Security Tipp – Passwörter

Was ist wichtig im Umgang mit Passwörtern?

Jeder kennt das Spiel mit diesen lästigen Passwörtern. Man weiss: Eigentlich sollte man für jeden Dienst ein eigenes Passwort verwenden. Aber wer macht das schon? Und aus welchem Grund macht das überhaupt Sinn? Wenn ich bereits ein starkes Passwort habe, welches man nicht so schnell knacken kann, wieso sollte ich dann noch überall ein anderes Passwort verwenden? Und dann soll ich wirklich noch MFA einrichten, was mir das einloggen noch einmal deutlich erschwert und alles noch viel mühsamer macht?

Haben Sie sich solche Fragen auch bereits gestellt? Die Antworten und weitere Informationen dazu finden Sie in diesem Artikel.

Bereits lang bevor es Computer gab, wurden Passwörter bereits im militärischen Bereich eingesetzt, um validieren zu können, ob eine Person an einem Kontrollpunkt passieren kann oder nicht. Heute hat jeder von uns täglich mit Passwörtern zu tun und auch Sie haben wahrscheinlich einige davon in Ihrem Kopf gespeichert. Mit der Menge an nutzbaren Services im privaten und geschäftlichen Bereich, wird es allerdings immer schwieriger alle Passwörter im Kopf zu behalten und daher entscheiden sich viele Menschen dazu, bei mehreren Diensten die gleichen Passwörter zu verwenden. Wenn man allerdings einmal darüber nachdenkt, wird man selbst feststellen, dass es sich dabei um ein riskantes vorgehen handelt. Denn wenn jemand (auf welchen Weg auch immer) dieses Passwort herausfindet hat er Zugriff auf alle Dienste, bei welchen man dieses Passwort verwendet hat. Immer wieder kommt es ausserdem zu Datenlecks, bei denen grössere Datenmengen (inklusive teilweise Millionen von Passwörtern) an die Öffentlichkeit gelangen oder an Kriminelle verkauft werden. Die Chancen stehen gut, dass dabei auch einmal Nutzerdaten von Ihnen darunter waren.

Ein weiterer Punkt ist, dass sich heute auch komplexere Passwörter mit der richtigen Ausstattung in relativ kurzer Zeit knacken lassen und diese Zeit zu investieren lohnt sich natürlich noch mehr, wenn man dabei sogar Zugriff auf mehrere Accounts erhält. Um das zu veranschaulichen, finden Sie unten eine Tabelle. Diese zeigt die Passwortlänge und die Zeitdauer, mit welcher zu rechnen ist, um das Passwort durch einen Bruteforce Angriff (langsamste aber sicherste Methode) zu knacken. Es wird dabei davon ausgegangen, dass das Angreifersystem etwa 170 Millionen Passwörter pro Sekunde generieren kann. Die schnellsten Systeme schaffen es, heute noch deutlich höhere Raten zu erreichen.

Passwortlänge	Zeichensatz	Dauer
5 Zeichen	Kleinbuchstaben (26 Zeichen)	0.069 sek
5 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern (62 Zeichen)	5.4 sek
5 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern, Sonderzeichen (95 Zeichen)	45.4 sek
6 Zeichen	Kleinbuchstaben (26 Zeichen)	1.8 sek
6 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern (62 Zeichen)	5 min 30 sek
6 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern, Sonderzeichen (95 Zeichen)	1 h 48 min
7 Zeichen	Kleinbuchstaben (26 Zeichen)	47.1 sek
7 Zeichen	Kleinbuchstaben (26 Zeichen)	5 h 42 min
7 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern, Sonderzeichen (95 Zeichen)	4 d 17 h
8 Zeichen	Kleinbuchstaben (26 Zeichen)	20 min 24 sek
8 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern (62 Zeichen)	14 d 19 h
8 Zeichen	Kleinbuchstaben, Grossbuchstaben, Ziffern, Sonderzeichen (95 Zeichen)	1 J 2 M 12 d

Um möglichst sichere Passwörter zu haben, sollte ein Passwort also auf jeden Fall mehr als 8 Zeichen in Grossbuchstaben, Kleinbuchstaben und Sonderzeichen beinhalten. Aktuell sind mindestens 10-12 Zeichen zu empfehlen. Im Internet finden sich viele Tipps wie man sich selbst solche Passwörter ausdenken und auch merken kann. Beispielsweise in dem man sich Sätze ausdenkt und dabei immer den ersten Buchstaben jedes Wortes im Passwort verwendet und für einige Buchstaben noch ähnlich aussehende Sonderzeichen oder Ziffern verwendet. Nachfolgend ein Beispiel.

Satz: Die GILOMEN INFORMATIK GmbH gibt stets sehr hilfreiche Tipps im Bereich IT-Security!

