Passwort-Management

Am 2.5. ist der Welt-Passwort-Tag – 2013 von Intel ins Leben gerufen, sollen wir User am ersten Donnerstag im Mai daran erinnert werden wie wichtig Kennwörter sind.

Ein Grund kurz auf die Wichtigkeit von guten Passwörtern, Tipps für diese, Passwort-Management und Tipps für Passwörter im Unternehmen einzugehen.

Passwörter sind seit jeher ein riesiges Problem. Eigentlich hat man als Benutzer keine wirkliche Lust sich welche zu merken, weshalb die Passwörter der User meistens einfach gestrickt sind und oftmals auch bei allen Diensten exakt dasselbe verwendet wird. Das Hasso-Plattner-Institut veröffentlicht seit einigen Jahren eine Liste der meistgenutzten Kennwörter, auf Basis von gehackten und geleakten Nutzerdaten – diese Daten spiegeln exakt diese Probleme wieder.

Die Top 10 im Jahr 2018:

  1. 123456
  2. 12345
  3. 123456789
  4. ficken
  5. 12345678
  6. hallo123
  7. hallo
  8. 123
  9. passwort
  10. master

Einfach zu erratende Passwörter bergen ein großes Problem. Durch die regelmäßigen Daten-Leaks durch Hacker existieren sehr viele Listen mit Emailadressen und Passwort-Kombinationen. Selbst wenn ein Hacker nun nur eine Emailadresse hat, so wird er zuerst die Top 10 oder Top 50 der meistgenutzten Kennwörter testen -und damit in vielen Fällen auch Erfolg haben.

Ob Sie selbst auch schon von Datenlecks betroffen sind oder waren, können Sie sehr schnell auf der Website https://haveibeenpwned.com testen.

Tipps für gute Passwörter

Gute Kennwörter sollten eine gewisse Komplexität beinhalten. Bewährt haben sich folgende Tipps:

  • Mindestens 8 Zeichen
  • Verwendung von Groß-& Kleinbuchstaben
  • Verwendung von Zahlen und Sonderzeichen

Doch wie soll man sich diese so erstellten Passwörter auch noch merken? Eine gute Idee ist z.B. Geschichten oder Sätze zu entwickeln, welche man sich einfach merken kann. Aus dem Satz

Mein absolutes Lieblingsgericht ist Spaghetti Carbonara, aber ohne Sahne!

Wird somit etwas abgewandelt

MaLiSC,a0S!

Dieses Passwort erfüllt zum einen sämtliche Grundvoraussetzungen, zum anderen ist es als User einfach zu behalten.

Nicht überall dasselbe Passwort

Das beste so erstellte Kennwort bringt jedoch nichts, wenn Sie überall dasselbe verwenden. Um dieses Problem zu lösen, bietet sich eine Passwort-Datenbank und -Management Software an. Ein Beispiel hierfür ist Keepass, eine freie Open Source Software, welche eine sehr praktikable Passwort-Datenbank darstellt. In Verbindung mit Plugins für Webbrowser, lässt sich über ein einfaches Master-Passwort eine gute Lösung für Webseiten aufbauen.

Eine andere, für den privaten Gebrauch kostenfreie Software, stellt LastPass dar. Ich persönlich verwende privat 1Password, auch weil ich die Software über sämtliche meiner Geräte (Tablet, Smartphone, Mac & Windows Notebook) nutzen und synchronisieren kann. Passwörter im Browser zu speichern, stellt hingegen nur dann eine gute Idee dar, wenn das Notebook/der PC auch selbst mit einem Kennwort geschützt ist. Andernfalls hat jeder mit Zugriff auf den Rechner, auch Zugriff auf Facebook, Online-Banking und Co. Ergänzt werden kann und sollte, soweit es mögliche ist, noch einer sogenannten 2-Faktor Authentifizierung. Das ist ein zusätzlicher Schlüssel, der für doppelte Sicherheit sorgt, indem bei der Anmeldung eine zusätzliche Information abgefragt wird, welche den Anmelder verifiziert. In den meisten Fälle ist dies ein nummerischer Code (eine sogenannte TAN), welche Sie nach Anmeldung zum Beispiel per SMS erhalten.

Passwort-Management in Unternehmen

Diese Tipps stellen einen Grundsatz für das Thema dar. In Unternehmen hingegen, sind die Probleme ganz anderer Art. Hier existieren nicht nur Webseiten und Cloud-Dienste, welche wir schützen müssen, sondern mehrere Programme, welche alle eine eigene Benutzerverwaltung haben können. In manchen Fällen lässt sich Software an einen übergeordneten Verzeichnis-Dienst, wie das Active Directory von Microsoft anbinden, sodass eine gesonderte Authentifizierung wegfällt. Funktioniert dies allerdings nicht, muss der User sich für 10 Programme auch 10 verschiedene Kennwörter merken.

Dieses Problem lässt sich mit sogenannten Single-Sign On (SSO) und Identity Access Management (IAM) Lösungen softwareseitig lösen. Hierbei werden die Passwörter und Zugänge zentral auf einem Server gespeichert und können den Usern rollenbasiert zugewiesen werden. Der Mitarbeiter muss sich somit nur sein Windows-Kennwort merken, der Rest wird serverbasiert verwaltet und die dazugehörige Software kümmert sich um automatische An- & Abmeldung. Ganz ohne Kennwörter geht es natürlich auch. In diesem Fall können Chipkarten oder Transponder genutzt werden, um Anmeldungen am PC zu realisieren. Womöglich existieren diese in Ihrem Unternehmen schon für Alarm- oder Schließanlagen, sodass die Anschaffung gegebenenfalls sogar wegfällt.

Die oben schon erwähnte 2-Faktor Authentifizierung, stellt ebenfalls einen sinnvollen Beitrag zur IT-Sicherheit dar. Durch mobile Arbeitsplätze, mit welchen Sie Ihren Mitarbeitern zu jeder Zeit und weltweit Zugriff auf Unternehmensdaten & -Dienste geben können, entstehen natürlich auch gewisse Risiken. Durch 2-Faktor Authentifizierung stellen Sie sicher, dass selbst wenn jemand das Passwort eines Mitarbeiters kennt, er sich keinen direkten Zugriff auf Ihre Daten verschaffen kann. SMS stellt hier nur eine Möglichkeit der TAN Übermittelung dar. Andere Wege wären per App über das Smartphone oder mit einem Hardware-Token, welches per Knopfdruck eine TAN generiert. Hier ist zum Beispiel OpenOTP vom Hersteller RCDevs zu empfehlen – für bis zu 40 User kostenlos, falls die TAN Generierung per Smartphone ausreichend für Sie ist.

Kontaktieren Sie uns gerne für weitere Informationen zum Thema Single-Sign On, Identity Access Management oder 2-Faktor Authentifizierung. Wir helfen Ihnen gerne weiter.

Ansonsten wünschen wir Ihnen einen fröhlichen Welt-Passwort-Tag 😉