Passwortsicherheit ist ein wichtiger Bestandteil der Cybersicherheit für Unternehmen. Dieser Leitfaden enthält wichtige Tipps zum Erstellen und Verwalten sicherer Passwörter, einschließlich der Verwendung von Passwort-Managern und Multi-Faktor-Authentifizierung.
Erfahren Sie mehr über häufige Passwort-Schwachstellen und bewährte Verfahren zur Schulung von Mitarbeitern in Bezug auf Passwortsicherheit. Das Verständnis der Passwortsicherheit ist für den Schutz sensibler Informationen und die Verhinderung unbefugter Zugriffe von entscheidender Bedeutung.
Das Passwort eines Benutzers ist der Schlüssel, um die Tür zu seinem Konto zu öffnen. Je nachdem, über welche Berechtigungen dieses Benutzerkonto innerhalb eines Systems verfügt, kann dieser Schlüssel sehr mächtig sein. Wenn ich das Passwort für Ihr Online-Banking habe, kann ich möglicherweise auf Ihr Konto und alle darin enthaltenen Daten zugreifen. Das wäre für Sie sehr ärgerlich. Wenn ich jedoch das Passwort des Systemadministrators für das Online-Banking auf Serverebene erhalte, kann ich nicht nur auf Ihre Daten zugreifen, sondern auch auf die aller anderen Benutzer. Auf diese Weise kommt es zu einer überraschend hohen Anzahl von Datenverstößen.
Was eine gute Passwortsicherheit so wichtig macht, ist Folgendes: Man muss kein Technikgenie sein, um das Passwort einer anderen Person zu missbrauchen, sobald man es hat. Andere Arten von Sicherheitsverletzungen – seien es Hintertüren, die Ferninstallation von Malware oder die Einschleusung von Schadcode auf Webservern – erfordern ein gewisses Maß an Fachwissen. Aber ein Passwort? Es ist der einfachste Weg, an Daten zu gelangen, die Ihnen nicht gehören. Aus diesem Grund gibt es einen Markt für Passwörter im Dark Web, wobei der schwierige Teil (das Einbrechen) denen überlassen bleibt, die wissen, wie es geht, und das eigentliche Chaos jemandem, der nichts als Böswilligkeit im Sinn hat. Credential Stuffing, Password Spraying und andere Arten von Passwort-basierten Angriffen könnten oft durch den Einsatz guter Passwortsicherheit verhindert werden.
Empfehlungen des NIST zur Passwortsicherheit
Das National Institute of Science and Technology (NIST) hat sich mit diesem Thema befasst, um die Sicherheit auf Bundesebene zu erhöhen. Es hat einen Entwurf mit Änderungsvorschlägen für die Passwortsicherheitsrichtlinien des Landes veröffentlicht, um das System der Bundesregierung besser zu schützen. Nach ihrer Verabschiedung betreffen diese Richtlinien nur Nutzer, die bei einer Bundesbehörde arbeiten. Sie sollten jedoch von allen ernst genommen werden, die für die Sicherheit ihrer IT-Infrastruktur (oder persönlichen Konten) verantwortlich sind.
Einige der Empfehlungen widersprechen lang gehegten konventionellen Weisheiten zur Passwortsicherheit:
1. Machen Sie es Ihren Benutzern leichter , sich Passwörter zu merken
Legen Sie keine Einschränkungen für das Format des Passworts fest. Wenn Sie vorschreiben, dass mindestens ein Großbuchstabe, eine Zahl oder Sonderzeichen verwendet werden müssen, oder wenn Sie den Nutzern mitteilen, dass das Passwort zu lang ist, führt dies nur dazu, dass sie nach einfachen Auswegen suchen. Wenn John Smith beschließt, sein Passwort "johnsmith" zu nennen, ist das nicht akzeptabel. Indem Sie jedoch ein bestimmtes Format vorschreiben, ermutigen Sie ihn, innerhalb dieser Einschränkungen etwas wie "J0hnsm1th!" zu erstellen.– was nicht wirklich besser ist. Jeder, der sich mit der Entschlüsselung/Dekodierung von Passwörtern auskennt, kann diese Variante schnell herausfinden.
