Welt-Passwort-Tag: Tipps zur Passwortsicherheit von einem Cybersicherheitsexperten

Möchten Sie Ihr Passwort lieber in drei Sekunden oder 3.000 Jahren hacken lassen? Laut einer aktuellen Studie von Hive Systems hängt der Unterschied von mehreren Faktoren ab. Um den Hackfaktor von 3000 Jahren zu erreichen, ist ein 12-stelliges Passwort aus Zahlen, Symbolen und Groß- und Kleinbuchstaben Voraussetzung.  

Obwohl Passwörter im Zeitalter modernerer Authentifizierungsverfahren, wie z. B. der Biometrie, veraltet wirken mögen, sind Passwörter nach wie vor die wichtigste Maßnahme zur Sicherung des Zugriffs auf Anwendungen, Netzwerke und Geräte.  

„Auch wenn Passwörter eine geradezu lustige unzeitegemäße Art der Authentifizierung sind, werden sie aufgrund ihrer Einfachheit und leichten Handhabbarkeit nicht so schnell verschwinden“, so Nicolas Christin, einer der Leiter des Passwort-Forschungsteams von Carnegie Mellon. Nehmen wir nur ein Beispiel: „Wenn Ihre Gesichtserkennungs-App versagt, auf was können Sie dann zurückgreifen? Auf eine PIN und die gehört zu den Passwörtern.“ 

Zur Feier des #Welt-Passwort-Tag 

Der Welt-Passwort-Tag, der am ersten Donnerstag im Mai stattfindet, soll Unternehmen und Einzelpersonen daran erinnern, dass wir alle eine bessere Passwortpflege praktizieren sollten. Unternehmen brauchen stärkere Passwörter, damit ihre Netzwerke, Anwendungen und Dateien nicht von böswilligen Hackern angegriffen werden.

Aber auch Privatpersonen brauchen sichere Passwörter, um ihre privaten Daten bei der Nutzung von Bankdiensten, E-Commerce-Seiten und sozialen Medien im Internet zu schützen.  

Außerdem häufen sich die Angriffe auf Passwörter, wie Untersuchungen von Specops Software ergeben haben. Im 2022 Weak Password Report finden sich folgende Erkenntnisse:

• 54 % der Unternehmen haben kein Hilfsmittel zur Verwaltung von Passwörtern. 
• 48 % der Unternehmen haben keine Benutzerverifizierung für Anrufe bei einem IT-Servicedesk. 
• 41 % der bei Angriffen verwendeten Passwörter sind zwar mindestens 12 Zeichen lang, aber ansonsten nicht stark genug.

Unsere kognitiven Beschränkungen 

Zwar ist es das Ziel, sicherere Passwörter zu erstellen, aber das ist leichter gesagt als getan, wenn man bedenkt, wie viele Passwörter sich jeder von uns merken muss – eine Zahl, die seit der Einführung des Internets exponentiell gestiegen ist. Eine 2007 von Microsoft durchgeführte Studie ergab, dass der typische Benutzer 6,5 Passwörter für etwa 25 Konten hatte. Im Jahr 2022 muss sich jeder Benutzer schon durchschnittlich 70 bis 80 Passwörter merken.  

Dass wir uns so viele Passwörter einfach nicht merken können, macht die Passwortverwaltung noch schwieriger. Eine andere Studie fand heraus, dass wir auf kognitiver Ebene kaum in der Lage sind, mit 25 verschiedenen Passwörtern umzugehen, geschweige denn mit über 70. Die Studie ergab, dass ein typischer Internetnutzer mit allenfalls vier oder fünf Passwörtern wirklich zurechtkommt. Diese kognitive Einschränkung ist der Hauptgrund dafür, dass die meisten von uns ein und dasselbe Passwort für verschiedene Websites nehmen und es selten oder gar nicht ändern. 

„Die Wiederverwendung von Passwörtern auf verschiedenen Websites ist eine der Hauptursachen für Hackerangriffe“, sagt John Moran, Security Solutions Architect bei Rackspace Technology®. Anlässlich des Welt-Passwort-Tages hat Moran die besten Tipps bei der Erstellung Passwörtern für Zuhause und auf der Arbeit verraten.  

So komplex wie möglich Laut der Studie von Hive Systems ist es für Hacker umso schwieriger, ein Passwort zu knacken, je komplexer es ist. Trotzdem sind die meisten Passwörter viel zu einfach gehalten.  

„Um Hackerangriffen wie zum Beispiel Brute-Force-Angriffe erst gar keine Angriffsfläche zu bieten, müssen Passwörter komplex sein“, so Moran. Das heißt, sie müssen lang sein, mindestens 9 bis 12 Zeichen. Und sie müssen aus einer Mischung von Groß- und Kleinbuchstaben sowie Zahlen und Symbolen bestehen.  

