Nelson “Big Head” Bighetti aus der Serie Silicon Valley:
Big Head: “My username is password and my password is password”
Richard: “Your username is password?”
Big Head: “It was just easier”
Die Sicherung unserer digitalen Assets ist zweifellos von Bedeutung, viele Systeme nutzen gegenwärtig bereits Multifaktor Authentifizierung, zumindest der Berechtigungsnachweis Passwort ist jedoch obligatorisch.
Dass Passwörter wie “123456” oder “password” dem Sicherheitsbedürfnis nicht gerecht werden, sollte sich bereits herumgesprochen haben, dennoch gibt es in diesem Bereich noch viel zu vermitteln, wie in jedem anderen Bereich führt auch hier Verständnis zu besserer bzw. richtiger Handhabung, daher möchte ich mich in diesem Artikel des Themas annehmen.
Wie werden Passwörter eigentlich gestohlen?
- Erraten: Der Hacker informiert sich über die Zielperson und beginnt zu raten: Name der Katze, Geburtsdaten, Telefonnummer, Namen von Angehörigen, …
Gegenmaßnahme: Persönliche Daten bei der Passwortauswahl vermeiden
- Wörterbücher: Der Hacker iteriert durch ein Wörterbuch und versucht alle Wörter, es existieren natürlich auch spezielle Wörterbücher, die aus belieben Passwörtern bestehen und somit auch diverse alphanumerische Kombinationen enthalten
Gegenmaßnahme: Einzelne Wörter vermeiden
- Brute-Force Angriff: Es werden ganz einfach alle Möglichkeiten versucht, diese Methode ist entsprechend zeitintensiv führt allerdings irgendwann zum Ziel
Gegenmaßnahme: Langes, komplexes Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Phishing: Die Zielperson wird durch eine Manipulation dazu gebracht, das Passwort “freiwillig” preiszugeben. Auf Steemit versuchen Bots beispielsweise, Benutzer zum Betätigen eines bösartigen Links zu bewegen, dieser Link führt zu einer gefakten Seite, die den Benutzer zum Eingeben seines Owner Passwortes verleiten soll ...
Gegenmaßnahme: Gesunder Menschenverstand, es gibt keinen Grund einen privaten Schlüssel weiterzugeben
- “Blick über die Schulter”: Das Ziel wird beim Eingeben des Passwortes beobachtet (Blick über die Schulter, Fernglas, Kamera)
Gegenmaßnahme: Darauf achten, nicht beobachtet zu werden: Tastenfeld beim Bankomaten mit zweiter Hand abdecken, virtuelle Tastatur verwenden um Keylogger auszuschalten, ...
Passwort kreieren
Die folgenden Tipps sind als meine persönlichen Minimalanforderungen zu verstehen, wenn ich eine Mindestlänge von 10 Zeichen beschreibe, darf diese Definition nicht als Alibi verwendet werden, ein längeres Passwort wäre besser, viele Sicherheitsexperten empfehlen wesentlich längere Passwörter.
- Ein Passwort sollte zumindest aus 10 alphanumerischen Zeichen bestehen, ein längeres Passwort wäre natürlich besser
- Sonderzeichen sollten verwendet werden, dabei ist natürlich zu beachten, ob dies überhaupt möglich ist, ist leider nicht überall möglich, Substitutionen durch Sonderzeichen erhöhen die Sicherheit und sind relativ einfach zu merken, beispielsweiße $ statt S
- Ein Satz kann des Merken des Passwortes erheblich vereinfachen, “Ich gehe Samstags für gewöhnlich um 23 Uhr zu Bett!” wird zu “Ig$fgu23UzB”
- Das Passwort sollte regelmäßig geändert werden, zumindest alle 6 Monate, bei heiklen Assets zumindest alle 30 Tage, je öfter desto besser: Gestohlene Passwörter werden oft gesammelt und in Paketen weiterverkauft, diese Vorgänge können einige Zeit in Anspruch nehmen, wird das Passwort in dieser Zeitspanne gewechselt, so wird das gestohlene Passwort wertlos
- Für jedes Konto sollte ein eigenes Passwort verwendet werden, somit ist im Ernstfall “nur” ein Konto betroffen
- Bereits verwendete Passwörter sollten nicht wiederverwendet werden
- Tritt bei einem Konto eine “Merkwürdigkeit” auf, sollte das Passwort sofort geändert werden
- Passwortmanager können die Sicherheit erheblich aufwerten
- Multifaktor Authentifizierung aktivieren (wenn möglich)
Wichtige Handhabungshinweise
- Niemals ein Passwort an Dritte weitergeben, niemals, es gibt keinen Grund
- Passwörter nur an eigenen Geräten verwenden (niemals im Internet Cafe)
- Das Gerät selbst muss sicher sein (ansonsten kann das beste Passwort wertlos sein)
- Vor der Eingabe muss explizit geprüft werden, ob es sich um die richtige Webseite handelt (HTTPS Verbindung, Identitätsprüfung anhand des Zertifikats)
Kein Passwort ist vertrauenswürdig, jedes kann geknackt werden, es ist lediglich eine Frage von Zeit und Aufwand