Aus den Fett geschriebenen Teilen wird dann: DGIGgsshTiBIS!

Nun fehlen aber noch einige Sonderzeichen. Dazu nehmen wir noch einmal unseren Satz und ersetzen einige Zeichen: Die GILOMEN 1NFORMATIK GmbH gibt stets $ehr hilfreiche Tipps !m 8ereich IT-Security!

Jetzt sieht das Ganze schon besser aus: DG1Ggs$hT!BIS!

Diese Methode ist sicherlich sehr hilfreich, wenn man sich Passwörter überlegen möchte, die man sich auch merken kann. Wie vorher bereits angesprochen gibt es heute aber eine sehr grosse Menge an Diensten, für welche man ein Passwort benötigt und deshalb wird es irgendwann auch mit dieser Methode schwierig, sich die Passwörter merken zu können. Diesem Problem begegnen einige Personen (teilweise auch Firmen) damit, die Passwörter aufzuschreiben. Dazu werden Beispielsweise Zettel verwendet, aber auch Word- oder Excel-Dateien, welche irgendwo auf den Computern abgelegt werden. Wie sie sich wahrscheinlich selbst denken können, ist auch das nicht die optimale Variante, da die Passwörter auch so sehr schnell in die falschen Hände geraten können. Denken Sie dabei beispielsweise an einen Einbruch oder einen Befall der IT-Systeme durch eine Malware.

Um auch dieses Risiko möglichst gering zu halten, empfehlen wir eine Software zu verwenden, in der alle Passwörter verschlüsselt abgespeichert werden können. Der Vorteil hierbei ist, dass Sie sich nur noch ein Passwort merken müssen und für alle Dienste ein eigenes sicheres Passwort direkt in dieser Software generieren können. Es gibt auf dem Markt eine grosse Auswahl an möglichen Anbietern. Bekannt sind in diesem Bereich die kostenlose Software «KeePass» und der kostenpflichtige Dienst «LastPass». Am besten informieren Sie sich selbst über solche Dienste und finden den passenden für sich.

Was ist MFA?

Die sogenannte Multi-Factor-Authentication wird heute bereits von vielen Online Diensten Angeboten. Auch wir empfehlen unseren Kunden für Zugriffe von Aussen auf das Firmennetzwerk immer MFA zu nutzen. Wenn Sie Online Banking nutzen, ist die Chance sehr hoch, dass sie sich dort mit MFA authentifizieren, da die allermeisten Banken solche Verfahren voraussetzen, um sich anmelden zu können. Es gibt MFA in den verschiedensten Formen, zum Beispiel per SMS, per Hardware Token, per Smartphone App oder mit Smartcards. Einige davon sind sicherer als andere aber das Grundprinzip ist immer das gleiche. Man verbindet den Faktor „Wissen“ (z.B. ein Passwort wissen) mit dem Faktor „Haben“ (z.B. eine Smartcard haben). Dadurch reicht es nicht mehr, nur das Passwort des Benutzers zu wissen, welchen man angreifen möchte, sondern man muss auch zusätzlich noch irgendwie an den zweiten Faktor herankommen. In den meisten Fällen ist dies mit einem erheblichen Aufwand verbunden und automatisierte Angriffe werden damit praktisch verunmöglicht. Mit diesem Wissen, ist es nun also selbsterklärend, warum eine Multi-Faktor-Authentifizierung wann immer möglich auch genutzt werden sollte und warum sie die Sicherheit von Benutzeraccounts deutlich erhöht.

Fazit

Im Umgang mit Passwörtern kann man vieles falsch machen und wenn man es richtig machen möchte, ist es oft ziemlich mühsam. Nichts desto trotz ist es unheimlich wichtig, dieses Thema ernst zu nehmen, da es sich dabei um ein sehr zentrales Thema in der Sicherheit Ihrer IT-Infrastruktur handelt. Daher unsere klare Empfehlung an Sie: Verwenden Sie sichere Passwörter, speichern Sie diese sicher ab und verwenden Sie wenn immer möglich MFA!

Kostenlose 30-Minuten IT-Security Beratung

Buchen Sie noch heute Ihre kostenlose und unverbindliche 30-Minuten IT-Security Beratung.

Wir stellen kurz unsere IT-Security Services vor und beantworten Ihre dringendsten Fragen. Dies alles kostenlos und völlig unverbindlich. Nach dem digitalen Kaffee stellen wir Ihnen unsere Empfehlungen zur Optimierung Ihrer IT-Security zu.

Melden Sie sich noch heute für das kostenlose IT-Security Coffee:

• Kostenlose IT-Security Beratung
• Beantwortung Ihrer dringendsten Fragen
• Videomeeting via Microsoft Teams
• Dauer: ca. 30 Minuten
• Empfehlung mit Massnahmen