Geben Sie John stattdessen mehr Spielraum bei der Erstellung seines Passworts. Ermutigen Sie ihn, eine längere Phrase zu verwenden (derzeit werden maximal 64 Zeichen empfohlen, nicht 16), und stellen Sie sicher, dass das System alle Zeichen verarbeiten kann, die Sie eingeben, also nicht nur ASCII-Text, sondern auch Unicode-Zeichen – einschließlich Emojis. Dies funktioniert am besten, wenn Sie über ein Verzeichnis bekannter schlechter Passwörter verfügen, mit denen das System Vergleiche anstellen kann. Wenn dann Johns erster Versuch, ein Passwort zu erstellen – "johnsmith" – abgelehnt wird, kann er seine Frustration in etwas viel Sichereres umwandeln, wie beispielsweise diese 49 Zeichen: "Unser Systemadministrator ist ein nerviger Schmerz im ????."
Sicher, das ist ziemlich einfaches Englisch, aber es ist zufälliger als nur Buchstaben durch ähnlich aussehende Zahlen zu ersetzen.
Hören Sie auch damit auf, Passwörter ablaufen zu lassen und Benutzer zu zwingen, sie zu ändern. Jedes Mal, wenn Sie das tun, wird es wahrscheinlicher, dass die Passwörter leichter zu knacken sind. Außerdem spielt es keine Rolle, wie lange die Gültigkeitsdauer ist – 30 Tage, 6 Monate, ein Jahr –, wenn das Passwort in dieser Zeit nicht gestohlen wurde, bedeutet das, dass Sie etwas richtig machen.
Niemand wechselt jedes Jahr die Schlösser an seinem Haus, um zusätzlichen Schutz zu erhalten. Wenn niemand in das Haus eindringen konnte, bedeutet das, dass Sie immer noch der Einzige sind, der einen Schlüssel hat. Sie wechseln sie nur, wenn Sie wissen, dass jemand, der keinen Zugang haben sollte, Ihren Schlüssel in die Hände bekommen hat. Das Gleiche gilt für Passwörter.
2. Verwenden Sie keine Passworthinweise mehr
Wir machen so etwas schon so lange, dass es uns kontraintuitiv erscheint, darauf zu verzichten. Aber wenn man darüber nachdenkt, macht es keinen Sinn, Hinweise und Mechanismen zum Abrufen oder Zurücksetzen eines Passworts einzurichten. Der Sinn eines Hinweises besteht doch gerade darin, die Antwort leichter zu finden.
Stellen Sie sich vor, Sie gehen in eine Bank, von der Sie wissen, dass Bill Gates dort ein Konto hat, und versuchen, 1 Million Dollar abzuheben. Der Bankangestellte fragt Sie nach Ihrem Ausweis, den Sie nicht haben, weil Sie nicht Bill Gates sind. Aber anstatt Sie abzuweisen, fragt er Sie: "Wie heißt die Stadt, in der Sie geboren sind?" Diese Information ist viel leichter zu beschaffen und scheint eine schlechte Methode zu sein, um Vermögenswerte zu schützen.
Starke Passwörter sind der erste Schritt zum Schutz digitaler Vermögenswerte (und in vielen Fällen stellen diese digitalen Vermögenswerte den Zugang zu echtem Geld dar). Wenn jemand ein Passwort nicht kennt, sollte man besser davon ausgehen, dass es dafür einen Grund gibt, als ihm zu helfen.
3. Verzichten Sie auf die Zwei-Faktor-Authentifizierung per SMS
Eine Zwei-Faktor- oder sogar Multi-Faktor-Authentifizierung ist zweifellos ein Muss. Aber biometrische Verfahren wie Fingerabdruck- oder Netzhautscans sind eine viel bessere Methode, um Ihr Konto zu schützen – und sie sind längst keine futuristische Science-Fiction-Technologie mehr, wie es früher einmal der Fall war. Die Zukunft ist bereits da.
