Passwörter – Wechseln oder nicht wechseln

10 Mrz

  • in Archiv
  • von
  • 0

Soll man nun ständig sein Passwort wechseln oder besser doch dauerhaft nur ein starkes Passwort verwenden? Die beste Antwort hier lautet wahrscheinlich: die goldene Mitte. Lange empfahl das Bundesamt für Sicherheit in der Informationstechnik (BSI), Passwörter regelmäßig zu ändern. Unter Einbeziehung neuster Erkenntnisse wurde diese Empfehlung nun weitestgehend fallen gelassen.

 

Wie kommt es nun zu dieser Veränderung und was bedeutet sie für unseren Umgang mit beruflichen und privaten Passwörtern?

 

Zunächst müssen wir verstehen, warum und wann Passwörter überhaupt gewechselt werden müssen.

Sofern Sie selbst Ihre Passwörter niemandem verraten oder sie nicht unsicher speichern – wir denken hier an das klassische Post-it am Bildschirm – können Sie davon ausgehen, dass Ihre Passwörter auch über einen längeren Zeitraum als sicher gelten. Insbesondere gilt dies für solche Passwörter, die nur lokal bzw. auf eigener Infrastruktur, wie dem Firmennetzwerk, gespeichert werden. Wir gehen hier von kontrollierten und sicheren Umgebungen aus, in denen Passwörter nicht von Dritten gestohlen wurden. Hier kann der Passwortwechsel durchaus auf einen jährlichen Wechsel beschränkt werden.

Bei Passwörtern, die jedoch (auch) auf einer fremden Infrastruktur, wie der Datenbank einer Web-Applikation (E-Mail-Provider, Shopping-Portal usw.) gespeichert werden fehlt uns häufig die Kontrolle über die sichere Speicherung oder wir erfahren nicht rechtzeitig von einem Datendiebstahl. Daher sollte hier, mit Blick auf den jeweiligen Schutzbedarf, ein häufigerer bzw. anlassbezogener Passwortwechsel erfolgen.

Grundsätzlich gilt, haben Sie Zweifel daran, dass Ihre beruflichen oder privaten Passwörter weiterhin nur Ihnen bekannt sind, dann wechseln Sie diese schnellstmöglich – besser sofort!!!

Zur Prüfung, ob Benutzernamen und Passwörter bei bekannt gewordenen Datenabflüssen gestohlen worden sind, können Sie freiverfügbare Tools verwenden, von denen wir Ihnen hier einige vorstellen.

Empfohlen werden dafür folgende Datenbanken zur Abfrage:

Firefox Monitor: Der Abfragedienst von Mozilla greift auf die Datenbank von „Have I been pwned?“ zurück, arbeitet nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Daten im Netz auftauchen sollten. Ebenfalls praktisch für Firefox-Nutzer: Der Browser schlägt Alarm, wenn man auf einer Seite surft, die gehackt worden ist oder auf der es ein Datenleck gab. Unterhalb der Adressleiste öffnet sich dann eine Benachrichtigung, die etwa über den Zeitpunkt und das Ausmaß des Angriffs oder des Lecks informiert und zu einer Monitor-Abfrage rät.

Breach Alarm: Dieser Dienst arbeitet ebenfalls mit E-Mail-Adressen. Die ad-hoc-Abfrage sowie der Monitor-Dienst mit einer Mail-Adresse sind gratis.

Identity Leak Checker: Eine weitere Abfragemöglichkeit, die das Potsdamer Hasso-Plattner-Institut (HPI) anbietet. Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offen gelegt wurde und missbraucht werden könnte.

Sollten Sie für sich einen Treffer bei diesen Diensten haben, dann ändern Sie bitte sofort Ihr Passwort und verwenden es nicht weiter, auch nicht in einem ganz anderen Zusammenhang. Wir weisen an dieser Stelle ausdrücklich darauf hin, dass ein Passwort, welches nicht in einer dieser Datenbanken gefunden wurde, nicht automatisch als sicher gilt. Einer der Hauptgründe, warum man heute Abstand von häufigen Passwortwechseln nimmt, liegt in menschlichen Verhalten bzw. schlicht weg daran, dass wir uns komplexe Passwörter in der Regel nur schlecht merken können. Kurz gesagt, wenn wir gezwungen werden komplexe Passwörter zu verwenden und diese ständig zu wechseln, neigen wir dazu, eigentliche starke Passwörter zu schwächen. So wird dann beim Wechsel aus dem starken Passwort „Schl!tzZugsPapi3rEin“, „Schl!tzZugsPapi3rEin01“ oder wir kleben doch wieder ein Post-it irgendwo hin. Die Erfahrungen der letzten Jahre haben also gezeigt, dass häufiges Wechseln von Passwörtern zu einer Schwächung der Passwortqualität und dem sicheren Umgang mit Passwörtern geführt hat. Daher die Veränderung im Umgang mit diesen. Dennoch bleiben das starke Passwort und der entsprechende Umgang damit das A und O für die Sicherheit im Schutz unserer Daten.

