Passwörter

Gestaltung eines sicheren Passwortes

Die Wahl des richtiges Passwortes fällt vielen Benutzern schwer. Um die Gefahr zu minimieren,  dass Passwörter leicht erraten oder geknackt werden können, müssen sie einige  Anforderungen erfüllen.

  • Eine ausreichende Anzahl an Zeichen. Mindestens 8, empfohlen sind jedoch 12.
  • Der Zeichenvorrat sollte ausreichend benutzt werden. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. 
  • Auf Zahlen am Ende des Passworts sollte verzichtet werden.
  • Keine Wörter aus Wörterbüchern, Namen von Freunden/Familien oder Stars, deren Geburtsdatum sollten verwendet werden. Simple Zeichenersetzungen (bspw. "1" für "i", "3" für "e" etc.) in Wörtern reichen nicht.
  • Keine Tastaturmuster verwenden ("qwertz", "asdf", "yaqxsw", usw).

Eine Selbstkontrolle, angeboten von der Universität Siegen und der Universität Kassel, ist unter folgendem Link zu finden: www.cryptool-online.org

Zusätzlich zu diesen Anforderungen an Passwörter sollte man folgendes beachten:

  • Passwörter sollten bei Verdacht der Kenntnisnahme Dritter geändert werden. 
  • Es sollte kein Passwort doppelt benutzt werden. D.h. für jeden Dienst sollte ein einzigartiges Passwort gewählt werden.
  • Paswörter sind privat und geheim. Sie dürfen niemals einer anderen Partei weiter gegeben werden.

Sehen Sie hierzu auch die Tipps des BSI für Bürger zu Passwörtern

Passwörter generieren

Ein gutes Passwort selbst zu erstellen, ist nicht trivial. Passwort-Generatoren in sind dabei eine nützliche Hilfe.  Sie können auch in großen Mengen pseudo-zufällige Passwörter automatisch in kurzer Zeit erstellen.

Hierbei muss man darauf achten, dass der Generator selbst vertrauenswürdig ist. Von der Verwendung von Online-Passwort-Generatoren wird angesichts der vielfältigen Gefährdungen abgeraten. Besser sind lokale Anwendungen:

Auch viele Passwort-Manager bringen Passwort-Generatoren mit.

 

Passwörter merken und verwalten

Für den normalen Nutzer ist es schwer sich alle Passwörter zu merken. Ebenso wirken hohe Anforderungen auf die viele Nutzer lästig. Passwörter sollte man daher irgendwo sichern bzw. verwalten.

Das Abspeichern im Klartext auf dem Computer oder das Aufschreiben auf Notizzetteln ist selbstverständlich keine geeignete Lösung. Passwörter müssen stets verschlüsselt und vor Zugriff Fremder sicher gespeichert werden.

Die Verwendung sogenannter Passwortsafes/-manager, in denen die Zugangsdaten verschlüsselt abgelegt werden, kann bei geeigneter Wahl und sachgerechtem Umgang eine wesentliche Erleichterung darstellen. 

Passwortmanager gibt es in vielen verschiedenen Ausführungen und unterscheiden sich oft signifikant im Funktionsumfang. Betriebssysteme bringen oft einen Passwortmanager mit (Mac Schlüsselbund, Ubuntu Seahorse) und auch die gängigen Browser haben einen integrierten Passwortmanager ("Wollen Sie sich dieses Passwort merken?").

Funktional können manche Passwortmanager Passwörter

  • direkt in Formularfeldern des Browsers eintragen zu lassen,
  • zwischen Geräten zu synchronisieren,
  • nach definierbaren Qualitätsmerkmalen generieren
  • ein Ablaufdatum setzen, sodass der Bedarf nach einer Änderung optisch angezeigt wird.

