Das Problem
Immer noch werden viel zu einfache Passwörter gewählt, wie z. B. 123456, VornameNachname123, Firmenname+Startjahr etc. Ebenso gefährlich ist es, wenn Benutzer ein und dasselbe Passwort für mehrere Webanwendungen verwenden. Teilweise werden am Arbeitsplatz Passwörter gewählt, die auch im privaten Umfeld verwendet werden. So spart man vermeintlich Zeit und muss sich kein neues Passwort ausdenken, merken oder aufschreiben.
Passwort festlegen
In der Regel wird ein Passwort vom Benutzer festgelegt. Muss es aufgeschrieben werden, da es nicht leicht zu merken ist, sollte es sicher aufbewahrt werden. Eine gute Alternative zu den abschliessbaren Schränken sind sogenannte Passwort-Manager. Mit ihnen können Passwörter digital und komfortabel verwaltet werden.
Tipp: KeePassist ein quellenoffener (open source) und kostenfreier Passwort-Manager.
Was passiert mit einfachen Passwörtern?
Einfache Passwörter sind leicht zu erraten und können in kurzer Zeit geknackt werden. Hierfür gibt es eine ganze Reihe von Werkzeugen, die vollautomatisch und ohne grossen Aufwand das richtige Wort finden oder einen Passworthashknacken können.
Es gibt verschiedene Methoden, ein Passwort zu erraten oder einen bereits extrahierten Passwort-Hash zu knacken: Die Wörterbuch-Attacke (auch dictionary attack genannt), die Brute-Force-Attacke und die Hybrid-Attacke.
Bei der Wörterbuch-Attacke wird eine Liste von Wörtern durchprobiert. Diese Liste kann sehr viele Wörter enthalten, z. B. 1,49 Milliarden Wörter (eine Sammlung von Wörtern aus verschiedenen Sprachen und von geleakten Passwörtern) und kann bis zu 15 GB gross sein.
Bei der Brute-Force-Attacke werden alle möglichen Kombinationen durchprobiert. Dabei können Zahlen, Sonderzeichen, Klein- und Grossbuchstaben durchmischt werden.
Die Hybrid-Attacke ist eine Kombination der beiden erstgenannten Attacken. Mit dieser Methode können gängige Passwortmuster in kurzer Zeit geknackt werden. Gängige Muster sind z. B. Sommer2021 mit dem Muster «Wort + vierstellige Zahl» oder Sommer2021! mit dem Muster «Wort + vierstellige Zahl + ein Sonderzeichen».
Was macht ein einfaches Passwort aus?
- Zu kurze Länge - weniger als 12 Zeichen.
- Besteht aus wenigen Zeichentypen - nur Zahlen oder Buchstaben.
- Stammt aus einem Wörterbuch.
- Hat einen persönlichen Bezug.
- Weist ein leicht zu erratendes Muster auf: Jahreszeit+Jahr+Sonderzeichen, Firmenname+Startdatum, «Passwort»+Zahl, qwerty, 1q2w3e4r5t6y usw.
Tipp: Verwenden Sie ein sicheres Passwort. Man unterscheidet zwischen einem kryptischen und einem langen Passwort. Hier gibt es Tipps und Tricks zu sicheren Passwörtern.
Ist es sinnvoll ein Passwort mehrfach zu verwenden?
Die Mehrfachverwendung ist riskant. Wenn das Passwort bekannt wird oder in die falschen Hände gerät, zum Beispiel durch ein Datenleak im Internet, durch eine erfolgreiche Passwort-Rate-Attacke oder durch das Abfangen eines Passworthashes im internen Netzwerk, kann der Angreifer ohne grossen Aufwand auch die anderen Konten des Benutzers übernehmen.
Es ist sehr einfach, die erbeuteten Zugangsdaten überall auszuprobieren (firmeneigene Anwendungen, soziale Netzwerke, Streaming-Plattformen, Verkaufs- und Zahlungsplattformen usw.), in der Hoffnung, in kurzer Zeit weitere Konten des Nutzers zu übernehmen. Daher ist es unbedingt empfehlenswert für jedes Benutzerkonto ein individuelles Passwort zu nutzen. Sollte dann das Worst-Case-Szenario eintreffen - die Kompromittierung eines Benutzerpassworts - so haben die Cyberkriminellen lediglich Zugang zu einem Benutzerkonto.
Tipp: Passwort nicht mehrfach verwenden.
Was spricht dagegen ein Passwort aus dem privaten Umfeld zu übernehmen?
Die meisten privaten Anwender legen leider keinen grossen Wert auf sichere Passwörter. Folglich sind sie für Cyberkriminelle eine leichte Beute. Mittels vollautomatisierter Tools kann ein einfaches Passwort innerhalb kurzer Zeit in Erfahrung gebracht werden. Über soziale Netzwerke kann der Angreifer den Arbeitgeber des Opfers ausfindig machen. Im nächsten Schritt wird versucht, sich mit den erbeuteten Zugangsdaten in das Mitarbeiterportal, MS Office 356, SharePoint, Outlook Web Access oder Teams einzuloggen oder eine Verbindung in das Firmennetzwerk via Virtual Private Network herzustellen - in der Hoffnung, dass das erbeutete Passwort für private Zugänge auch beruflich genutzt wird.
