info@frank-its.de

Abgesicherte Accounts/Zugänge:

Michael Bartl

|

Abgesicherte Accounts/Zugänge:

Starke Passwörter

Da ist es wieder, das leidige Thema, sichere Passwörter. Immer und immer wieder wird dieses Thema hoch und runtergepredigt. Ja es kann sehr nervig sein, aber es ist sehr wichtig, dass wir unsere Zugänge, sei es geschäftlich, aber auch privat, mit starken Passwörtern absichern.

 

Aber was macht ein Passwort denn nun stark? Auf der Seite des BSI werden einige Tipps gegeben, die zu einer erhöhten Stärke Ihres Passworts führen.

Länge und Komplexität sind laut dem BSI die entscheidenden Merkmale. Grundsätzlich gilt, dass je länger und komplexer ein Passwort ist, desto sicherer ist es auch. Der BSI empfiehlt unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html folgende Passwortarten:

  1. 20 bis 25 Zeichen Länge mit mindestens zwei Zeichenarten, Lang aber wenig komplex
  2. 8 bis 12 Zeichen Länge mit vier Zeichenarten, kürzer, aber komplex
  3. 8 Zeichen lang, mit drei Zeichenarten und durch eine Mehr-Faktor-Authentifizierung geschützt

Allerdings gibt es mehrere Dinge zu beachten:

  1. Am wichtigsten ist, dass Sie oder Ihre Beschäftigten sich das Passwort merken oder herleiten können.
  2. In den Passwörtern sollten keine Namen, Wörter wie Straßennamen oder Nummern wie dem eigenen Geburtstag, von Familienmitgliedern oder engen Freunden bestehen.
  3. Zeichenfolgen wie „123456“ oder „asdfgh“ sollten vermieden werden.
  4. Passwörter, die in Listen von „geknackten“ Passwörtern zu finden sind, sollten dringend vermieden werden. Diese Listen kann man auf verschiedenen Seiten im Internet finden.
  5. Im Unternehmen sollte es eine Passwort-Blacklist geben, die die Nutzung von bestimmten Passwörtern verbietet/unmöglich macht.
  6. Ein altes Passwort, bei einem Passwortwechsel nur mit einer Ziffer oder einem häufigen Sonderzeichen wie einem „!“ zu ergänzen ist nicht empfehlenswert.
  7. Kryptische Passwörter ohne jeden Zusammenhang sind sehr stark, ein Beispiel wäre: „x2!4hj)lP=Es%“.
  1. Landesspezifische Zeichen, wie Umlaute bei uns im deutschsprachigen Raum sollten Sie vermeiden, da sie nicht auf jedem Tastaturlayout vorkommen und daher bei einer Geschäftsreise zu einem Problem werden könnten. Manche Systeme haben allerdings auch Probleme mit solchen Zeichen, oftmals können diese zwar beider Passworterstellung genutzt werden, aber spätestens beim nächsten Login-Versuch kommen Sie dann nicht mehr weiter

Auffällig war bei unserer Recherche, dass viele Experten nicht mehr empfehlen die Passwörter regelmäßig zu ändern. Ein Grund hierfür ist, dass viele Nutzer, bei regelmäßigen Passwortänderungen dazu neigen einfachere Passwörter zu nutzen, damit sich die User einfacher an diese gewöhnen können. Nutzen Sie in Ihrem Unternehmen eine Vorgabe für Passwörter, die die User dazu zwingt, sichere Passwörter zu nutzen, dann sollten Sie dennoch nicht auf den regelmäßigen Passwortwechsel verzichten.

