12 goldene Regeln für sichere Passwörter

Man kann es eigentlich nicht oft genug wiederholen: Nur starke Passwörter sind sichere Passwörter. Wir haben dir hier jeweils sechs Dos und Dont’s für Passwörter zusammengestellt:

Dos:

1. Es kommt auf die Länge an: mindestens 10 Zeichen.

2. Wähle Groß- und Kleinbuchstaben.

3. Nutze viele Sonderzeichen, z. B. ?, !, %, $, +, -, _.

4. Die Mischung machts: Nutze mehrere Zahlen.

5. Denk dir einen Satz aus und nutze die Anfangsbuchstaben als Passwort. Der Satz „Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." wird dann als Passwort zu "MsiaupmmZdMl".

6. Wechsle regelmäßig deine Passwörter. Spätestens aber dann, wenn es Anzeichen für Betrug gibt oder dein Endgerät mit einer Schadsoftware befallen wurde.

Don’ts:

1. Geburtstage, Hundenamen, Telefonnummern oder andere persönliche Daten sind No-Gos.

2. Nutze keine nebeneinanderliegenden Tasten auf der Tastatur oder gängige Wiederholungs- und Tastaturmuster wie asdf, abcd, 1234 oder 666.

3. Einfache Wörter nur mit Sonderzeichen und Ziffern ergänzen, wie z. B. !Pizza – keine gute Idee.

4. Nutze niemals dasselbe Passwort für mehrere Anwendungen.

5. Behalte niemals voreingestellte Passwörter, da hierfür häufig bekannte Passwörter verwendet werden.

6. Verschicke niemals deine Passwörter oder gib sie an Dritte weiter. Denn viele E-Mails werden unverschlüsselt verwendet und können so von Unbefugten abgegriffen werden.

Ein weiteres No-Go: Passwörter ungesichert speichern oder ablegen

Ob im Arbeitsalltag oder privat: Für unzählige Websites, Programme und Anwendungen braucht man mal eben wieder einen neuen Nutzeraccount. Da ist der Griff zum Schmierzettel oder den Handynotizen schnell gemacht, um sich das neue Passwort zu notieren. Mal ehrlich, wie häufig war das bei dir schon der Fall? Und eigentlich weißt du es doch längst schon besser. Ein Ablageort für deine 1001 Passwörter mit hohen Schutzfaktoren ist ein Passwortmanager, wie z. B. „Passwortsafe“ oder „keepass“. Und wir sagen dir auch warum. Denn ein Passwortmanager:

1. … verwahrt alle deine Passwörter und Benutzernamen mittels Verschlüsselung.

2. … hilft dir bei der Passwortvergabe und generiert automatisch starke Passwörter und weist dich darauf hin, wenn du ein ähnliches Passwort bereits im Einsatz hast.

3. … warnt dich vor gefährdeten Websites und Phishing-Attacken, sobald es Unregelmäßigkeiten zwischen der gespeicherten URL und der aufgerufenen URL gibt.

4. … synchronisiert deine Passwörter zwischen den unterschiedlich genutzten Endgeräten.

Aber auch bei der Nutzung von Passwortmanagern sollte man folgende Sicherheitsaspekte beachten:

• Lade dir immer das neueste Update herunter, um den Manager auf dem sichersten technischen Stand zu halten.

• Schütze dein Endgerät, auf dem sich der Passwortmanager befindet, immer mit einem Passwort- oder einem PIN.
• Auch Passwortmanager können Opfer von Cyber-Angriffen sein. Schütze daher deine Systeme vor solchen Angriffen mittels Firewall, Antiviren-Programmen und Co.
• Prüfe bei der Wahl von cloudbasierten Passwortmanagers die AGB der Anbieter und gehe sicher, welchem Datenschutzrecht die Daten unterworfen sind.
• Das Masterpasswort zu deinem Manager sollte gut gewählt sein und möglichst so, dass du es nicht vergisst. Denn ist es einmal vergessen, hast du viel Arbeit vor dir …

Und auch wenn es bequem ist: Das Speichern von Passwörtern in Browsern auf dem Laptop oder dem Smartphone ist genauso unsicher wie eine analoge Passwortliste auf dem Schreibtisch. Hier sollte auch die Devise sein. Sicherheit vor Bequemlichkeit! Dies gilt übrigens auch für die sogenannten „Single-Sign-On“-Verfahren. Hierbei kann man für den Log-in auf bestimmten Seiten z. B. die Anmeldedaten von Facebook, Google und Amazon verwenden. Dies ist nicht nur aus sicherheits- sondern aus datenschutztechnischer Sicht kritisch zu sehen.

