Ändere-dein-Passwort-Tag: Pro und Kontra Passwort-Wechsel

Der Passwort-Check

Anwender-Tipps | Posted by SYMPLASSON | 01 Februar 2018
Ändere-dein-Passwort-Tag: Pro und Kontra Passwort-Wechsel - SYMPLASSON

Viele Sonderzeichen, am besten alle paar Monate wechseln… Der "Ändere dein Passwort-Tag" soll Nutzer daran erinnern, regelmäßig neue Passwörter zu wählen. Doch ist dies überhaupt sinnvoll? Wir geben Ihnen Tipps zum Passwort-Wechsel!

Der "Ändere-dein-Passwort-Tag" oder auch "change-your-password-day" ist jedes Jahr am 01. Februar und ist eine Initiative der US-Seite Gizmode. Diese entstand, da 2012 aufgrund eines großen Hackerangriffs Millionen von Kennwörtern zurückgesetzt werden mussten.

Der Tag soll Sie daran erinnern, dass nicht nur die Wahl des richtigen Passworts wichtig ist, sondern auch die regelmäßige Änderung. Dies ist in einigen Firmen sogar verpflichtend, denn dadurch sperrt man Angreifer immer wieder aus.

Unter Umständen kann es aber auch kontraproduktiv sein, wenn Sie regelmäßig Ihr Passwort ändern. Denn damit sich Nutzer Passwörter besser merken können, neigen Sie dazu, das gleiche Passwort für mehrere Dienste zu verwenden oder Passwörter nur minimal zu ändern. Ein zwangsweise neu gewähltes Passwort ähnelt also oft dem vorherigen, was wieder zu einem Sicherheitsproblem führen kann.

Unsere Erfahrung bestätigt: Es ist leider kein Mythos, dass man Kennwörter immer noch auf Post-Its am Monitor oder unter der Tastatur findet. Ebenso ist es immer noch gebräuchlich „einfache“ Kennwörter zu verwenden.

Unsichere Passwörter  - so leicht werden sie geknackt

Die Dauer des Passwort-Knackens ist abhängig von der Komplexität und Länge des Passwortes und der vom Angreifer verwendeten Tools. Hacker nutzen beispielsweise eine Software, die jedes Wort einer Passwortliste oder eines Wörterbuchs ausprobiert (sog. Wörterbuchangriff). Dazu benötigt der Angereifer nur wenige Sekunden. Er verwendet diese Methode, wenn er davon ausgehen kann, dass das Kennwort aus einer sinnvollen Zeichenkombination besteht.

Top 10 der häufigsten Passwörter in Deutschland (Stand 2016):

"123456" ist laut einer neuen Studie des Hasso-Plattner-Instituts (HPI) weltweit das meistbenutzte Passwort. Insgesamt haben HPI-Wissenschaftler rund eine Milliarde Nutzerkonten analysiert und ausgewertet. Die Informationen stammen aus 31 veröffentlichten Datenlecks, die in den vergangenen Monaten zugänglich gemacht wurden. 

Die folgende Liste zeigt die meistgenutzten deutschsprachigen Passwörter, die aus 30 Millionen Nutzerkonten aus Domänen mit der Endung ".de" ermittelt wurden:

  1. hallo
  2. passwort
  3. hallo123
  4. schalke04
  5. passwort01
  6. qwertz
  7. arschloch
  8. schatz
  9. hallo1
  10. ficken

Passwörter ändern - aber wann?

Grundsätzlich gilt Folgendes: Sie sollten Ihr Passwort ändern, wenn…

  • ... Sie sich zuvor in einem öffentlichen WLAN-Netzwerk über eine unverschlüsselte Verbindung eingeloggt haben (was Sie natürlich nur tun, wenn dies unvermeidlich ist!)
  • … Achten Sie bei fremden WLANs besonders darauf, dass die Verschlüsselung auch durchgängig ist und nicht beim WLAN-Anbieter "unterbrochen" wird, indem Sie das https-Zertifikat der besuchten Website überprüfen - ist sie dies nicht, ist Vorsicht angebracht
  • … bekannt wird, dass eine von Ihnen mit Login genutzte Website gehackt wurde
  • … Sie einen Virus oder Trojaner auf Ihrem PC hatten
  • ... die Medien nach neuesten Skandalen darauf hinweisen, die Sie betreffen
  • Sicherheitsexperten raten dazu, sein Passwort alle 3-6 Monate zu ändern.

Das Prinzip "Knackst du eines, hast du alle" ist unbedingt zu vermeiden

Nutzen Sie jedes Passwort grundsätzlich immer nur für eine Anwendung bzw. ein Benutzerkonto! Hacker probieren Passworte, die bei einem Angriff erbeutet wurden, meist zeitnah auf vielen anderen Websites aus, da leider die meisten Anwender ihre Passworte mehrfach verwenden - und dann sind gleich mehrere Konten kompromittiert bzw. die dahinter liegenden Daten abgegriffen.

