Obwohl es heute hinreichend bekannt sein sollte, dass Passwörter hohen Sicherheitsansprüchen genügen müssen, wählen Nutzer immer noch einfach zu erratende Zeichenfolgen und gefährden so die Cyber Security des Unternehmens. Doch was zeichnet eigentlich ein wirkungsvolles Passwort aus?
Login-Daten mit hohem Sicherheitsrisiko
Zur Analyse der Login-Daten wurden 1 Milliarde Nutzerkonten überprüft, die aus 31 Datenlecks stammen. Unter den gehackten deutschen Top-10 finden sich einfach zu erratende Kombinationen, wie «123456» (meistgenutzt), «hallo», «passwort», «hallo123» oder Zeichenkombinationen wie «qwertz» gemäss der Tastenreihenfolge auf der Computertastatur. Bei diesen einfach vorhersehbaren Passwörtern, ist es für Cyberkriminelle ein leichtes Spiel in ein Computersystem einzudringen.
Was für die Wahl eines sicheren Passworts wichtig ist, gilt auch für Nutzernamen. Oft verwendete Bezeichnungen, wie «administrator», «userid», «user1» oder «demo», sind Angreifern bestens bekannt und stellen daher ebenfalls ein Sicherheitsrisiko dar.
Was sind wirkungsvolle Login-Daten?
Die Zugriffsdaten sind dann wirkungsvoll, wenn sie den Zugang für Unbefugte tatsächlich verhindern. Um dies zu erzielen, müssen sie von den Mitarbeitenden so angelegt und aufbewahrt werden, dass sie ausschliesslich dem autorisierten Nutzer selbst den Zugang zu den entsprechenden Daten oder IT-Umgebungen ermöglichen. Mit folgenden 8 Regeln erhöhen Sie die Sicherheitsstufe von Passwort und Nutzernamen und damit die Cyber Security im Unternehmen:
1. Sichere Passwortlänge wählen
Sichere Passwörter haben eine Länge von mehr als 12 Zeichen (ideal sind mindestens 20).
2. Keine persönlichen Informationen anwenden
Persönliche Angaben sind für professionelle Angreifer einfach zu ermitteln. Login-Daten sollen daher keine persönlichen Informationen wie Geburtsdaten, Namen von Familienmitgliedern, Haustieren oder Sportarten enthalten.
3. Lange Passwörter wählen (Fantasiesätze)
Als sichere Passwörter gelten ganze Sätze mit mehreren Wörtern, die Ausdruck eines Fantasiebilds des Nutzers sind und gleichzeitig keine Beziehung zu seinem Umfeld haben. Etwa «3 Elefanten tanzen im Schnee». Nach neuesten Erkenntnissen soll darauf verzichtet werden, den Einsatz von Sonderzeichen (*, &, !, $ usw.) im Passwort einzufordern, denn dies führte dazu, dass Nutzer die Sonderzeichen als Platzhalter für Buchstaben einsetzten. In der Folge verwendeten sie einfach zu erratende Wörter und statteten diese mit ein zwei Sonderzeichen aus, in der falschen Meinung auf diese Weise eine hohe Sicherheitsstufe zu erzielen. Als Alternative lassen sich von einem langen Fantasiesatz die jeweiligen Anfangsbuchstaben als Passwort nehmen.
4. Verschiedene Passwörter verwenden
Für verschiedene Zugänge sind unterschiedliche Passwörter zu wählen. Kein Passwort mehrfach verwenden.
5. Passwörter nur in Ausnahmefällen ändern lassen
Wenn Nutzer aufgefordert werden, das Passwort zu erneuern, neigen sie gemäss neuesten Erkenntnissen dazu, unsichere Passwörter zu wählen, die sie sich leicht merken können und einfach zu erraten oder zu errechnen sind. Von einem zwingenden regelmässigen Wechsel des Passworts nach einer gewissen Zeitspanne wird daher gemäss neuesten Empfehlungen abgeraten. Ausnahme von dieser Regel ist ein erkannter Missbrauch des Passworts durch Unbefugte – in diesem Fall ist das Passwort umgehend durch ein neues ersetzen zu lassen.
6. Passwort Manager nutzen
Damit sich Mitarbeitende nur ein einziges Passwort merken müssen, empfiehlt sich der Einsatz eines Passwort Managers wie Pleasant Password Server.
7. Eigenen Nutzernamen überprüfen
Wenn als Nutzername aufgrund der gewählten IT-Plattform die eigene E-Mail-Adresse verwendet werden muss, sollte deren Sicherheit überprüft werden. Mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts lässt sich ermitteln, ob die eigene E‑Mailadresse in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte.
8. Login-Benachrichtigung aktivieren
Die Login-Benachrichtigung informiert via SMS oder E-Mail, wenn sich jemand mit dem eigenen Nutzernamen Zugriff verschafft.
Eine noch höhere Sicherheitsstufe wird erreicht, wenn eine Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Diese kombiniert die Login-Daten mit einem zusätzlichen Passcode, der sich bei jedem Login ändert und zur erhöhten Sicherheit via SMS auf das eigene Mobiltelefon übermittelt wird.
Die konsequente Umsetzung dieser Regeln ist massgebend, um die eine hohe Cyber Security im Unternehmen zu gewährleisten. Regelmässige Schulungsveranstaltungen dienen dazu, die Mitarbeitenden darauf zu sensibilisieren und klare Handlungsanweisungen zu vermitteln. Um die technischen Voraussetzungen bereitzustellen lohnt es sich, einen Managed IT Services Anbieter mit entsprechender Expertise beizuziehen.
Titelbild: Shutterstock