Anzeige

Anzeige

world password day

Der 6. Mai steht im Zeichen des Passworts. Auch 2021 macht der erste Donnerstag im Mai weltweit auf das Thema Passwort-Sicherheit aufmerksam. Relevanter geht es kaum in der zunehmend digitalen Welt: Durch die Rahmenbedingungen der COVID-19-Pandemie greifen Verbraucher vermehrt auf digitale Services und Produkte zurück.

Gleichzeitig haben viele Unternehmen verstärkt auf Remote Working gesetzt und ihren Mitarbeitern das Arbeiten von überall ermöglicht. Egal ob digitale Services oder Arbeiten von Zuhause – Passwörter sind ein zentraler Bestandteil der IT-Sicherheit von Nutzern und Unternehmen. Julian Totzek-Hallhuber, Solution Architect bei Veracode, gibt wertvolle Tipps für maximale Passwortsicherheit.

1. Warum einfach, wenn es auch kompliziert geht?

Sich auf der Arbeit, bei der privaten E-Mail-Adresse und diversen sozialen Medien mit dem gleichen Passwort anzumelden, ist einfach. Ein Passwort für mehrere Logins zu verwenden, klingt daher zunächst verlockend. Dabei führt Recycling von Passwörtern lediglich dazu, dass Hacker durch einen einzigen erfolgreichen Angriff Zugriff auf mehrere Konten erhalten. Das gilt auch für die Abwandlung von Passwörtern. Verbraucher müssen es sich also kompliziert machen. Auch bei der Auswahl des Passworts gilt dieser Leitsatz. Hacker knacken ein 7-Zeichen-Passwort in bis zu 0,29 Millisekunden. Sicherer: Zufällige Wortfolgen, die Sonderzeichen enthalten.

2. Das Passwort der Zukunft ist nicht nur ein Passwort

Im Rahmen der Zweifaktor-Authentifizierung nutzen Anwendungen neben dem Passwort ein weiteres Identifizierungsmerkmal, um den Zugriff von Nutzern zu regulieren. Dies erhöht die Sicherheit von Nutzern und ihren Daten enorm. Ein gängiges Modell ist die Kombination eines Passwortes mit einem Code, der per SMS an eine hinterlegte Mobilfunknummer gesendet wird. Weitere solche Identifizierungsmerkmale können biometrische Charakteristika, wie etwa ein Fingerabdruck, oder ein physischer Gegenstand, beispielsweise eine Bankkarte, sein.

3. Der Administrator gibt die Regeln vor

Neben den Nutzern stehen auch Unternehmen in der Verantwortung. Sie müssen Verbraucher dabei unterstützen, einen möglichst sicheren Code zu generieren. Trotz jahrelanger Aufklärungsarbeit im Bereich der Passwortsicherheit ist 123456 immer noch eines der häufigsten Passwörter. Administratoren müssen ihren Nutzern den Einsatz von Ziffern, Sonderzeichen oder Groß- und Kleinbuchstaben vorschreiben. Sie können auch dazu auffordern, ganze Sätze oder längere Passwörter zu verwenden. Zusätzlich können Administratoren die Nutzer dazu verpflichten, ihr Passwort in Abschnitten von mindestens 60-90 Tagen zu ändern.

4. Technik und Entwickler – immer up to date

Unternehmen müssen ihren Entwicklern Best Practices zum Thema Secure Coding vermitteln. Regelmäßige Weiterbildungen sollten also im Fokus stehen. Außerdem brauchen die Verantwortlichen die notwendigen Sicherheitstools, um Nutzer und deren Passwörter zu schützen. Die Entwickler müssen darauf achten, wie Passwörter in den Datenbanken der Anwendungen gespeichert werden. So sollen Passwörter unter keinen Umständen in Klartext gespeichert werden. Derzeit ist die sicherste Art, Passwörter zu speichern, die passwortbasierte Verschlüsselung (Password Based Encryption, PBE), die Funktionen (sogenannte Key Derivation Functions, KDFs) bereitstellt. Diese wandeln Passwörter mit niedriger Entropie in zufällige, unvorhersehbare und vor allem nicht umkehrbare Daten um.

Julian Totzek-Hallhuber, Solution Architect
Julian Totzek-Hallhuber
Solution Architect, Veracode
(Bildquelle: Veracode)

Artikel zu diesem Thema

IAM
Apr 30, 2021

IT-Administration ohne Passwörter

Cyberangriffe auf digitale Identitäten verschärfen die Risikolage in privaten und…
Password
Apr 29, 2021

Deutschlands 200 meistgenutzte Passwörter in 2020

NordPass hat eine Studie über die 200 meistgenutzten Passwörter der Deutschen in 2020…
Login
Sep 23, 2020

Passwörter remote verwalten – sicher im Home-Office

Corona hat dem Home-Office allerorts enormen Auftrieb verschafft. Welche…

Weitere Artikel

Bussgeld

Bußgelder: Seit Einführung der DSGVO bereits mehr als 69 Mio. Euro

Drei Jahre ist die neue Datenschutzverordnung (DSGVO) in Europa nun aktiv. Der Aufschrei war ganz besonders bei Unternehmen groß, denn die Neuerungen kamen mit großem Mehraufwand und bei Nichteinhaltung wurden drakonischen Strafen installiert.
DSGVO

Trotz drei Jahren DSGVO herrscht immer noch Unklarheit

Als am 25. Mai 2018 die DSGVO endgültig in Kraft getreten ist, bedeutete das für viele Unternehmen enorme Veränderungen hinsichtlich der Speicherung und Verarbeitung von Daten. Schließlich drohen seitdem empfindliche Strafen für Unternehmen, die Opfer eines…
Fitnesstracker

Datenschutz bei Fitnesstracker und Co.

Schrittzahl, Puls, Blutdruck und mehr: Smartphone, Smartwatch und Fitnesstracker sammeln Daten auf Schritt und Tritt. Aber was verraten die Messwerte über die bloßen Zahlen hinaus? Wie können die Daten vor Dritten geschützt werden?
Papiertiger

Drei Jahre DSGVO: Effektives Werkzeug oder Papiertiger?

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 EU-weit offiziell in Kraft trat, waren die Hoffnungen der Datenschützer groß. Endlich sollten Verletzungen des Schutzes personenbezogener Daten mit erheblichen Geldstrafen geahndet, Digitalkonzerne wie…
Digitale Signaturen

Digitale Signaturen: Entrust stellt Remote Signing Service vor

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, integriert mit seinem Remote Signing Service (RSS) hochsichere, verifizierbare Mitarbeiter-Signaturfunktionen in Dokumentanwendungen und Workflows.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.