Wenn Sie viele Passwörter verwenden, sollten Sie diese auch sicher ablegen - und das heißt nicht, diese wieder unter der Tastatur aufzubewahren.  Greifen Sie am besten auf ein Passwort-Manager zurück. Hier können Sie mit dem integrierten Kennwort-Generator auch relativ sichere Passwörter automatisch erstellen. Dabei wird durch vorprogrammierte Parameter per Zufall eine Zeichenkombination gewählt, welche den empfohlenen Sicherheitsstandards entspricht.

Gute Passwort-Manager ersparen Ihnen auch gleich das Eintippen der Passworte, indem z.B. Websites, auf denen Sie sich anmelden, automatisch erkannt und die Login-Daten ausgefüllt werden. Oder die Login-Daten werden auf Tastenkürzel von Ihnen hin automatisch in das gewählte Eingabefeld "eingetippt". So müssen Sie sich am Ende nur noch ein einziges Passwort merken - das für Ihre Passwort-Datenbank. Und trotzdem haben Sie für jedes Konto, welches Sie verwenden, ein sicheres einzigartiges Passwort.

Kleine Kreativitätsstütze gefällig?

Hilfreich kann es aber auch sein, kreativ bei der Wahl eines Passworts zu sein. Denken Sie sich beispielsweise einen Satz aus und  bilden Sie aus den Anfangsbuchstaben ein Passwort. 

Beispielsatz: Ich liebe meine zwei Katzen so sehr!

Mögliches Passwort:
(Wichtig: Benutzen Sie diesen Vorschlag nur als Anregung, nicht aber als tatsächliches Passwort!)

  • Ilm2Kss!
  • IcLiMe2KaSoSe!


In unserer Infografik "Das perfekte Passwort" bekommen Sie weitere wichtige Tipps zur Bildung eines sicheren Passworts!

Das Perfekte Passwort - Infografik - SYMPLASSON


Noch besser: 2-Faktor-Autentifizierung nutzen

Aus dem oben geschilderten sollte deutlich geworden sein, dass Passwörter - so "sicher" sie auch gewählt werden - eine problematische und aufwändige Angelegenheit aus der Steinzeit der Informationstechnik sind und den Sicherheitsanforderungen des Internet-Zeitalters in keiner Weise gewachsen. Bis wir aber bessere Verfahren haben, müssen wir wohl noch eine Weile damit leben.

Auf jeden Fall sollten Sie daher überall, wo dies angeboten wird - und dies ist auf fast allen "wichtigen" großen Websites möglich - zusätzlich zum Passwort die sogenannte 2-Faktor-Authentifizierung aktivieren.

Für einen Login benötigen Sie dann außer Ihrem Passwort ein von einer kostenlosen App auf ihrem Smartphone generierten, nur einmal gültigen Login-Code, ein sogenannte "Einmal-Passwort" (one time passwort, "OTP"). Dazu müssen Sie Ihr Konto für die jeweilige Website in der App über das Scannen eines QR-Codes im Aktivierungsprozess einbinden. Als App nutzen Sie gängige freie Tools wie den Google Authenticator oder den Microsoft Authenticator.

Auch für den Fernzugriff auf Unternehmensressourcen ist die 2-Faktor-Anmeldung heute unabdingbar. Gerne unterstützen wir Sie bei der Umsetzung entsprechender Lösungen!

Fassen wir die grundsätzlichen Empfehlungen für ein sicheres Passwort zusammen:

  • Passwörter sollten möglichst lang und komplex, aus mindestens 8 Zeichen bestehen (bei Verschlüsselungsverfahren wie die Absicherung von W-LAN aus mindestens 20 Zeichen!)
  • Nutzen Sie für das Passwort nicht den Namen des geliebten Haustiers oder Familienmitglieds
  • Passwörter sollten nicht aus Wörterbüchern stammen oder durch ein Tastaturmuster entstanden sein
  • Die gewählten Kennwörter sollten kryptisch sein (keine vollständigen Begriffen bilden)
  • Kennwörter sollten sicher aufbewahrt und / oder auf dem PC verschlüsselt abgespeichert werden
  • Eine regelmäßige Änderung des Passworts ist empfehlenswert (und zwar so, dass es dem alten Kennwort nicht ähnelt!)
  • Passwörter sollten je Benutzerkonto neu generiert werden
  • Es sollte aus Groß- und Kleinbuchstaben-, Zahlen UND Sonderzeichen bestehen
  • Wenn möglich sollte das Passwort nicht allein für einen Login ausreichen, sondern zusätzlich sollte ein Einmalpasswort erforderlich sein (2FA)

Liegt ein Missbrauch Ihrer Daten vor?

Unter https://sec.hpi.de/ilc können Sie kostenlos durch Eingabe Ihrer Email-Adresse prüfen lassen, ob Identitätsdaten von Ihnen frei im Internet kursieren und missbraucht werden könnten. 

__________________________________________________________________

Teaser-Bild: © siphotography


 

Weiterführende Informationen:

Unsere Dienstleistungen:

 

Sie haben Fragen?

Wir stehen Ihnen selbstverständlich für alle Fragen rund um die IT zur Verfügung.

Rufen Sie uns gerne an: 

Team IT-Services

Team IT-Services

Telefon: +49 40 533071-0

Kontakt Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!