Auch im umgekehrten Fall, wenn der Arbeitgeber angegriffen und Passwörter entwendet wurden, können private Daten gefährdet sein, wenn man dasselbe Passwort verwendet. Anhand von erbeuteten Daten von einzelnen Mitarbeitenden, können Cyberkriminelle ihre private Benutzerkonten von sozialen Netzwerken, E-Mail-Diensten und Online-Verkaufsplattformen übernehmen und in ihrem Namen böswillige oder illegale Aktionen ausüben.
Tipp: Trennen Sie private und geschäftliche Passwörter. So schützen Sie nicht nur Ihren Arbeitgeber, sondern auch sich selbst.
Wie oft soll ich mein Passwort ändern?
Diese berechtigte Frage kann nicht pauschal beantwortet werden.
Wenn ein Angreifer an das Passwort eines Benutzers gelangt, das alle sechs Monate oder sogar nur einmal im Jahr geändert wird, besteht die Gefahr, dass der Angreifer während dieser Zeit unbemerkt auf das Konto zugreifen kann. Er kann dann im Namen des Accountinhabers böswillige Aktionen durchführen, sich Informationen über das Unternehmen beschaffen (interne, vertrauliche oder gar geheime Dokumente) oder illegale Transaktionen durchführen, selbstverständlich ohne Wissen des Accountinhabers.
Es muss nicht unbedingt das Verschulden des Benutzers sein, dass sein Passwort in die Hände des Angreifers gelangt. In letzter Zeit werden immer häufiger Datenbanken von Dienstleistern kompromittiert und sensible Informationen von Kunden und eigenen Mitarbeitenden gestohlen. Ein weiteres realistisches Szenario ist, dass Cyberkriminelle über technische Defizite oder bekannte Schwachstellen oder Zero-Day-Exploits an sensible Informationen gelangen. Darüber hinaus ist es nicht immer und zeitnah ersichtlich, wenn sensible Informationen wie Zugangsdaten abfliessen oder in falsche Hände geraten. Es kann durchaus vorkommen, dass ein Datenabfluss erst später und im Worst-Case-Szenario gar nicht bemerkt wird. Daher ist es nicht verkehrt, das Passwort in regelmässigen Abständen zu ändern. Ausserdem sollte das Passwort sofort geändert werden, sobald es Anzeichen dafür gibt, dass es in die Hände eines Dritten gelangt ist.
Eine gute Ergänzung zur klassischen Passwort-Authentifizierung und eine nicht mehr wegzudenkende Voraussetzung für eine sichere Authentifizierung ist der Einsatz eines zweiten Authentifizierungsfaktor; mehr dazu unter BSI Zwei-Faktor-Authentisierung oder OWASP Multi-Factor Authentication Cheat Sheet.
Tipp: Ändern Sie Ihr Passwort regelmässig in angemessenen Zeitabständen. Noch wichtiger ist es ein Zwei-Faktor-Authentisierungsverfahren (2FA) technisch zu erzwingen. Definieren Sie dazu einen geeigneten und starken zweiten Authentifizierungsfaktor, zum Beispiel mittels hardwarebasiertem Token-Generator oder TOTP-App (Time-based One-time Password). Darüber hinaus darf der Datenschutz nicht aus den Augen gelassen werden, so darf der Dienstanbieter, der die 2FA zur Verfügung stellt, keine vertraulichen Informationen über die Applikationsbenutzer sammeln (mehr dazu unter BSI Vertraulichkeit der Daten).
Fazit
- Wählen Sie ein starkes Passwort. Dabei unterscheidet man zwischen einem komplexen/kryptischen und einem langen Passwort.
Länge schlägt Komplexität - mehr dazu hier(scrolle zu TIPPS & TRICKS - Versuchs mal hiermit!) - Robuste Passwörter sind nicht immer leicht zu merken, daher empfiehlt sich die Verwendung eines guten Passwort-Managers. Wenn Sie dazu neigen, Passwörter auf Papier aufzubewahren, sollten Sie diese an einem sicheren Ort aufbewahren, der für andere nicht zugänglich ist.
- Verwenden Sie ein Passwort nur einmal. Die mehrfache Verwendung des Passworts kann dazu führen, dass ein Angreifer weitere Benutzerkonten von Ihnen übernehmen kann.
- Ändern Sie Ihr Passwort regelmässig in angemessenen Zeitabständen, sowohl privat als auch beruflich.
- Um die Sicherheit zu erhöhen, empfiehlt sich die Verwendung eines zweiten Authentifizierungsfaktors.