Es kommt doch auf die Länge an - 6 Tipps für bessere Passwörter
Es kommt doch auf die Länge an: 6 Tipps für sichere Passwörter
„Sommer2024“ ist das erste Passwort, das wir in Unternehmensnetzwerken ausprobieren, da erfahrungsgemäß mindestens ein Account dieses Passwort verwendet. Ein paar Vorschläge, wie man das ändern kann, finden Sie hier.
Um das Thema sichere Passwörter kommt man nicht herum, wenn man sich mit IT Security beschäftigt. Und leider werden wir Passwörter in den nächsten Jahren auch nicht los. Grund genug, sich immer wieder die wichtigsten Punkte in Erinnerung zu rufen. Grundsätzlich gilt für den Umgang mit Passwörtern folgendes:
- Ein sicheres Passwort ist möglichst lang
- Für jeden Account ein individuelles Passwort wählen, dazu einen Passwortsafe verwenden
- Prinzipiell muss man sich nur zwei Passwörter merken. Eins zum Anmelden am Computer und eins, um den Passwortsafe zu öffnen
- Für leicht zu merkende Passwörter, kombinieren Sie mehrere Wörter oder einen ganzen Satz, zum Beispiel „Abendsessichgerngummistiefel“ oder „Pferd.Regen.Döner.Pfeil“.
1. Multifaktor-Authentifizierung aktivieren
Das Wichtigste gleich als erstes: Niemals sollte die gesamte Sicherheit von einem Passwort abhängen. Deswegen sollte man bei allen kritischen Zugängen einen weiteren Faktor aktivieren, etwa per SMS oder App (z.B. Google Authenticator), wie es bei Banking-Anwendungen schon Standard ist.
Das verhindert, dass ein Angreifer direkt Accounts übernehmen kann, wenn er das Passwort kennt. Firmen sollten zumindest alle Accounts so absichern, mit denen ein Zugriff von außen auf die Firmeninfrastruktur möglich ist, wie etwa VPN, Citrix oder RDP.
2. Komplexitätsregeln machen es nicht besser
Die üblichen Komplexitätsregeln, dass ein Passwort Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten muss, verbessern erfahrungsgemäß nicht die Passwortqualität. Die meisten Mitarbeitenden wenden einfache Muster an. Zum Beispiel schreiben sie den ersten Buchstaben groß und fügen am Ende eine Zahl und Sonderzeichen hinzu.
Oder bestimmte Buchstaben werden durch Zahlen ersetzte, wie bei „Passw0rt!“. Diese Muster sind aber auch Angreifern bekannt und erleichtern Passwort-Rateangriffe (Brute-Force). Abhilfe schafft hier eine deutliche Erhöhung der Mindestpasswortlänge.
Die meisten Passwörter werden trotzdem auf „1!“ enden. Diese sind aber durch die erhöhte Länge schwerer zu erraten. Wir empfehlen eine Mindestlänge von 15 Zeichen.
3. Nicht zu oft Wechsel erzwingen
In vielen Unternehmen ist es noch Pflicht, das Passwort alle 3 Monate zu ändern. Das erhöht die Passwortsicherheit erfahrungsgemäß nicht. Mitarbeitende wählen dadurch ein Passwort mit einer einfachen Methodik. Sehr beliebt sind Monat+Jahreszahl oder Jahreszeit+Jahreszahl.
Aktuell wäre das „Winter2023“ und in drei Monaten dann „Frühling2024“. Ermutigen Sie Mitarbeitende lieber zu individuelleren Passwörtern, indem sie sich nicht regelmäßig ein neues merken müssen.
4. Gute Beispiele geben
Oft sehen wir Initialpasswörter für neue Accounts wie „Willkommen123“ oder „Start123“. Auf diese Weise lernen Mitarbeitende indirekt, wie ein Passwort in Ihrem Unternehmen aussehen könnte. Setzen Sie hier gleich ein gutes Beispiel. Wählen Sie ein Initialpasswort, das sowohl lang als auch leicht zu merken ist, zum Beispiel vier zufällige Wörter.
5. Datenlecks prüfen
Immer wieder tauchen öffentlich Datenbanken mit gestohlenen Zugangsdaten auf. Diese wurden entweder aus gehackten Systemen oder per Phishing zusammengestellt. Es empfiehlt sich, die aktuellen Datenlecks im Blick zu behalten. Dadurch können Sie eventuell kompromittierte Unternehmensaccounts schneller entdecken.
Dazu gibt es mehrere (auch kostenpflichtige) Dienste. Zum Beispiel kann auf der Webseite HaveIBeenPwned des australischen Sicherheitsforschers Troy Hunt die Unternehmensdomain kostenlos hinterlegt werden. Dort kann man sich über neue Datenlecks in Verbindung mit Firmenaccounts informieren lassen.
6. Passwortsafe ermöglichen
Ermutigen Sie Mitarbeitende, einen Passwortsafe zu verwenden, indem dieser von Anfang an auf den Clients verfügbar ist. Die Einführung in die Funktionsweise sollte auch Teil des Onboarding-Prozesses sein. Nutzen Sie auch Awareness-Schulungen, um den Umgang mit der gewählten Softwarelösung zu zeigen. Im Optimalfall sollten einige praxisnahe Beispiele dabei verwendet werden.
Um das Risiko von schwachen Passwörtern konkret zu evaluieren, bieten wir unseren Kunden auch einen dedizierten Password Audit an. Melden Sie sich gerne bei uns, wenn Sie bei dem Thema eine Beratung wünschen.
Außerdem unterstützen wir Sie gerne bei Mitarbeiterschulungen und anderen Awareness Maßnahmen.