 

Tipps zum Umgang mit Passwörtern:

  1. Verwenden Sie einen Passwort Safe, besonders dann, wenn Sie kryptische Passwörter verwenden. Sichern Sie den Passwort Safe immer mit einem sehr starken Passwort und mit einer Mehr-Faktor Authentifizierung ab.
  2. Schreiben Sie Passwörter, wenn möglich niemals auf und wenn es doch nötig sein sollte, dann beachten Sie die folgende Regel:
    • Notieren Sie das Passwort so, damit nur Sie wissen für welchen Account/Zugang das Passwort ist
    • Bewahren Sie das Passwort an einem Ort auf, der möglichst nur für Sie zugänglich ist
    • Sagen Sie niemandem, dass Sie ein Passwort aufgeschrieben haben und wo sich dieses befindet
  3. Verraten Sie niemanden außerhalb des Unternehmens den Namen Ihres Zuganges oder wie sich in Ihrem Unternehme die Zugänge zusammensetzen, denn auch der Accountname ist ein Faktor, der für einen „Einbruch“ benötigt wird.
  4. Nutzen Sie für die Arbeit keine Passwörter, die Sie auch im Privatleben nutzen, so ist die eine Seite sicher, wenn es auf der anderen Seite zu einem Sicherheitsvorfall kommen sollte
  5. Benutzen Sie dasselbe Passwort nicht in mehreren Systemen / für mehrere Zugänge

Multi-Faktor-Authentifizierung:

Kaum eine Maßnahme erhöht den Schutz so gut wie die Multi-Faktor-Authentifizierung. Ja sie kann umständlich sein, ja man benötigt mehr Zeit bei jedem Login, ja das kann nerven. Trotz all dem sollten zumindest empfindliche Systeme jeglicher Art durch eine Multi-Faktor-Authentifizierung abgesichert sein. Verwenden Sie zum Beispiel eine Authentifizierung mit einem sechsstelligen Authenticator-Key, dann muss ein Angreifer bei diesem Schritt versuchen eine Zahl zu „erraten“ und dies aus einer Million möglicher Kombinationen, welche sich nach 30 Sekunden ändert. Sie sehen, dass ein möglicher Angriff durch diese Sicherheitsmaßnahme sehr, sehr wahrscheinlich erfolglos bleiben wird.

Technische Schutzmaßnahmen:

Einschränkung von Anmeldeversuchen:

Um einen möglichen Angriff effektiv abwehren zu können, sollten sich Accounts sperren, sobald eine gewisse Anzahl an Fehlversuchen bei der Anmeldung erreicht wurden. Hierbei sollten Sie darauf achten, dass die Anzahl der Fehlversuche nicht zu niedrig ausfällt, schnell gibt man dreimal hintereinander sein Passwort ein, ohne zu merken, dass die Feststelltaste aktiviert ist. Eine weitere Möglichkeit ist, dass nach den Fehlversuchen eine Sperre auf Zeit eintritt, die immer länger wird, bis das Passwort richtig eingegeben wurde.

Awareness:

Natürlich bringen die besten Sicherheitsvorkehrungen nichts, wenn Sie, einer Ihrer Beschäftigten oder einer Ihrer Kollegen das Passwort auf Anfrage herausgibt. Leider können heutzutage Stimmen relativ einfach und überzeugend durch KI nachgebildet werden. Einige Erfolgreiche Angriffe auf Unternehmen sind darauf zurückzuführen, dass eine beteiligte Person seine Zugangsdaten an vermeintliche Kollegen der IT herausgegeben haben. Stellen Sie also durch eine erhöhte Awareness über Schulungen und Sensibilisierung sicher, dass dieser Fall nicht eintritt.

Fazit:

Wir alle loggen uns jeden Tag in mehrere Systeme ein, auf der Arbeit oftmals in Systeme mit sensiblen oder kritischen Daten. Diese Zugänge gilt es zu schützen. Dabei stellt Awareness im Allgemein, nicht nur auf Accounts bezogen, eine wichtige Grundlage zum Schutz ihrer Daten dar. Hierbei unterstützen wir Sie sehr gerne. Wir arbeiten mit Ihnen zusammen eine Awareness-Kampagne aus, die zu Ihrem Unternehmen und zu Ihren Ansprüchen passt. Kontaktieren Sie uns hierzu gerne.

Frank-ITS GmbH | info@frank-its.de | +49 7941 99391 – 0

Team Datenschutz | datenschutz.servicedesk@frank-its.com | +49 7941 99391 – 10

Team Informationssicherheit | it-sicherheit.servicedesk@frank-its.com | +49 7941 99391 – 11

Vorheriger Beitrag
KI und die Gefahren der KI
Nächster Beitrag
MFA-Bombing und die Gefahr von Innen