passwort sicherheit

Passwort Guide 2019 – Wie erstelle ich sichere Passwörter?

Passwortsicherheit ist ein zentrales Thema bei den technischen und organisatorischen Maßnahmen (TOM). Noch immer sind Passworte das Mittel der Wahl zur Authentisierung von Nutzern. Die Anmeldung mittels Nutzername und Passwort an Computern, bei Webdiensten, Internet-of-Things- bzw. Smart-Home-Geräten, Routern und vielem anderen stellt das gängigste Verfahren zur Authentifizierung dar.  Diese Authentifizierungsmethode ist oftmals das wesentliche oder gar einzige Sicherheitselement, das vor dem Zugriff durch Unbefugte schützt.

Nicht nur sind Nutzer in der Pflicht, sichere Passwörter zu wählen, ebenso müssen IT-Administratoren und Hersteller von Hard- oder Software sichere Vorgaben machen und Passworte sicher speichern. Darüber hinaus sollten moderne Techniken wie beispielsweise die Zwei-Faktor-Authentifizierung angeboten werden.

Rechtliches

Die Authentifizierung mittels Nutzername und Passwort sowohl bei Geräten als auch Diensten stellt eine technische und organisatorische Maßnahme nach Artikel 32 DSGVO dar. Eine sichere Authentifizierung der Nutzer ist ein Baustein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste auf Dauer sicherzustellen. Setzen Verantwortliche unzureichende technische und organisatorische Maßnahmen um, können Bußgelder bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist (vgl. Art. 83 Abs. 4 DSGVO).

Verantwortliche sind also angehalten, angemessene technische und organisatorische Maßnahmen ein- und durchzuführen sowie entsprechende Kontrollmechanismen zu implementieren.

Hinweise zur Auswahl von Passworten

Ein nicht zu missachtendes Risiko ist, dass Passworte von Dritten auf die eine oder andere Art erraten oder ermittelt werden können. Daher sind einerseits die Nutzer selbst in der Pflicht, sichere Passworte auszuwählen, andererseits müssen aber auch Hersteller und Administratoren sichere Vorgaben machen, um die natürliche „Bequemlichkeit“ der Nutzer einzudämmen. Dafür haben sich eine Reihe von Regeln etabliert:

„Starke“ Passworte wählen

Es sollten stets „starke“ Passworte verwendet werden, die aus zwölf oder mehr Zeichen bestehen. Je wichtiger das Passwort ist, desto länger sollte es sein. Sie sollten sowohl Klein- als auch Großbuchstaben, Ziffern und Satz- bzw. Sonderzeichen enthalten. Auf besonders kompliziert einzugebende Sonderzeichen und Umlaute sollte, je nach Kontext, verzichtet werden, da diese unter Umständen auf unterschiedlichen Tastaturen oder bei unterschiedlichen Sprachlayouts abweichend eingegeben werden müssen.

Immer häufiger gelingt es, dass Angreifer an Datenbanken von Online-Diensten gelangen, die entprechende Passworte enthalten. Die verantwortlichen Diensteanbieter sollten zwar keine Passworte im Klartext speichern, aber die Praxis zeigt, dass dieses noch viel zu häufig passiert. In unseren Augen eine grobe Fahrlässigkeit. Aber auch zu Passwort-Hashes (eine Art Einweg-Prüfsumme oder Fingerabdruck) lassen sich die passenden Passworte durch bloßes Ausprobieren finden. Je nachdem welches Verfahren der Verantwortliche gewählt hat, können Angreifer mehrere Milliarden Passwörter pro Sekunde ausprobieren. Daher ist es essentiell, starke Passworte zu verwenden.

Da solche Passworte schwer zu merken sind, haben sich einige Verfahren etabliert, damit sich Nutzer leichter an solche starken Passworte erinnern können:

Die „erster-Buchstabe“-Methode

Denken Sie sich einen Satz aus, den Sie sich gut merken können und nehmen von jedem Wort den ersten oder einen markanten Buchstaben und die Satzzeichen:

Ich muss mir selbst 1 tollen Satz ausdenken, das hier ist nur eines von 42 Beispielen.

Das resultierende Passwort: Imms1tSa,dhinev42B.

