5 Tipps für ein sicheres Passwort

Am 01.02.2020 ist der "Ändere dein Passwort" - Welttag

von Klemens Loschy

Resilienz
SEQIS GmbH

... allein, dass dieser Tag überhaupt existiert beweist, dass man gar nicht oft genug über das Thema "sichere Passwörter" reden kann. Eine zyklische Änderung von Passwörtern ist nicht mehr zeitgemäß und führt, wenn es z.B. vom Unternehmen forciert wird, nicht zu mehr Sicherheit: "MeinPasswort1" ist genauso sicher oder unsicher wie "MeinPasswort2", "MeinPasswort3" usw. Vielmehr gelten heute andere Regeln, also noch vor ein paar Jahren:

 

1. Verwende für jeden Dienst ein anderes, generiertes Passwort

Mittlerweile muss man sich gefühlt überall mit seiner EMail Adresse registrieren, und vergibt genauso oft ein Passwort. Dieses Passwort muss in Kombination mit der EMail Adresse eindeutig sein (am Besten mit mehr als 16 Zeichen, bestehend aus Buchstaben, Ziffern und Sonderzeichen)! Der Hintergrund ist einfach: werden Ihre Zugangsdaten bei einem Dienst geknackt oder gestohlen, so ist wirklich nur dieser eine Dienst betroffen. Alle anderen Dienste sind weiterhin sicher! Es hilft also das sicherste Passwort nichts, wenn es (aus welchen Gründen auch immer) bekannt wurde und daraufhin all Ihre Dienste zugänglich sind.

 

2. Verwende einen Passwortmanager

Eindeutige (generierte) Passwörter haben natürlich einen großen Nachteil: das kann sich einfach keiner merken. Das ist aber auch gar nicht notwendig: Passwortmanager machen nämlich genau das, sie merken sich Passwörter (und generieren sie bei Bedarf auch). Genauer gesagt werden darin Zugangsdaten zu all Ihren Diensten verwaltet. Mittlerweile gibt es sehr viele Passwortmanager mit unterschiedlichsten Features, kostenpflichtig und kostenfrei. Mit LastPass, Dashlane, Bitwarden und 1Password seien nur ein paar davon genannt. Der Zugang zum Passwortmanager selbst ist natürlich wieder mit einem Passwort, dem s.g. Masterpasswort, gesichert. Das muss besonders stark und gleichzeitig aber auch einprägsam sein, denn das müssen Sie sich merken!

 

3. Verwende Passphrases

Wenn es wirklich notwendig ist sich sichere Passwörter zu merken, geht die Empfehlung klar weg vom Passwort und hin zur Passphrase: das ist im weiteren Sinn einfach ein normaler Satz. Er darf aber nicht aus einem Buch, Lied, Gedicht, Film usw. stammen. Am besten ist, wenn er keinen Sinn ergibt: "Ein kalter Tag ist kürzer als 2 dunkle Nächte, das weiß doch jeder!" - sinnlos, aber sicher und einprägsam und eignet sich daher z.B. als Masterpasswort für Ihren Passwortmanager.

 

4. Verwende Biometrische Hilfsmittel

Die meisten Smartphones bieten die Möglichkeit statt der Eingabe von Passwörtern oder PINs die integrierte Fingerprint oder Gesichtserkennung zu verwenden. Ebenso unterstützen das immer mehr Notebooks. Verwenden Sie diese Hilfsmittel z.B. als Masterpasswort für Ihren Passwortmanager. Das eigene Gesicht muss man sich nicht merken, verlieren kann man es auch nicht und nachmachen ist wirklich schwierig. Die Sicherheit dieser Features wird immer wieder von IT Security Firmen getestet mit dem Ergebnis, dass eine Umgehung nur mit enormem Aufwand möglich ist. Für den aller größten Teil der Nutzer ist das eine massive Verbesserung.

 

5. Verwende 2 Faktor Authentifizierung

Viele Dienste bieten die Möglichkeit einer 2 Faktor Authentifizierung (2FA oder TFA) an. Dabei wird zusätzlich zum Passwort noch ein zweiter Faktor zur Authentifizierung verwendet. Die meisten kennen das vermutlich vom Online Banking, wo eine Überweisung zusätzlich durch einen per SMS versendeten Code autorisiert werden muss. Das SMS System wurde von s.g. OTP (One Time Passwords) und den passenden Apps (z.B. Google Authenticator oder OTP Auth) abgelöst. Das eigene Handy wird mit Hilfe der OPT App beim jeweiligen Dienst registriert und ab da an muss man nach der Authentifizierung mit EMail und Passwort ein zusätzliches generiertes Einmal-Passwort (meist sind das 6 Ziffern) angeben, das die OTP App am Handy anzeigt. Nach der Eingabe ist dieses Einmal-Passwort ungültig, daher auch der Name. Selbst wenn also die Zugangsdaten bekannt sind ist ein Login nur dann möglich, wenn der Angreifer zusätzlich auch mein Handy hat.

 

Fazit

Es macht also keinen Sinn, eindeutige generierte Passwörter zyklisch zu ändern. Genausowenig macht es Sinn zyklisch eine starke Passphrase zu ändern. Eine Änderung macht natürlich dann Sinn, wenn ein von mir verwendeter Dienst kompromittiert wurde: viele große und bekannte Unternehmen "verlieren" immer wieder Zugangsdaten ihrer Benutzer (das ist weit wahrscheinlicher als dass mein Passwort durch Angreifer geknackt wird) und davor schützt uns nicht das sicherste Passwort, auch dann nicht, wenn wir es zyklisch ändern. Das Gute ist: mit dem eindeutigen Passwort kann man sich sicher sein, dass mit den Zugangsdaten keine anderen Dienste verwendet werden können.

Ich selbst verwende erst seit ca. 3 Jahren einen Passwortmanager. Der Anfang ist aufwändig, denn jeder von mir verwendete Dienst musste auf ein neues generiertes Passwort geändert werden. Jetzt möchte ich den Komfort aber nicht mehr missen und ich weiß, dass dadurch meine Daten und Zugänge viel besser geschützt sind als zuvor!

Macht der "Ändere Dein Passwort Tag" Sinn? Er regt zu mindest zu einer Diskussion rund um das Thema "Sichere Passwörter" an, man sollte den Tag aber jedenfalls nicht zu wörtlich nehmen.

 

"Ändere dein Passwort" - Welttag | YouTube Video

https://www.youtube.com/watch?v=s8VwMwupXOg

Autor
SEQIS Autor Klemens Loschy

Klemens Loschy

Principal Consultant, Teamlead
IT Analyse, Softwaretest, Projektmanagement

Newsletter

Um neue Beiträge per E-Mail zu erhalten, hier die E-Mail-Adresse eingeben.

Unsere Autoren

Informieren Sie sich über unsere Autoren und erfahren Sie mehr über unsere Spezialisten und ihre Fachbereiche:

Zu den Autoren

Sie haben eine Frage?

Zurück

Zum Seitenanfang navigieren