Dies per SMS zu tun, ist eine ziemlich schlechte Methode. Was die Hindernisse angeht, ist das Versenden von Autorisierungscodes per SMS an ein Mobiltelefon so, als würde man ein Pferd bitten, über eine 15 cm hohe Hürde zu springen. Als diesem Beitrag zeigt, dass jemand, der klug genug ist, sich Ihr Passwort zu beschaffen, auch clever genug ist, einen Weg zu finden, um textbasierte Authentifizierungscodes zu umgehen.
Und jetzt, da alle von der Unwirksamkeit dieser Methode erfahren haben, denken und schreiben Sicherheitsblogger über die verschiedenen Möglichkeiten diese Art von Schutz durchbrochen werden kann.
4. Administratoren müssen bei der Speicherung von Passwörtern klüger vorgehen
Im Jahr 2013 beschrieb der Blog "Naked Security" ausführlich, wie eines der größten Softwareunternehmen der Welt, Adobe, 150 Millionen seiner Nutzer im Stich gelassen hat dreadful practices in place zum Schutz von Passwörtern.
Abgesehen davon, dass damit deutlich wurde, wie sinnlos Passwortsicherheitstipps sind, wurde auch klar, dass Adobe eine recht einfache Verschlüsselung verwendete und keine weiteren Schutzmaßnahmen hinzufügte. Das Ergebnis war eine Art einfacher Entschlüsselungsprozess, der nicht viel ausgefeilter war als das, was Kinder früher mit Spielzeug-Spionagesets bekamen.
In unserer passwortgeschützten Welt liegt die Verantwortung für die Sicherheit bei jedem Einzelnen. Richtlinien müssen gut durchdacht sein, Benutzer müssen sie einhalten, und Administratoren müssen im Sinne der Benutzer handeln, indem sie nicht davon ausgehen, dass Eindringlinge gar nicht erst in der Lage sind, Passwörter zu stehlen. Die neuen Empfehlungen und Erkenntnisse des NIST sind sicherlich ein guter Ausgangspunkt für alle.
Passwort-Manager: Abwägen der Vor- und Nachteile
Passwort-Manager sind eine weitere Möglichkeit für Einzelpersonen und Organisationen, das Risiko der Verwendung von Passwörtern zu verringern. Wie andere Sicherheitstools können Passwort-Manager hilfreich sein, aber sie sind keine vollständige Lösung, die Ihre Organisation von passwortbezogenen Risiken befreit. Ein weiterer zu berücksichtigender Aspekt ist, dass die meisten Passwortmanager im Laufe der Jahre Schwachstellen aufwiesen oder sogar Sicherheitsverletzungen erlitten haben.
Durch den Einsatz eines Passwort-Managers in Ihrem Team legen Sie Ihre Sicherheit in die Hände dieser Tools. Zu den bemerkenswerten Sicherheitsvorfällen zählen LastPass, My1Login, KeePass, OneLogin, PasswordBox, MyPasswords, Avast Passwords und RoboForm. Tavis Ormandy von Google Project Zero hat einige dieser Schwachstellen offengelegt, darunter auch Schwachstellen in den Browser-Plugins.
Unsere Empfehlungen? Passwortmanager können dazu beitragen, den IT-Aufwand für die Passwortwiederherstellung zu minimieren, aber sie bergen auch ein weiteres potenzielles Risiko für Unternehmen: Supply-Chain-Angriffe für Unternehmen.
Verringern Sie das Identitätsrisiko in Ihrer gesamten Organisation
Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.
Demo anfordernFazit
In unserer passwortgeschützten Welt umfasst eine strenge Sicherheitsrichtlinie die Anbieter und Mitarbeiter jedes Teams. Richtlinien müssen gut durchdacht sein, Benutzer müssen sie einhalten und Administratoren müssen im Sinne der Benutzer handeln, indem sie nicht davon ausgehen, dass Eindringlinge gar nicht erst in der Lage sind, Passwörter zu stehlen. Die Empfehlungen und Erkenntnisse des NIST sind ein guter Ausgangspunkt für alle.
