Ein sicheres Passwort spielt eine wichtige Rolle, um bei der Zutrittskontrolle in die Unternehmens-IT die Cyber Security zu gewährleisten. Es hat die Aufgabe, Unbefugte vom Zugang in die Unternehmens-IT oder in bestimmte Bereiche der IT fernzuhalten. Mitarbeitende müssen deshalb Zugangsdaten auswählen, die für Cyberkriminelle nicht leicht zu erraten sind. Denn Hacker nutzen systematische Vorgehensweisen, um «schwache» Login-Daten zu ermitteln.
Schlechte Passwörter sind leicht zu erraten. Hacker haben bei solchen Login-Daten ein leichtes Spiel in die Unternehmens-IT einzudringen. Ein Penetrationstest1 zeigte, dass sich ganze 60% aller getesteten Passwörter mit relativ geringem Aufwand erraten lassen. Unternehmen müssen daher alles daran setzen, einfach zu ermittelnde Zeichenkombinationen bei der Wahl des Passworts zu vermeiden. Nur so lässt sich ein wirksamer Beitrag an die Cyber Security leisten.
Was sind oft genutzte und einfach zu erratende Passwörter?
- Zahlenreihe in numerischer Reihenfolge, wie «123456» oder «123123» etc.
- Einfach zu erratende Ziffernfolgen oder Buchstabenfolgen wie «111111», «abc123»
- Beliebte Sportarten wie «Fussball»
- Alltagsgegenstände wie «Zwieback»
- Buchstabenfolgen gemäss Tastaturlayout, wie «qwertz» oder «asdf»
- Variationen des Worts «Passwort» oder «Password»
- Aktuelle Jahreszeit, aktuelles Jahr oder eine Kombination davon, wie «Sommer2023!», «Q22023!» oder «Juni2023!»
- Existierende Namen aus dem Umfeld des Nutzers
- Hobby des Nutzers
- Beliebte Worte oder Sätze wie «dragon», «iloveyou», «monkey», «hallo» etc.
Wie Angreifer schwache Passwörter mutieren, um Zugriff auf die IT zu erhalten
Wenn Kennwörter schwach sind, ist es für Angreifer einfacher diese zu erraten. Um das Passwort zu identifizieren wenden sie verschiedene Wortmutationen an.
- Grossschreibung des ersten Buchstabens eines Wortes
- Überprüfung aller Kombinationen von Gross-/Kleinbuchstaben für Wörter
- Einfügen einer Zahl nach dem Zufallsprinzip in das Wort
- Platzieren von Zahlen am Anfang und Ende der Wörter
- Das gleiche Muster an beiden Enden setzen, wie <foobar>
- Ersetzen von Buchstaben wie «o» und «i» mit Zahlen wie «0» und «1»
- Punktieren der Enden von Wörtern, wie z. B. Hinzufügen eines Ausrufezeichens
- Duplizieren des ersten Buchstabens oder aller Buchstaben in einem Wort
- Kombinieren von zwei Wörtern
- Hinzufügen von Satzzeichen oder Leerzeichen zwischen den Wörtern
- Einfügen von «@» anstelle von «a»
Um die Cybersicherheit im Unternehmen nicht zu gefährden, ist es deshalb wichtig die Mitarbeitenden über die Bedeutung und die Wahl von sicheren Passwörtern an Schulungsveranstaltungen zur Cyber Security zu schulen.
Welche Regeln zur Wahl von sicheren Passwörtern sollen für die Mitarbeitenden gelten?
- Sichere Passwortlänge wählen: mehr als 12 Zeichen
- Keine persönlichen Informationen anwenden (z.B. keine persönlichen Daten wie Geburtstage, Namen von Familienmitgliedern oder Haustieren)
- Die ersten Buchstaben der Wörter eines Fantasiesatzes statt eins einzelnen Worts für das Passwort wählen
- Für unterschiedliche Zugänge verschiedene Passwörter verwenden
Im Beitrag 8 Regeln für den sicheren Umgang mit Login-Daten erfahren Sie mehr über den Einsatz von wirkungsvollen und sicheren Login-Daten. Auch gilt es, in der Unternehmens-IT system- und technikseitig die richtigen Voraussetzungen zu schaffen, um die Passwortsicherheit zu erhöhen.
Titelbild: Shutterstock
Quellen: 1 rapid7
.png){kind=icon}