Benutzen Sie aber keinen Satz, den jemand anderes erraten kann, der irgendetwas mit Ihnen oder Ihrem Umfeld zu tun hat. Wenn Sie als Satz einen bekannten Spruch, eine Liedzeile, ein Gedicht oder Reim nehmen, verringern Sie die Sicherheit.

Die „ganzer-Satz“-Methode

Wenn Sie schnell tippen können, ist auch ein ganzer ausgeschriebener Satz möglich. Der sollte möglichst aus sinnlosen Phantasiewörtern bzw. zufällig aneinandergereihten Wörtern bestehen, gerne aufgefüllt mit Sonderzeichen, wie zum Beispiel einem Bindestrich:

Die-13-lilablassroten-Beispielpasswoerter-nehme-ICH-nieniemals!

Zufällige Passworte generieren lassen

Einige Browser und spezielle Tools bieten die Option, zufällige Passworte zu generieren und von einem Passwort-Safe speichern zu lassen, ohne dass Sie diese sehen. Dies ist oftmals die komfortabelste und einfachste Methode – und auch sicher, solange der Passwort-Safe die Daten gut verschlüsselt ablegt und kein Dritter Zugang dazu erhält.

Passwort-Karten und -Schablonen

Es gibt zahlreiche Anbieter von Passwort-Karten und -Schablonen. Seien Sie jedoch vorsichtig:

Diese sind nur sicher, wenn jeder Nutzer unterschiedliche Zeichen bzw. unterschiedliche Schablonen verwendet. Dies ist nicht immer gegeben. Da die anderen Methoden nicht wirklich deutlich mehr Aufwand erzeugen, raten wir Ihnen eher zu einer dieser anderen Methoden.

Passworte niemals(!) doppelt verwenden

Angreifer haben in den letzten Jahren eine große Menge an echten Passworten gesammelt, oftmals indem sie die Passwortdatenbanken großer Internet-Portale aufgrund von Sicherheitslücken kopieren konnten. Mehrere Milliarden Passworte aller Art sind bereits öffentlich bekannt. Angreifer nutzen diese, um sich unrechtmäßig bei anderen Diensten anzumelden oder weitere ähnliche Passworte, die lediglich minimal geändert wurden, zu knacken.

Ob Ihre E-Mail-Adresse betroffen ist, können Sie beispielsweise beim Identity Leak Checker des Hasso-Plattner-Instituts nachprüfen. Auf der Webseite haveibeenpwned.com können Sie zusätzlich prüfen, ob bestimmte Passworte bereits öffentlich bekannt wurden.

Um das Risiko doppelt genutzter Passwörter zu vermeiden, müssen Nutzer daher für alle Accounts bzw. Dienste eigene Passwörter nutzen.

Passwort-Safe verwenden

Niemand ist in der Lage sich hunderte Passwörter zu merken. Erst recht nicht, wenn diese auch noch „gut“ sind, also eine hohe Komplexität bei großer Länge aufweisen. Daher ist es ratsam, Passworte in einem Passwort-Safe zu speichern. Entsprechende Programme wie zum Beispiel KeePass gibt es als freie Software kostenlos. Bei einigen Betriebssystemen werden auch bereits welche mitgeliefert (z. B. der Schlüsselbund unter MacOS). Viele Web-Browser unterstützen die Speicherung von Passworten. Diese sollten dann aber zwingend mit einem Master-Passwort abgesichert werden.

Keine Worte aus Wörterbüchern verwenden

Angreifer können, insbesondere wenn sie Zugriff auf Datenbanken mit gehashten Passwörtern haben, in kurzer Zeit automatisiert sehr viele Kombinationen ausprobieren. Gute Passworte sollten daher weder Begriffe oder Begriffskombinationen aus Wörterbüchern enthalten wie zum Beispiel „Kollateralschaden_1999“ noch solche wiederverwenden. Die einzige Ausnahme sind wirklich sehr lange Passworte, die aus einer Reihe zufälliger und nicht zusammenhängender Worte bestehen.

Passworte nicht weitergeben

Passwörter sollen grundsätzlich nicht weitergegeben werden. Niemals. An niemanden. Ebenso sollen sie nicht per unverschlüsselter E-Mail versendet oder in unverschlüsselten Dokumenten gespeichert werden. Bei der Verwendung von Initialpassworten sollten Nutzer gezwungen werden, beim ersten Anmelden ein eigenes und sicheres Passwort selbst zu vergeben, so dass auch den Administratoren die Passworte der Nutzer unbekannt sind.