"Häufig gestellte Fragen zur Passwortsicherheit
Passwortsicherheit bezieht sich auf die Praktiken und Tools, die Ihre Passwörter vor Angreifern schützen. Man kann sich das wie ein digitales Schloss vorstellen, das Ihre Konten vor unbefugtem Zugriff schützt. Zur Passwortsicherheit gehört es, sichere Passwörter zu erstellen, diese sicher zu speichern und zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung zu verwenden.
Ohne angemessene Passwortsicherheit können Angreifer leicht in Ihre Konten eindringen und Ihre Daten oder Ihr Geld stehlen.
Passwortsicherheit ist wichtig, da schwache Passwörter die Hauptursache für Datenverstöße sind. Wenn Angreifer Ihr Passwort knacken, können sie auf Ihre persönlichen Daten, Finanzdaten und Geschäftskonten zugreifen. Schlechte Passwortpraktiken können zu Identitätsdiebstahl, finanziellen Verlusten und schwerwiegenden Reputationsschäden führen.
Wenn Sie starke Passwortsicherheit verwenden, schaffen Sie eine Barriere, die es Cyberkriminellen erheblich erschwert, Sie ins Visier zu nehmen.
Sie können die Sicherheit Ihres Passworts mit verschiedenen Tools zur Überprüfung der Passwortsicherheit überprüfen. Diese Tools analysieren die Länge und Komplexität Ihres Passworts und überprüfen, ob es bei Datenverstößen offengelegt wurde. Sie geben an, wie lange Angreifer benötigen würden, um Ihr Passwort mit Brute-Force-Angriffen zu knacken. Sie sollten diese Tools verwenden, um Ihre bestehenden Passwörter zu testen und schwache Passwörter zu verbessern.
Sie können Ihre Passwörter sicher machen, indem Sie mindestens 12 bis 15 Zeichen mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen verwenden. Erstellen Sie für jedes Konto ein einzigartiges Passwort und verwenden Sie diese niemals auf mehreren Websites. Verwenden Sie einen Passwort-Manager, um komplexe Passwörter sicher zu generieren und zu speichern.
Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung, um einen zusätzlichen Schutz zu erhalten. Vermeiden Sie die Verwendung persönlicher Informationen oder gängiger Wörter in Ihren Passwörtern.
Sie können die Passwortsicherheit verbessern, indem Sie statt komplexer kurzer Passwörter längere Passphrasen verwenden. Verwenden Sie Passwortmanager, um einzigartige, zufällige Passwörter für alle Ihre Konten zu erstellen. Richten Sie eine Multi-Faktor-Authentifizierung für alle wichtigen Konten ein, insbesondere für Bank- und E-Mail-Konten.
Überprüfen Sie regelmäßig mit Tools wie SentinelOne oder Have I Been Pwned, ob Ihre Passwörter bei Datenlecks kompromittiert wurden. Ersetzen Sie schwache oder wiederverwendete Passwörter sofort und aktualisieren Sie sie, wenn sie offengelegt wurden.
Zu den besten Praktiken für die Passwortsicherheit gehört die Verwendung von Passwörtern, die mindestens 12 Zeichen lang sind und verschiedene Zeichentypen enthalten. Verwenden Sie Passwörter niemals für verschiedene Konten und erstellen Sie für jeden Dienst ein einzigartiges Passwort. Verwenden Sie seriöse Passwortmanager, um Ihre Passwörter sicher zu generieren, zu speichern und automatisch auszufüllen.
Aktivieren Sie die Multi-Faktor-Authentifizierung für alle Konten, die dies unterstützen. Vermeiden Sie es, Passwörter aufzuschreiben oder an unsicheren Orten wie Tabellenkalkulationen zu speichern. Überprüfen Sie Ihre Passwörter regelmäßig und ersetzen Sie alle, die kompromittiert wurden.
