Es kommt doch auf die Länge an - 6 Tipps für bessere Passwörter

„Sommer2024“ ist das erste Passwort, das wir in Unternehmensnetzwerken ausprobieren, da erfahrungsgemäß mindestens ein Account dieses Passwort verwendet. Ein paar Vorschläge, wie man das ändern kann, finden Sie hier. 

Das Wichtigste gleich als erstes: Niemals sollte die gesamte Sicherheit von einem Passwort abhängen. Deswegen sollte man bei allen kritischen Zugängen einen weiteren Faktor aktivieren, etwa per SMS oder App (z.B. Google Authenticator), wie es bei Banking-Anwendungen schon Standard ist.

Das verhindert, dass ein Angreifer direkt Accounts übernehmen kann, wenn er das Passwort kennt. Firmen sollten zumindest alle Accounts so absichern, mit denen ein Zugriff von außen auf die Firmeninfrastruktur möglich ist, wie etwa VPN, Citrix oder RDP.

Die üblichen Komplexitätsregeln, dass ein Passwort Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten muss, verbessern erfahrungsgemäß nicht die Passwortqualität. Die meisten Mitarbeitenden wenden einfache Muster an. Zum Beispiel schreiben sie den ersten Buchstaben groß und fügen am Ende eine Zahl und Sonderzeichen hinzu.

Oder bestimmte Buchstaben werden durch Zahlen ersetzte, wie bei „Passw0rt!“. Diese Muster sind aber auch Angreifern bekannt und erleichtern Passwort-Rateangriffe (Brute-Force). Abhilfe schafft hier eine deutliche Erhöhung der Mindestpasswortlänge.

Die meisten Passwörter werden trotzdem auf „1!“ enden. Diese sind aber durch die erhöhte Länge schwerer zu erraten. Wir empfehlen eine Mindestlänge von 15 Zeichen.

In vielen Unternehmen ist es noch Pflicht, das Passwort alle 3 Monate zu ändern. Das erhöht die Passwortsicherheit erfahrungsgemäß nicht. Mitarbeitende wählen dadurch ein Passwort mit einer einfachen Methodik. Sehr beliebt sind Monat+Jahreszahl oder Jahreszeit+Jahreszahl.

Aktuell wäre das „Winter2023“ und in drei Monaten dann „Frühling2024“. Ermutigen Sie Mitarbeitende lieber zu individuelleren Passwörtern, indem sie sich nicht regelmäßig ein neues merken müssen.

Oft sehen wir Initialpasswörter für neue Accounts wie „Willkommen123“ oder „Start123“. Auf diese Weise lernen Mitarbeitende indirekt, wie ein Passwort in Ihrem Unternehmen aussehen könnte. Setzen Sie hier gleich ein gutes Beispiel. Wählen Sie ein Initialpasswort, das sowohl lang als auch leicht zu merken ist, zum Beispiel vier zufällige Wörter.

Immer wieder tauchen öffentlich Datenbanken mit gestohlenen Zugangsdaten auf. Diese wurden entweder aus gehackten Systemen oder per Phishing zusammengestellt. Es empfiehlt sich, die aktuellen Datenlecks im Blick zu behalten. Dadurch können Sie eventuell kompromittierte Unternehmensaccounts schneller entdecken.

Dazu gibt es mehrere (auch kostenpflichtige) Dienste. Zum Beispiel kann auf der Webseite HaveIBeenPwned des australischen Sicherheitsforschers Troy Hunt die Unternehmensdomain kostenlos hinterlegt werden. Dort kann man sich über neue Datenlecks in Verbindung mit Firmenaccounts informieren lassen.

Ermutigen Sie Mitarbeitende, einen Passwortsafe zu verwenden, indem dieser von Anfang an auf den Clients verfügbar ist. Die Einführung in die Funktionsweise sollte auch Teil des Onboarding-Prozesses sein. Nutzen Sie auch Awareness-Schulungen, um den Umgang mit der gewählten Softwarelösung zu zeigen. Im Optimalfall sollten einige praxisnahe Beispiele dabei verwendet werden.

Um das Risiko von schwachen Passwörtern konkret zu evaluieren, bieten wir unseren Kunden auch einen dedizierten Password Audit an. Melden Sie sich gerne bei uns, wenn Sie bei dem Thema eine Beratung wünschen.
 

Außerdem unterstützen wir Sie gerne bei Mitarbeiterschulungen und anderen Awareness Maßnahmen.