Wenn ein Tool zur Speicherung von Passwörtern genutzt werden soll, sind die im Folgenden beschriebenen Anforderungen zu beachten:

  • Es darf nicht möglich sein, sich ohne Eingabe eines Master-Passwortes anmelden zu können, bspw. sollte das Master-Passwort nicht "gemerkt" werden.
  • Nach einem vorgegebenen Inaktivitäts-Zeitraum sollte der angemeldeten Nutzer automatisch abgemeldet werden.
  • Für die Verschlüsselung muss ein geeignetes Verschlüsselungsverfahren mit ausreichender Schlüssellänge zum Einsatz kommen.
  • Da der Zugriff auf den Passwort-Safe selbst sehr gut abgesichert sein muss, sollte der Zugang mit Zwei-Faktor-Authentifizierung möglich sein.
  • Das Produkt sollte vertrauenswürdig sein. Idealerweise ist der Quellcode frei verfügbar, damit er von unabhängigen Experten untersucht werden kann. Sicherheitsrelevante Zertifizierungen sind empfehlenswert. Insbesondere webbasierte Dienste zur Passwort-Verwaltung sollten nur dann benutzt werden, wenn die Zuverlässigkeit des Dienstleisters in einem angemessenen Verhältnis zum Schutzbedarf der damit verwalteten Passwörter steht. 
  • Passwortmanager dürfen nur auf vertrauenswürdigen IT-Systemen genutzt werden.

Für eine Vorstellung und einen Vergleich von Passwortmanagern beachten Sie bitte folgende Seite.

Richtig Authentifizieren

Wie richtig anmelden

Lassen Sie sich bei der Eingabe von Passwörtern nicht über die Schulter schauen. Achten Sie auf Ihre Umgebung.

Prüfen Sie ihren Rechner regelmäßig auf Schadsoftware. Haben Sie den Verdacht, Ihr Computer könnte manipuliert worden sein, prüfen Sie, ob evtl. sog. Keylogger angebracht wurden. Dies sind kleine Geräte, die meist zwischen Tastatur und Computer oder in einem USB Port angebracht werden, und Tastatureingaben mitschneiden.

Wo richtig anmelden

Sie sollten Ihre Zugangsdaten nur an vertrauenwürdigen Geräten eingeben, niemals an öffentlichen, nicht kontrollierbaren Systemen, wie in Internet-Cafés oder Hotel-Lobbys.

Damit Authentifizierungsinformationen bei der Eingabe oder der Übermittlung an das Zielsystem nicht abgelauscht werden können, muss auf eine sichere Übertragung geachtet werden.

Insbesondere öffentliche WLAN-Netze bergen das Risiko, dass Angreifer den Netzwerkverkehr belauschen. Angreifer könnten auch selbst erstellte WLAN-Netze verwenden, um Benutzer fehlzuleiten und deren Daten mitzuschneiden und zu manipulieren ( Man-in-the-middle-Angriff). Geben Sie Ihre Benutzerdaten daher nur in vertrauenswürdigen Netzwerkumgebungen ein.

Bei Webdiensten muss der Login stehts verschlüsselt sein. Man erkennt dies an einem geschlossenen Schloß sowie dem Präfix "https://" in der Adress-Zeile des Browsers. Achten Sie bei der Eingabe der Adresse auch auf Schreibfehler. Angreifer verwenden oft Adressen mit typischen Schreibfehlern, um Nutzer auszuspionieren (bspw. yuotube.com).

Sitzung beenden

Die besten Passwörter nützen nichts, wenn Computer unachtsam verlassen und laufende Sitzungen ungeschützt offen bleiben.

Beenden Sie nach getaner Arbeit Ihre Sitzung (logout). Wenn Sie ihren Rechner / Arbeitsplatz verlassen, sperren Sie ihn, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Die Sperre sollte so eingestellt sein, dass ein Entsperren die Eingabe des Passwortes erfordert.

Manche Webseiten arbeiten mit Sitzungs-Cookies, die eine bestimmte Laufzeit haben, in der man angemeldet bleibt. Können Sie sich auf einer Webseite nicht ausloggen, so müssen Sie den Browser komplett schließen, um die Sitzung zu beenden und sich effektiv auszuloggen.

Weitere Informationen