Nur bei Kompromittierung ändern

Lange wurde empfohlen, Passworte in regelmäßigen Abständen zu ändern. Diese Empfehlung gilt heutzutage als überholt, da sie nicht zu mehr Sicherheit führt, sondern nur dazu, dass Nutzer sich die Passworte nicht merken können und diese im Klartext notieren, einfache Passworte wählen, eine Zahl hoch zählen oder ähnliches. Daher sollten Administratoren die Nutzer nicht mehr zwingen, Passworte in regelmäßigen Abständen zu ändern. Nur wenn es Anzeichen dafür gibt, dass Passworte oder Passwort-Hashes in fremde Hände gelangt sind, sollten Nutzer diese ändern bzw. zu einer Änderung aufgefordert werden.

Sichere Passworte auch auf Smartphones

Auch wenn Passworte auf Smartphones oder Tablets aufwändig einzugeben sind, sollten hier sichere und lange Passworte gewählt werden. Vierstellige PIN oder Wischgesten sind in der Regel nicht ausreichend. Aufgrund der meist vorhandenen biometrischen Authentifizierung sind Passworte ohnehin nur relativ selten einzugeben und daher auch bei hohem Komfortverlust auf den mobilen Geräten durchaus zumutbar. Zu beachten ist dabei aber, dass nicht alle Hersteller ein hohes Sicherheitsniveau bei biometrischer Authentifizierung bieten.

Standard-Passworte immer ändern

Standard-Passworte, die zum Beispiel von Internet-of-Things-Geräten, Fernwartungseinheiten, Softwarepaketen und ähnlichem vergeben werden, sind oftmals nicht zufällig sondern bei allen Geräten gleich. Darüber hinaus stehen sie häufig in den Administrator-Handbüchern. Daher müssen diese bei Inbetriebnahme sofort geändert werden.

Lügen Sie bei Sicherheitsfragen

Viele Dienste fragen Sie für Sicherheitsfragen nach persönlichen Informationen, wie dem Name Ihres ersten Haustieres, dem Geburtsdatum der Mutter oder ähnlichem. Die korrekten Antworten auf solche Fragen sind für Angreifer aus Ihrem Umfeld oder insbesondere bei Personen des öffentlichen Lebens oftmals leicht herauszufinden. Zwingt Sie ein Dienst, solche Sicherheitsfragen zu verwenden: Lügen Sie. Lügen Sie was das Zeug hält! Es bietet sich an, wie bei Passwrten zufällige Angaben zu machen und diese im Passwort-Safe zu speichern. Sie können also den größten Blödsinn angeben, merken müssen Sie es sich ja nicht.

Zwei-Faktor-Authentifizierung aktivieren

Viele Web-Dienste bieten eine so genannte Zwei-Faktor-Authentifizierung (2FA) an. Ist diese aktiviert, müssen Sie bei der Nutzung mit einem neuen Gerät (manchmal auch bei jeder Anmeldung) noch einen zweiten Faktor eingeben, so wie das beim Homebanking mittlerweile häufig der Fall ist. Dieser zweite Faktor wird auf einem anderen Kommunikationsweg übertragen, daher reicht die Kenntnis des Passworts alleine für einen erfolgreichen Angriff nicht aus, man muss zusätzlich noch im Besitz eines weiteren Geräts sein.

Hinweise für Administratoren und Entwickler

Passwort-Richtlinie

In einer Passwortrichtlinie für Ihr Unternehmen sollten die obigen Hinweise eingebunden und die Nutzer angewiesen werden diese zu beachten. Soweit möglich und sinnvoll, sollte entsprechendes Verhalten technisch erzwungen werden.

Sperrung nach fehlerhafter Anmeldung

Je nach Umgebung kann eine Account-Sperrung nach mehreren fehlgeschlagenen Anmeldeversuchen, die eine manuelle Freischaltung des Accounts verlangt, sinnvoll sein. Dabei ist aber zu beachten, dass dies auch für Angriffe verwendet werden kann:

Ein Angreifer kann so lange versuchen sich mit einem ungültigen Passwort anzumelden, bis der betroffene Nutzer gesperrt ist und sich selbst nicht mehr anmelden kann. Oftmals ist es sinnvoller, nach etwa drei fehlgeschlagenen Anmeldeversuchen eine stetig steigende Verzögerung zu implementieren.

