zurück zur Übersicht

Passwort schon geändert?

Ein sicheres Passwort ist Grundlage jeder ArchitekturWer im Internet unterwegs ist, nutzt Passwörter um sich in Foren, Webshops, Online-Banking-Anwendungen oder anderen Portalen zu authentifizieren.

Mehr als zweieinhalb Jahre nach Edward Snowdens Enthüllungen gehen die meisten Nutzer bedauerlicherweise weiterhin mit ihren Passwörtern unvorsichtig um und achten nicht auf Sicherheit. Denn nicht nur die NSA greift Passwörter ab: Auch Kriminelle versuchen Passwörter zu knacken, um Kreditkartendaten oder Identitäten von Nutzern zu stehlen. Der unachtsame und unvorsichtige Umgang mit Passwörtern kann dazu führen, dass Kriminelle mit Leichtigkeit Passwörter erraten.

Alles Gute zum Passwortwechseltag!

Am 1. Februar jeden Jahres werden Nutzer am „Change your password“-Day dazu angehalten, ihre lieb gewordenen Passwörter zu ändern. Dieser Tag hört sich auf den ersten Blick so komisch an wie der „Tag der Jogginghose“ oder „Sprich wie ein Pirat“-Tag. Jedoch gibt es für diesen Tag, der durch das US-Portal Gizmodo im Jahr 2012 in Leben gerufen wurde, einen berechtigten Anlass: Wie leichtsinnig mit Passwörtern umgegangen wird, verdeutlicht unter anderem die einmal im Jahr veröffentlichte Liste der am häufigsten verwendeten Passwörter des Unternehmens Splashdata. Mehr als 2 Millionen gestohlene Passwörter aus dem Jahr 2015 wurden hierbei analysiert. Die aktuellste Liste mit den beliebtesten Passwörtern aus dem Jahre 2015 (https://www.teamsid.com/worst-passwords-2015/) zeigt, dass auf Platz eins unverändert die Zahlenfolge „123456“ gefolgt vom Passwort „password“ liegt. Auf den darauffolgenden Plätzen befinden sich weitere unsichere Passwörter. Hierbei werden nicht nur gerne einfache Zahlenfolgen verwendet. Auch einzelne Wörter, wie „football“, „baseball“ oder „login“ finden sich auf der Liste. Dieses Problem ist durchaus kein neues Phänomen, wie unser Bericht über die Auswertung des Ashley Madison Hacks zeigt, aber es hält sich hartnäckig. Solche einfachen Passwörter können sehr leicht mittels einer Brute-Force- oder Dictionary-Attacke erraten werden. Und wer möchte schon gerne, dass Kriminelle unter dem eigenen Namen E-Mails verschicken oder teure Waren im Internet kaufen?

Kompliziert = gut!

Damit es Angreifer schwer haben die Passwörter zu erraten, müssen diese eine gewisse Komplexität aufweisen. Das BSI rät in seiner Empfehlung zur Passwortsicherheit Passwörter zu verwenden, die aus mindestens zwölf Zeichen bestehen. Hierbei müssen verschiedene Zeichentypen, wie Groß- und Kleinbuchstaben, Zahlen, sowie Sonderzeichen verwendet werden. Des Weiteren sollten Passwörter nicht mehrfach verwendet werden. Der Grund liegt auf der Hand: Ist erst einmal ein Passwort durch den Angreifer erraten, kann er sich schnell Zugang zu anderen Accounts verschaffen. Es empfiehlt sich also überall verschiedene Passwörter zu verwenden. Auf keinen Fall sollte das Passwort auf einen Notizzettel oder in einer Textdatei auf den Desktop notiert werden.

Doch wie behält man dutzende von komplexen Passwörtern im Kopf? Eine Möglichkeit, um komplexe Passwörter zu genieren und zu verwalten, ist der Einsatz eines Passwort-Managers wie KeePass. Der klare Vorteil für den Nutzer hierbei ist, dass er sich die einzelnen Passwörter nicht mehr selbst merken muss. Lediglich das Master-Passwort muss er kennen, um auf die einzelnen Passwörter zugreifen zu können. Die Software hilft auch sich zu erinnern, die Passwörter regelmäßig zu ändern, da es vorkommen kann, dass eine Anwendung gehackt wird und Passwörter abhandenkommen. Kein Passwort ist bis in alle Ewigkeit zu hundert Prozent sicher. Daher ist dringend angeraten, Passwörter in regelmäßigen Abständen zu ändern.

Passwort-Management im Firmenumfeld

Damit Nutzer erst gar nicht ein leicht zu erratendes Passwort in einer Anwendung verwenden können, ist die Einführung einer Password-Richtlinie (Policy) für Anwendungen in Unternehmen förderlich. Diese Qualitätsanforderung an Passwörter kann mit einfachen Mitteln konfiguriert bzw. implementiert werden. Meist reicht es schon aus, in den Einstellungen der Anwendung die entsprechenden Sicherheits- und Compliance-Checks zu aktivieren. Um zuverlässig und zeiteffizient sicherzustellen, dass alle Anwendungen im Unternehmen die Password-Policy einhalten, kann Tenables Nessus zur Hilfe genommen. Als passiver Schwachstellenscanner ist Nessus sehr bekannt. Er kann aber auch als Audit-Tool verwendet werden. Nessus bringt von Haus aus zahlreiche Sicherheits- und Compliance-Überprüfungen mit, die sogenannten Nessus-Plugins. Jedes Plugin überprüft die Anwendung auf eine bestimmte Eigenschaft. Hierbei kann Nessus bspw. überprüfen, ob bei Standardaccounts das Default-Passwort noch nicht geändert wurde, bei Accounts das Passwort abläuft oder nicht geändert werden muss. Auch die Passwortlänge und die Komplexität des Passworts kann überprüft werden. Sollten bestimmte Anforderungen gegenüber Passwörtern existieren, z.B. keine Verwendung von Dollarzeichen als erstes Zeichen im Passwort, kann man hierfür problemlos ein Nessus-Plugin implementieren, das diese Eigenschaft überprüft. Nessus eignet sich somit hervorragend, um automatisiert Audits durchzuführen und die Sicherheit für Nutzer und das Unternehmen zu gewährleisten.

Die iT-CUBE SYSTEMS AG kann Sie bei der Konzeptionierung und Umsetzung einer Passwort-Policy unterstützen und beraten. Ebenso helfen wir Ihnen bei der Umsetzung einer Lösung zur Überprüfung von Sicherheits- und Complianceanforderungen. Haben Sie hierzu Fragen? Kontaktieren Sie uns. Wir helfen Ihnen gerne.

Schreibe einen Kommentar