Höhere Sicherheitsschwelle mit Zwei- bzw. Multi-Faktor-Authentifizierung

Beim Online-Banking ist es bereits rechtlich verpflichtend und auch viele Online-Shops, Social Media Plattformen und Mailprogramme nutzen Sie: die Zwei- bzw. Multi-Faktor-Authentifizierung. Neben der Eingabe des Benutzernamens und Passwort wird eine zweite bzw. zusätzliche Sicherheitsschwelle zur Anmeldung eingebaut. Folgende Systeme sind derzeit am geläufigsten:

• TAN- oder OTP-Systeme: Diese generieren mithilfe von zusätzlichen TAN-Generatoren (Hardware) oder Authenticator Apps (Software) Einmalkennwörter, die nur für einen bestimmten Vorgang, z. B. eine Überweisung, genutzt werden können. Ein weiteres geläufiges Verfahren ist die Übermittlung des Einmalkennworts via SMS (mTAN bzw. smsTAN) auf das eigene Handy oder Smartphone. Hierbei wird jedoch dringend empfohlen, dass man den Log-in-Vorgang und den Empfang der TAN nicht über dasselbe Gerät anwendet, um eine Trennung der beiden Anmeldefaktoren zu gewährleisten. Aber Achtung: Vor allem SMS-basierte OPT-Verfahren wurden schon häufig von Hackern als Einfallstor genutzt, indem sie sich beim Telefonanbieter selbst als Opfer ausgegeben haben und so Zugriff auf die Bestätigungs-SMS erhalten haben. Sicherer sind Verfahren via Authenticator Apps.
• Kryptische Token: Ein kryptischer Token ist ein zusätzliches Speichermedium für einen persönlichen kryptischen Token. Genau wie bei TAN- und OTP-Systemen gibt es hier Hardware- (ein spezieller USB-Stick oder eine Signaturkarte) und Softwarelösungen (z. B. in Form eines Softwarezertifikats wie beim Steuerprogramm ELSTER genutzt). Diese Technologie wird z. B. auch bei der Online-Ausweisfunktion und beim elektronischen Aufenthaltstitel verwendet.

• Biometrische Systeme: Diese nutzen die Einzigartigkeit von körperlichen Merkmalen, wie z. B. den Fingerabdruck, das Gesicht oder die Retina, zur Anmeldung.

Die juunit Experten-Tipps:

Nutze überall wo möglich Multi-Faktor-Authentifizierungsverfahren und deaktiviere diese auch nicht nachträglich. Gerade bei Online-Shops, wo persönliche Rechnungsdaten genutzt werden und bei E-Mail- und Social-Media-Accounts, bei denen persönliche Daten und Bilder im Einsatz sind, ist dieser zusätzliche Sicherheitsfaktor besonders ratsam.  

Du möchtest wissen, ob deine persönlichen Identitätsdaten bereits im Rahmen von Cyberangriffen erbeutet wurden? Das Hasso-Plattner-Institut bietet hier den kostenlosen HPI Identity Leak Checker an. Einfach unter https://sec.hpi.de/ilc/ die E-Mail-Adresse eingeben, die du prüfen möchtest und in wenigen Minuten erhältst du per Mail ein Ergebnis.

Das Thema Passwortsicherheit lässt dich nach dem Lesen unseres Blogbeitrags nicht los? Und du möchtest eine umfassende Beratung, wie du dein Unternehmen und deine Mitarbeiter im Bereich Passwortsicherheit fit machen kannst? Dann buche gleich dein persönliches Gespräch mit unseren IT-Experten unter: https://bit.ly/3jdRABP

‍