 

Was genau bedeutet denn „starkes Passwort“?

 

Tipps gibt es viele. Unsere Experten haben einige do´s und don´ts für Sie zusammengestellt.

Dos

  • es sollte mindestens zwölf Zeichen lang sein
  • bei einem hohen Schutzbedarf, wie etwa dem WLAN-Passwort oder Passwort für Ihren Passwortcontainer, sollten Sie Passwörter von mindestens 20 Zeichen wählen
  • aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
  • für Ihre verschiedenen Zugänge, wie E-Mail-Accounts, Apps und Websites, beruflich wie privat, sollten sie immer unterschiedliche verwenden

Wo immer möglich, nutzen Sie eine Zwei-Faktor Authentifizierung. Dies macht es Hackern besonders schwer.

Don´ts

Verwenden Sie:

  • keine Worte (aus Wörterbüchern, Städtenamen, Länder usw.)
  • nicht den (eigenen) Vor- oder Nachnamen
  • keine Personalnummern oder ähnliches
  • keine Datumsangaben (Geburtsdatum, Geschichtsdaten etc.)
  • nicht mehr als drei gleiche Zeichen in Folge (z.B. aaa4444bbb)
  • keine Wiederholungen von Zeichenfolgen (z.B. 123123123)
  • keine bekannten Kombinationen wie 0815, 4711 oder 32168
  • keine Leetsprache (L33t)

Grundsätzlich kann man sagen: wenn Sie sich ein Passwort leicht merken können, ist es kein gutes Passwort! Womit wir wieder beim Problem wären.

 

Wie verwaltet man all diese komplexen Passwörter?

 

Zum Aufbewahren Ihrer Passwörter nehmen Sie bitte nicht Ihre Geldbörse, sondern einen der Password-Manager als App oder Desktop Installation. Idealerweise mit einer Synchronisationsfunktion über alle Ihre Geräte, damit Sie stets Zugriff auf Ihre Passwörter haben und sie sich nicht merken müssen.

Diese helfen Ihnen nicht nur bei der Verwaltung, sondern auch bei der Erstellung neuer, starker Passwörter. Diese, zum Teil kostenpflichtigen, Passwort-Manager sind eine Investition, die sich am Ende auszahlt, wenn wir uns nur noch das Zugangspasswort merken brauchen. Bitte achten Sie auch bei diesen Tools darauf, Updates stehts zeitnah zu installieren. Nur so können eventuelle temporäre Sicherheitslücken geschlossen werden.

Häufig empfohlene und gut bewertete Passwort-Manager sind u.a.: LastPass, 1Password, Avira Password Manager, KeePass oder Dashlane. Es gibt noch einige mehr. Es empfiehlt sich, den Manager zu verwenden, welcher einem persönlich auch im Handling gut taugt.

 

Abschließend lässt sich festhalten, dass eine ständige Weiterbildung, Information und Sensibilisierung zu diesen Themen, privat und auch im beruflichen Kontext, überaus wichtig sind. Die Schulung der Mitarbeiter*innen in regelmäßigen Abständen ist unerlässlich.Wir unterstützen Sie bei Ihren Schulungsmaßnahmen im Rahmen Ihres Managementsystems. Dazu gehört unter anderem die Bereitstellung von Schulungsunterlagen zu unterschiedlichen Themen oder die Planung von Sensibilisierungskampagnen. Schreiben Sie uns an, wir sind für Sie da.

 

KONTAKT

 

 

Sie möchten weiter über wichtige Themen und Neuerungen informiert bleiben, dann melden Sie sich für unseren Newsletter an:

Newsletter

 

 

Urheber: Designer491von Getty Image Pro auf Canva

 

 

 

https://aware7.de/blog/ein-passwort-behalten?no_cache=1583503792

https://www-chip-de.cdn.ampproject.org/c/s/www.chip.de/news/Warum-Sie-Passwoerter-nicht-regelmaessig-aendern-sollten_180670112.html?layout=amp

https://www.sueddeutsche.de/digital/passwort-wechseln-bsi-1.4784293

https://www.xing.com/news/articles/gefahr-durch-cyberattacken-per-rdp-2930950

https://www.xing.com/news/articles/einfallstor-vpn-2914595

https://www.klicksafe.de/themen/datenschutz/privatsphaere/wie-sollte-ein-sicheres-passwort-aussehen/

https://www.wiwo.de/technologie/digitale-welt/cybersecurity-die-fuenf-gefaehrlichsten-hacker-strategien-2020/25357982.html

https://rp-online.de/digitales/internet/datenleck-mit-773-millionen-logins-so-ueberpruefen-sie-ob-sie-betroffen-sind_aid-35708953

https://www.com-magazin.de/news/sicherheit/hacker-trends-2020-2289797.html

https://threats.kaspersky.com/de/threat/Trojan.AndroidOS.Hiddad/

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.