Ist Passwortsicherheit heute noch möglich?

Schon einmal den Namen Troy Hunt gehört? Der Australier ist der Gründer der Webseite Have I Been Pwned?, auf der Nutzer seit 2013 kostenlos überprüfen können, ob ihre E-Mail-Adresse in der Vergangenheit gehackt wurde. In seinem Blog hat Hunt nun mitgeteilt, in einem Untergrundforum eine Sammlung von Millionen E-Mail-Adressen und Passwörtern entdeckt zu haben. Insgesamt würde der Collection #1 genannte Datensatz 772.904.991 einmalige E-Mail-Adressen und 21.222.975 einmalige Passwörter enthalten – für jeden im Klartext einsehbar. Hunt vermutet, dass die betroffenen Daten wohl vorrangig für Zwecke des Credential Stuffing verwendet werden, bei dem sich Cyberkriminelle Zugang zu gleich mehreren Konten eines Nutzers verschaffen wollen. Mittlerweile wurden die Daten der Collection #1 in Have I Been Pwned? eingepflegt, sodass Nutzer in Sekundenschnelle herausfinden können, ob ihre E-Mail-Adresse Teil des riesigen Daten-Leaks ist oder nicht.

Viele fragen sich: Have I Been Pwned?

Doch siehe da? Nur wenige Tage später erhöht sich mit Bekanntwerden der Collections #2 bis 5 die Zahl der öffentlich einsehbaren Daten nochmals enorm. Jetzt ist von unfassbaren 2,2 Milliarden E-Mail-Passwort-Kombinationen die Rede. Zwar werden die “neuen” Daten der Collections #2 bis 5 noch nicht von Have I Been Pwned? berücksichtigt, dafür aber vom Identity Leak Checker des Hasso-Plattner-Institut.

Ihre E-Mail-Adresse ist tatsächlich betroffen? Dann heißt es jetzt: Nicht lange zögern und Passwort ändern. Nur wie geht man dabei am besten vor?

USA als Vorbild für Passwortsicherheit

Meinungen darüber, wie ein sicheres Passwort auszusehen hat, gibt es viele. Als Nonplusultra in der IT galten lange Zeit die Regeln des National Institute of Standards and Technology (NIST) aus dem Jahr 2003, darunter die Empfehlungen Passwörter im 90-Tage-Zyklus abzuändern oder zufällige Zeichen- und Symbolfolgen zu verwenden. Der Verfasser des NIST-Regelwerks, Bill Burr, gestand in einem Interview mit CBS News ein, viele der damaligen Ratschläge heute zu bereuen. So sei es zum Beispiel besser, längere Phrasen oder Ähnliches als Passwort auszuwählen, anstatt – wie damals empfohlen – auf willkürlich zusammengestellte und dadurch schwer zu merkende Kombinationen zu vertrauen. Und auch das regelmäßige Wechseln von Passwörtern ist laut Burr aus heutiger Sicht überholt – es sei denn natürlich, es wird ein Hacker-Angriff vermutet. Zur Verteidigung Bill Burrs wollen wir jedoch an dieser Stelle anmerken, dass die Zeit vor 16 Jahren noch eine andere war (Hacker-Angriffe standen damals nicht an der Tagesordnung) und natürlich ist man im Nachhinein auch immer schlauer. Auch das NIST hat den Änderungsbedarf erkannt und die Richtlinien 2017 grundlegend überarbeitet.

So viel zum damaligen Standpunkt der Passwortsicherheit. Aber was zeichnet ein gutes Passwort denn nun aus?

Das perfekte Passwort

...gibt es nicht. Wer sich allerdings an einige simple Regeln hält, senkt die Wahrscheinlichkeit, gehackt zu werden, um ein Vielfaches.

