu beseitigen.

  1. Wenn es noch möglich ist entfernen Sie alle Schadprogramme auf Ihrem kompletten System inkl. aller externen Speichermedien (externe Festplatten, USB-Sticks, etc.) mit einer aktuellen Anti-Viren-Software.
  2. Sollten Sie keine Datensicherung haben, fertigen Sie, sofern es noch möglich ist, erst dann eine an, wenn Sie sicher sind, dass das System frei von Schadsoftware ist. Da dies kaum möglich sein wird, macht sich ein durchdachtes Backup-System bezahlt.
  3. Installieren Sie Ihr System neu.
  4. Vergeben Sie alle Passwörter neu. Lokal und online!

Welche Systeme können zum Schutz meiner Passwörter beitragen?

Neben den Maßnahmen, die Sie als Nutzer treffen können, haben auch die Systeme/Dienste selbst die Möglichkeit, das Abgreifen der Passwörter und anderer Daten zu erschweren. Dies kann rein intern geschehen, ohne das Sie davon etwas merken. Es gibt aber auch Lösungen, die Sie mit einbeziehen.

Nutzen Sie nach Möglichkeit solche oder ähnliche Systeme. Bevorzugen Sie Anbieter, die diese (internen) Schutzmaßnahemn anbieten/nutzen.

Zwei-Faktor-Authentifizierung

Bei der Zwei-Faktor-Authentifizierung wird eine Kombination aus zwei unterschiedlichen und unabhängigen Systemen verwendet. Ein Faktor sind dabei meist die Logindaten. Der andere Faktor kann einer der folgenden sein:

  • Code per SMS
  • Code per Generator
  • Sicherheitsfrage
  • Anruf
  • Fingerabdruck

Zugriff auf Login-Möglichkeit beschränken

Insbesondere bei Webdiensten ist es sinnvoll den Zugriff auf Login-Möglichkeit zu beschränken. Hier ist ein maschineller Angriff (z. B. Brute-Force-Angriff) gut möglich. Denkbar wäre:

  • Beschränkung der zulässigen IP-Adressen
  • Zugang nach einer gewissen Anzahl von Fehlversuchen sperren

Wartezeit zwischen Login-Versuchen erhöhen

Der Vorteil maschineller Angriffe ist insbesondere die Schnelligkeit. Wenn jedoch eine Wartezeit zwischen zwei Login-Versuchen eingerichtet wird, ist der Geschwindigkeitsvorteil schnell dahin. Meist wird bei dieser Variante nach jeden Fehlversuch die Wartezeit erhöht.