Thought Leadership
Der erste Donnerstag im Mai ist „Welt-Passwort-Tag“. Der Aktionstag wurde 2013 von der Intel Corporation ins Leben gerufen, um für einen bewussteren Umgang mit
Anlass genug, die schlechtesten Passwörter zusammenzutragen und Empfehlungen zu geben, wie man ein starkes Passwort generiert und welche Maßnahmen man sonst noch ergreifen kann.
Unsichere Passwörter sind nach Einschätzung des Direktors des Hasso-Plattner-Instituts (HPI) Professor Christoph Meinel „das größte Einfallstor für Cyberkriminelle“. Internetnutzer sollten sich nicht mehr länger auf die immer noch verwendeten simplen Zahlenreihen á la 123456 verlassen. Nach einer Analyse von gehackten und 2018 im Netz veröffentlichten Passwörtern durch das HPI handelt es sich bei dieser Ziffernkette nach wie vor um das in Deutschland am häufigsten verwendete Login-Kennwort.
Dazu ein Kommentar von Rita Nygren, Business Systems Administrator, BI and Project Management, bei Tripwire:
“Die besten Passwörter sind eigentlich Pass-Phrasen: lang, einprägsam und nicht in irgendeinem Wörterbuch oder populärer Prosa zu finden. Das bedeutet aber im Umkehrschluss nicht, dass Sie keine Wörter verwenden dürfen, die man sich leicht merken und tippen kann, besonders, wenn sie eine Phrase verwenden. Viele Systeme erfordern immer noch zwingend die Verwendung von Sonderzeichen. Deshalb sollten Sie unbedingt Zeichensetzung benutzen oder einige Buchstaben durch Interpunktion oder Zahlen ersetzen. „Harry isst Zwiebeln“ kann man beispielsweise als „Harry1sstzwi3beln?“ schreiben. Statt einer bekannten Eselsbrücke verwendet man allerdings lieber den neusten Insider-Witz von Zuhause oder ein Zitat als Basis. Sogar vier zufällig ausgewählte Wörter mit Ihrer bevorzugten, möglichst selten verwendeten Interpunktion wirken als starkes Passwort. Je länger die Phrase, vorausgesetzt sie ist nicht in einem Passwort-Wörterbuch zu finden, desto schwerer ist es, das Hashing zu knacken.
Manche neigen eher dazu, eine Art „Passwortsystem“ zu verwenden, wie z. B. den Namen der Website, bei der man sich anmeldet, kombiniert mit der Jahreszahl. Diese Vorgehensweise ist aber aus mehreren Gründen problematisch. Erstens ist es vermutlich nicht so schwierig das Passwort mithilfe eines Wörterbuchs zu knacken, denn die Anzahl der Variablen ist begrenzt. Ein Hacker kann beispielsweise einen Seitentitel-spezifischen Wörterbuchangriff mit üblichen Suffixen verwenden. Und zweitens – sollte ein Hacker Ihr Passwort erraten, hat er eine höhere Chance, das gesamte System zu durchschauen. So lassen sich weitere Webseiten nach einem ähnlichen Muster ausprobieren. Ist eines Ihrer Passwörter goodreads 1979, dann spricht einiges dafür, dass Sie auch wellsfargo1979 verwenden.
Es empfiehlt sich deshalb, neu erstellte Passwörter oder Passphrasen sofort in einem Passworttresor zu speichern. Ein Passworttresor speichert die Passphrasen verschlüsselt ab, so dass Sie über ein Programm darauf zugreifen können, ohne sich alle merken zu müssen. Viele dieser Vaults verfolgen sogar nach, welche Passwörter jemand bereits verwendet hat, sodass die Anmeldedaten für jedes Konto eindeutig bleiben.
Man kann sich leicht von der schieren Zahl der laufend zu aktualisierenden Anmeldeinformationen überwältigt zu fühlen. Vor allem, wenn man bereits zusätzliche Probleme mit Kennwörtern identifiziert hat. Legen Sie am besten ein wöchentliches Ziel fest. Erstellen Sie eine Liste der Websites oder Tools, bei denen Sie Konten haben, und ändern Sie zunächst die zehn Passphrasen, die Sie am häufigsten verwenden. Arbeiten Sie sich dann Stück für Stück durch die Liste. Vergessen Sie nicht eventuell neu angelegte Konten und speichern Sie die zugehörigen Passphrasen ebenfalls in Ihrem Passworttresor ab.
Der Prozess nimmt ein bisschen Zeit in Anspruch, aber vermutlich weit weniger als Sie annehmen.“
Rita Nygren, Business Systems Administrator, BI and Project Management, bei Tripwire, www.tripwire.com