Also eher ein Satz als ein Wort. Moran empfiehlt, Passphrasen anstelle von Passwörtern zu verwenden, damit die Komplexität steigt und die Passwörter dennoch leicht zu merken sind. Nehmen Sie zum Beispiel eine Aussage wie „Ich koche freitags gerne zu Hause“ und machen Sie daraus eine Passphrase. Das wäre hier zum Beispiel „IL2c@h0F“.  

Jedes Passwort nur einmal verwenden Viele haben die Angewohnheit, ein Passwort zu erstellen und es an mehreren Stellen verwenden, vor allem weil man sich eins leichter merken kann als mehrere. Doch das ist eine ziemlich schlechte Idee. Stattdessen ist es wichtig, für jedes Vorkommen ein gesondertes Passwort zu verwenden

„Auf diese Weise können wir den Schaden begrenzen, den ein Hacker anrichten kann, wenn er sich Zugang zu einem Standort verschafft“, erklärt Moran. Sie kommen mit dem einem Passwort an den anderen Stellen einfach nicht weiter. Damit können sie also nur begrenzt Schaden anrichten.“  

Passwörter nach einem festgelegten Schema aktualisieren Einige Unternehmen verlangen von ihren Mitarbeitern, ihre Passwörter regelmäßig zu änderen, z. B. alle 90 oder 120 Tage.  

Dazu meint Moran jedoch: „ Hier hat man das Risiko, dass eher einfache Passwörter erstellt werden, denn man muss sich alle paar Monate ein neues Passwort merken. Deshalb ist es wichtiger, starke und komplexe Passwörter zu erstellen.“

Multi-Faktor-Authentifizierung einsetzen. Das ist gewissermaßen ein Backup-System für den Passwortschutz. Wenn ein zweiten Schritt, z. B. die Eingabe eines Codes, dazwischen geschaltet ist, um Zugang zu einem Netz, einer Anwendung oder einer Datei zu erhalten, sinkt die Gefahr, dass sie gehackt werden.  

„Wenn man diese beiden Ebenen miteinander verbindet, wird es für einen Angreifer schwieriger, sie zu durchbrechen“, so Moran.  

Passwort-Storage stärken. Das Speichern von Passwörtern ist ein entscheidender Faktor für die Passwortsicherheit. Ideal ist eine Passwortdatenbank mit einem eigenen extrem starken Passwort – „ein Schlüssel für alle". 

Alte Konten deaktivieren. Unternehmen versäumen es zu häufig, Konten von ausgeschiedenen Mitarbeiter*innen zu löschen. Dadurch wird es Hackern jedoch relativ leicht gemacht, in ein System einzudringen.  

„In manchen Unternehmen bleiben stillgelegte Konten noch jahrelang aktiv“, bemerkt Moran. „Die Löschung der Konten ausgeschiedener Mitarbeiter*innen sollte jedoch ein fester Bestandteil des ordentlichen Passwortmanagements sein.“ 

Das Least-Privilege-Prinzip befolgen. Dies bedeutet, den Arbeitnehmer*innen nur solche Zugriffsrechte wie für ihre Arbeit unbedingt nötig zu gewähren. „So lässt sich der Schaden im Falle eines Missbrauchs, auch interner Art, begrenzen“, erklärt Moran.  

Solving Together™

Passwörter sind heute wichtiger denn je – unter anderem aufgrund der Tatsache, dass viele Unternehmen derzeit mit Fernzugriff und hybriden Verfahren arbeiten. Ein verstärkter Passwortschutz hilft dabei, Netzwerke und Anwendungen zu verriegeln und sicherzustellen, dass nur berechtigte Personen Zugriff haben.

Wir alle brauchen eine Erinnerung wie den #Welt-Passwort-Tag, damit wir unsere Passwortgewohnheiten ändern – und eine viel solidere Schutzbarriere zwischen unseren kritischen Daten und den immer versierteren Hackern von heute zu errichten.

Elastic Engineering for Security von Rackspace Technology unterstützt Unternehmen weltweit, sich besser vor den immer häufiger werdenden Bedrohungen zu schützen. So können Sie Sicherheitslücken in Ihrem Unternehmen schließen: Die perfekte Verteidigung gegen den perfekten Cybersecurity-Angriff.

In unseren CloudTalk Live Podcast zum Thema Bekämpfung von Sicherheitsbedrohungen mit einem mehrschichtigen Verteidigungssysteme erfahren Sie mehr.

Machen Sie bei unserer Selbsteinschätzung Ihres Cybersecurity-Risikos mit, damit wir Sie bei der Bewertung, Implementierung, Entwicklung und Verwaltung Ihrer Sicherheits- und Compliance-Herausforderungen unterstützen können.