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat grundlegende Regeln zur Passwortgestaltung definiert:

  • Entscheiden Sie sich für ein Passwort, das nicht leicht zu erraten ist. Das heißt, es sollte unbedingt auf die Verwendung von Namen, Geburtsdaten, KFZ-Kennzeichen oder anderen persönlichen Daten verzichtet werden.
  • Ihr Passwort sollte bestenfalls Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen beinhalten, mindestens jedoch zwei der vier genannten Zeichenarten.
  • Finden Sie das richtige Maß an Komplexität. Während zu simple Passwörter einfach zu knacken sind, sind zu komplizierte Varianten nur schwer zu merken.
  • Bei alphanumerischen Passwörtern ist eine Mindestlänge von acht Zeichen angebracht.
  • Reine Ziffernpasswörter sollten aus mindestens sechs Zeichen bestehen. Wird das Passwort mehrmals falsch eingegeben, wird empfohlen, den Zugang zu sperren.

Punkt 4, die Passwortlänge, zählt ebenfalls für Experten abseits des BSI als wichtiger Parameter bei der Passwortgestaltung. Ein Großteil ist sich sicher, dass ein möglichst langes Passwort, zum Beispiel ein kompletter Satz, mehr Wirkung zeige als ein komplexes. Auch das NIST vertritt heute die Meinung, dass ein aus vielen Zeichen bestehendes Passwort zur Sicherheit maßgeblich beiträgt. In den aktualisierten Vorgaben des US-Instituts wird deshalb sogar eine Obergrenze von mindestens 64 Zeichen gefordert, um den Nutzern genügend Spielraum bei der Passwortgestaltung zu gewähren. Doch bereits zwölf statt acht Zeichen sorgen für ein Mehr an Passwortsicherheit.

No-Go am Arbeitsplatz: Passwörter hinterlegen

Auch heute noch häufig zu beobachten: Passwörter werden auf einem Zettel notiert und mehr oder minder prominent am Arbeitsplatz verwahrt, zum Beispiel am Bildschirm, in Schubladen oder unter der Tastatur. Es ist zwar nachvollziehbar, dass es bei der Menge an Passwörtern für verschiedene Dienste schwer fällt, sich jedes einzelne zu merken, wer jedoch derart fahrlässig handelt, gefährdet nicht nur seine Sicherheit, sondern auch die des gesamten Unternehmens.

Die bessere Lösung: Passwort-Manager. Über ein solches Programm können sämtliche Zugangsdaten Ihres Unternehmens bzw. eines einzelnen Mitarbeiters kinderleicht verwaltet werden. Der Nutzer muss sich nur noch das Master-Passwort merken (welches natürlich mit besonderer Bedacht gewählt werden sollte), um auf den Passwort-Manager zugreifen zu können.

Erweiterter Schutz dank Zwei-Faktor-Authentisierung

Kein Passwort der Welt kann hundertprozentigen Schutz bieten – so sieht leider die Realität aus. Wer sich trotz durchdachtem Passwort noch nicht ganz sicher fühlt, sollte über die sogenannte Zwei-Faktor-Authentisierung (2FA) nachdenken. Dabei wird für ein erfolgreiches Login ein zweiter Faktor im Anmeldeprozess abgefragt, das heißt, zusätzlich zu Benutzernamen bzw. E-Mail-Adresse und Passwort wird eine weitere Information verlangt. Häufig ist dies ein Code, den der Nutzer zum Beispiel auf sein Smartphone geschickt bekommt, nachdem er sich anmeldet. Hierin liegt auch der Vorteil der 2FA: Trotz Kenntnis über die Anmeldedaten, haben die Hacker in aller Regel keinen Zugriff auf das Gerät, auf das der Code gesendet wird – eine Anmeldung wird damit unmöglich. Übrigens: Auch bei unserer Domain Management Software AutoDNS setzen wir seit Jahren auf den Einsatz der Zwei-Faktor-Authentisierung.

Sicheres Surfen im Netz ist und bleibt ein wichtiges Thema. Dabei sollte natürlich auch Passwortsicherheit bedacht werden. Es reicht schon aus, wenige Vorgaben bei der Passwortgestaltung zu beachten, um die Wahrscheinlichkeit, Hackern zum Opfer zu fallen, deutlich zu minimieren. Moderne Möglichkeiten, wie Passwort-Manager und die Zwei-Faktor-Authentisierung, tragen dazu bei, Passwortsicherheit im Unternehmen zu verankern.