Passworte keinesfalls im Klartext speichern

Entwickler von Anwendungen, Web-Portalen, Apps oder ähnlichem müssen zum Vergleich beim Login die Zugangsdaten der Nutzer speichern. Dabei dürfen sie die Passworte auf keinen Fall im Klartext speichern, sondern müssen stattdessen moderne Verschlüsselungs- oder Kodierungs-Verfahren nutzen. Üblicherweise sollten dafür existierende Software-Bibliotheken und etablierte Verfahren zur Speicherung verwendet werden.

Dabei ist auch auf ausreichende Entropie durch „Salt“ und „Pepper“] zu achten.

Ungenügend sicher gespeicherte Passwörter sind ein Verstoß gegen Art. 32 Abs. 1 Satz 1 DSGVO und können mit Bußgeldern geahndet werden.

Sichere Speicherung von Passwort-Datenbanken

Passwort-Datenbanken müssen besonders gesichert gespeichert werden. Nur ausgewählte Mitarbeiter dürfen einen möglichst eingeschränkten Zugriff auf die Passwort-Datenbank haben. Es ist zu verhindern, dass jemand die Daten kopieren kann. Sofern möglich sollten auch den Administratoren die Zugriffsrechte entzogen werden, so dass ein unberechtigter Zugriff zusätzliche (hoffentlich in Logdateien auffindbare) Aktionen erfordert.

Zwei-Faktor-Authentifizierung implementieren

Entwickler und Administratoren sollten soweit möglich immer eine Zwei-Faktor-Authentifizierung implementieren bzw. konfigurieren. Verantwortliche sollten dies aber nicht dazu nutzen, die Kunden zur Herausgabe einer Mobilfunknummer zu nötigen. Zur Zwei-Faktor-Authentifizierung sollten etablierte Standards wie RFC 6238, Time-based One-time Password Algorithmus (TOTP) oder weitere etablierte Verfahren genutzt werden.

Änderung voreingestellter Passworte erzwingen

Bei Inbetriebnahme eines Gerätes oder Dienstes müssen eventuell voreingestellte Passworte geändert werden. Nutzer müssen ihre Passworte selbst vergeben, Passwort-Änderungen sind von den Nutzern selbst durchzuführen. Entwickler sollten dies so weit möglich erzwingen. Sind Default-Passworte nötig, müssen sie eine klare Aufforderung zur Änderung enthalten.

Werden Anwendungen z.B. mit Datenbank-Passworten von Entwicklungs- über Test- zu Produktivsystemen transferiert, sollten die Passworte außerhalb der Produktion nicht einfach den Namen der Anwendung tragen, sondern auch hier eine klare Aufforderung, in Produktion ein sicheres Passwort anzulegen (zum Beispiel „Setze-sicheres-Passwort-in-Produktion“).

Ein Datenbank-Administrator, der auf einem produktiven Server ein solches Passwort einrichten soll, hat durch diese Vorgehensweise auch eine klare Anweisung.

Fehlgeschlagene Anmeldeversuche protokollieren

Erfolglose Anmeldeversuche können auf einen Eindringversuch hinweisen. Fehlgeschlagene Anmeldeversuche sollten protokolliert und regelmäßig analysiert werden. Entwickler von Online-Plattformen sollten die Nutzer auf fehlgeschlagene Anmeldeversuche hinweisen. Darüber hinaus sollten auch alle erfolgreichen Anmeldungen von Nutzern mit administrativen Konten protokolliert werden.

Keine fremden Passworte sammeln

Anbieter von Online-Diensten und ähnlichem dürfen grundsätzlich keine fremden Passwörter verarbeiten. Für die Anmeldung bei verschiedenen Diensten mit den gleichen Zugangsdaten sind etablierte Verfahren wie OAuth2 bzw. SAML2 zu nutzen.

Sie benötigen Unterstützung bei der Implementierung der technischen und organisatorischen Maßnahmen? Wenden Sie sich an uns, wir helfen gern!

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.