Sicherheit im Netz: Sichere Passwörter sind mehr als nur eine Regel

Sicherheit im Netz ist eine Angelegenheit, mit der wir uns alle jeden Tag auseinandersetzen. Schon beim Öffnen des Rechners werden wir mit einem wichtigen Bestandteil dieses Themas konfrontiert: dem Passwort, das uns und unsere sensiblen Daten schützen soll. Aber was ist sicher genug? Wie sehen derzeitige Passwort-Standards aus? Und wie kann man noch aufmerksamer mit den eigenen Passwörtern umgehen? Wir geben einen Einblick, wie Ihr Euch und Eure Daten wirksam schützen könnt.

Inhalt:

  1. Sicherheit als Prozess: Eine Anekdote
  2. Mehr Sicherheit durch einen neuen Prozess
  3. Drei nützliche Security-Tipps

Seit Langem wird gesagt, dass Sicherheit kein Zustand, sondern ein Prozess ist. Und nirgends merkt man das mehr als an den Passwörtern.

Als ich in die Berufsschule ging, meinte ein Lehrer mal, dass 8 Zeichen genug an Komplexität seien, um sichere Passwörter darzustellen. Während das damals noch Best Practice war, geht man heute - neben zahlreichen anderen Regeln - auf mindestens 10 Zeichen rauf.

Kennt Ihr die Plattform Have I Been Pwned? Mit dieser könnt Ihr prüfen, ob Eure Daten in bekannten großen Datenleaks aufgetaucht sind. Dazu müsst Ihr auf der Website nur Eure E-Mail-Adresse eingeben.

Have I Been Pwned? ist in den letzten Jahren stetig gewachsen und für mich nicht mehr wegzudenken. Das ist auch der Grund, warum wir nun für den ersten Kunden Folgendes implementiert haben:

Wenn ein*e User*in ein Passwort nutzen möchte, das auf Have I Been Pwned? bekannt ist, so wird ihm*ihr die Registrierung mit diesem Passwort verweigert.

Wie das funktioniert? Neben den Komplexitäts-Regeln für Passwörter wird eine Prüfsumme (vereinfacht gesagt eine Quersumme der Zeichen, die nicht auf das eigentliche Passwort zurückzuführen ist) mit der Plattform abgeglichen. Ein Passwort, das 32 Zeichen lang ist, aber aufgrund einer Sicherheitslücke bei einem anderem Anbieter bekannt ist, kann also nicht mehr genutzt werden.

Neben den klassischen Passwort-Regeln wird durch einen solchen Prozess eine ganze Schippe Sicherheit drauf gelegt.

Security-Tipp #1: Erwähnt nie, wie lang Euer Passwort ist. Selbst wenn man damit angibt, dass man einen Passwort-Manager nutzt, der alle Passwörter 32 Zeichen lang macht, hat man einem potentiellen Angreifenden so einige Jahre an Rechenarbeit geschenkt.

Security-Tipp #2: Benutzt niemals dasselbe Passwort an zwei Stellen.

Security-Tipp #3: Nutzt immer einen Passwort-Manager und speichert die Passwörter nur darin. Dann müsst Ihr Euch selbst nämlich nur noch ein Passwort merken - und alle anderen werden von dem Tool verwaltet. Wir empfehlen 1Password.


Ihr habt sensible Daten in Eurem System und benötigt höchste Sicherheit dafür? Wir beraten Euch gerne dazu. Bucht einfach eine Sprechstunde mit uns.