Wien (pts021/31.01.2020/13:20) – Allein, dass dieser Tag überhaupt existiert, beweist, dass man gar nicht oft genug über das Thema „sichere Passwörter“ reden kann. Eine zyklische Änderung von Passwörtern ist nicht mehr zeitgemäß und führt, wenn es z.B. vom Unternehmen forciert wird, nicht zu mehr Sicherheit: „MeinPasswort1“ ist genauso sicher oder unsicher wie „MeinPasswort2“, „MeinPasswort3“ usw. Vielmehr gelten heute andere Regeln, also noch vor ein paar Jahren:
1. Verwende für jeden Dienst ein anderes, generiertes Passwort
Mittlerweile muss man sich gefühlt überall mit seiner EMail-Adresse registrieren, und vergibt genauso oft ein Passwort. Dieses Passwort muss in Kombination mit der EMail-Adresse eindeutig sein (am besten mit mehr als 16 Zeichen, bestehend aus Buchstaben, Ziffern und Sonderzeichen)! Der Hintergrund ist einfach: werden Ihre Zugangsdaten bei einem Dienst geknackt oder gestohlen, so ist wirklich nur dieser eine Dienst betroffen. Alle anderen Dienste sind weiterhin sicher! Es hilft also das sicherste Passwort nichts, wenn es (aus welchen Gründen auch immer) bekannt wurde und daraufhin all Ihre Dienste zugänglich sind.
2. Verwende einen Passwortmanager
Eindeutige (generierte) Passwörter haben natürlich einen großen Nachteil: das kann sich einfach keiner merken. Das ist aber auch gar nicht notwendig: Passwortmanager machen nämlich genau das, sie merken sich Passwörter (und generieren sie bei Bedarf auch). Genauer gesagt werden darin Zugangsdaten zu all Ihren Diensten verwaltet. Mittlerweile gibt es sehr viele Passwortmanager mit unterschiedlichsten Features, kostenpflichtig und kostenfrei. Mit LastPass, Dashlane, Bitwarden und 1Password seien nur ein paar davon genannt. Der Zugang zum Passwortmanager selbst ist natürlich wieder mit einem Passwort, dem s.g. Masterpasswort, gesichert. Das muss besonders stark und gleichzeitig aber auch einprägsam sein, denn das müssen Sie sich merken!
3. Verwende Passphrases
Wenn es wirklich notwendig ist sich sichere Passwörter zu merken, geht die Empfehlung klar weg vom Passwort und hin zur Passphrase: das ist im weiteren Sinn einfach ein normaler Satz. Er darf aber nicht aus einem Buch, Lied, Gedicht, Film usw. stammen. Am besten ist, wenn er keinen Sinn ergibt: „Ein kalter Tag ist kürzer als 2 dunkle Nächte, das weiß doch jeder!“ – sinnlos, aber sicher und einprägsam und eignet sich daher z.B. als Masterpasswort für Ihren Passwortmanager.
4. Verwende biometrische Hilfsmittel
Die meisten Smartphones bieten die Möglichkeit statt der Eingabe von Passwörtern oder PINs die integrierte Fingerprint oder Gesichtserkennung zu verwenden. Ebenso unterstützen das immer mehr Notebooks. Verwenden Sie diese Hilfsmittel z.B. als Masterpasswort für Ihren Passwortmanager. Das eigene Gesicht muss man sich nicht merken, verlieren kann man es auch nicht und nachmachen ist wirklich schwierig. Die Sicherheit dieser Features wird immer wieder von IT-Security-Firmen getestet mit dem Ergebnis, dass eine Umgehung nur mit enormem Aufwand möglich ist. Für den aller größten Teil der Nutzer ist das eine massive Verbesserung.
5. Verwende 2-Faktor-Authentifizierung
Viele Dienste bieten die Möglichkeit einer 2-Faktor-Authentifizierung (2FA oder TFA) an. Dabei wird zusätzlich zum Passwort noch ein zweiter Faktor zur Authentifizierung verwendet. Die meisten kennen das vermutlich vom Online Banking, wo eine Überweisung zusätzlich durch einen per SMS versendeten Code autorisiert werden muss. Das SMS-System wurde von s.g. OTP (One Time Passwords) und den passenden Apps (z.B. Google Authenticator oder OTP Auth) abgelöst. Das eigene Handy wird mit Hilfe der OPT-App beim jeweiligen Dienst registriert und ab da an muss man nach der Authentifizierung mit EMail und Passwort ein zusätzliches generiertes Einmal-Passwort (meist sind das 6 Ziffern) angeben, das die OTP-App am Handy anzeigt. Nach der Eingabe ist dieses Einmal-Passworts ungültig, daher auch der Name. Selbst wenn also die Zugangsdaten bekannt sind, ist ein Login nur dann möglich, wenn der Angreifer zusätzlich auch mein Handy hat.
Es macht also keinen Sinn, eindeutige generierte Passwörter zyklisch zu ändern. Genauso wenig macht es Sinn, zyklisch eine starke Passphrase zu ändern. Eine Änderung macht natürlich dann Sinn, wenn ein von mir verwendeter Dienst kompromittiert wurde: viele große und bekannte Unternehmen „verlieren“ immer wieder Zugangsdaten ihrer Benutzer (das ist weit wahrscheinlicher, als dass mein Passwort durch Angreifer geknackt wird) und davor schützt uns nicht das sicherste Passwort, auch dann nicht, wenn wir es zyklisch ändern. Das Gute ist: mit dem eindeutigen Passwort kann man sich sicher sein, dass mit den Zugangsdaten keine anderen Dienste verwendet werden können.
Ich selbst verwende erst seit ca. 3 Jahren einen Passwortmanager. Der Anfang ist aufwändig, denn jeder von mir verwendete Dienst musste auf ein neues generiertes Passwort geändert werden. Jetzt möchte ich den Komfort aber nicht mehr missen und ich weiß, dass dadurch meine Daten und Zugänge viel besser geschützt sind als zuvor!
Macht der „Ändere Dein Passwort Tag“ Sinn? Er regt zumindest zu einer Diskussion rund um das Thema „Sichere Passwörter“ an, man sollte den Tag aber jedenfalls nicht zu wörtlich nehmen.
Unser neues YouTube-Video zum Thema „Ändere dein Passwort“ – Welttag https://www.youtube.com/watch?v=s8VwMwupXOg&t=1s
Kennen Sie schon den SEQIS-Videoblog? Hier finden Sie darüber hinaus wertvolle Tipps zu unseren Themen: https://www.SEQIS.com/youtube
Über SEQIS SEQIS ist der führende österreichische Anbieter in den Spezialbereichen IT-Analyse, Software-Test und Projektmanagement: Beratung, Verstärkung und Ausbildung: Ihr Partner für hochwertige IT-Qualitätssicherung.
Weitere Informationen zum Unternehmen finden Sie unter: http://www.SEQIS.com
Fur weitere Presseinformationen wenden Sie sich bitte an: SEQIS GmbH Marketing Helena Thurner Tel. +43 (0) 2236 320 320 0 @: marketing@SEQIS.com
Hinweis im Sinne des Gleichbehandlungsgesetzes: Aus Gründen der leichteren Lesbarkeit wir in diesem Text die geschlechtsspezifische Differenzierung nicht durchgehend berücksichtigt. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung für alle Geschlechter.
(Ende)
Aussender: SEQIS GmbH Ansprechpartner: Helena Thurner Tel.: +43 2236 320 320 0 E-Mail: marketing@seqis.com Website: www.seqis.com