Wie jedes Jahr gibt es aktuell Statistiken über die am häufigsten genutzten Passwörter in 2020. Wir haben uns Rankings angesehen und uns die Frage gestellt, warum unsichere Passwörter heutzutage überhaupt noch existieren.
Superman und Godzilla sind überall
Passwörter wie diese, oder Zahlenkombinationen wie 12345678, begegnen unseren Beratern laufend, egal wohin wir schauen: Zugänge zu sensiblen Datenbeständen, nicht für die Öffentlichkeit gedachtes Firmen-Know-how, von Administratoren vergebene Erstpasswörter für neu angelegte Benutzer.
Warum interessieren sich zu wenig Menschen und Organisationen für die Sicherheit Ihrer Zugänge?
Problem 1: niemand von Ihnen glaubt, wichtig genug zu sein, um ins Visier eines Betrügers zu gelangen.
Problem 2: Sie haben nach wie vor keine brauchbare Lösung, um sichere Passwörter im Alltag problemlos einzusetzen.
Bevor wir unsere Lösung für den Umgang mit Passwörtern vorstellen, schaffen wir das Missverständnis rund um Punkt 1 aus der Welt: Sie müssen nicht wichtig, reich oder berühmt sein, ins Visier von Internet-Betrügern zu geraten. Es interessiert einen Betrüger im ersten Schritt nicht, wem der Zugang gehört, den er gerade hackt. Das passiert automatisiert mit Software, die knackt, was zu knacken ist.
Natürlich gibt es gezielte Angriffe auf Personen oder Unternehmen. Das ist die absolute Ausnahme, und braucht in der Regel konkrete Anlässe und gute Kenntnisse. Die Masse der Hacking-Attacken greift Accounts von Personen an, die dem Betrüger unbekannt sind.
Ihr geschäftlicher E-Mail-Account wird zum Versand von Phishing-Mails oder Schadsoftware genutzt. Oder der Webserver Ihrer Firma zum Verbreiten von rechtswidrigen Inhalten verwendet.
In den meisten Fällen sind schwache Passwörter schuld. Ist die Komplexität Ihrer Passwörter mit „Superman“ und „Godzilla“ vergleichbar? Dann ist Ihr E-Mail-Account bei den Ersten, die eine solche Software mit einem grünen Haken versieht: geknackt.
Das ist brisant. Zum einen kann der Inhalt Ihres E-Mail-Accounts für Dritte äußerst interessant und für Sie schnell unangenehm werden. Zum anderen kann jeder, der ihren E-Mail-Account knackt, die Passwörter für andere Zugänge ändern. In Ihrem E-Mail-Postfach finden sich die besten Hinweise darauf, welche Accounts sie nutzen: Versandbestätigungen, Informationen über Dokumente zum Download und Ähnliches. Ein Betrüger gibt auf der entsprechenden Plattform Ihre E-Mail-Adresse ein und klickt auf „Passwort vergessen“. Den Link für die Änderung des Passwortes bekommt auf dem Silbertablett geliefert – direkt in Ihrem gehackten Postfach.
Wie wird ein Passwort sicher?
Das Passwort sollte in erster Linie eine ausreichende Länge und Komplexität aufweisen. Finden Sie zunächst heraus, wie sicher Ihre aktuellen oder künftigen Passwörter sind. Dafür können Sie beispielsweise einen Service auf der Webseite des Bayerischen Staatsministeriums für Digitales nutzen. Hier sehen Sie auf einen Blick, wie gut ein Passwort ist. Außerdem bekommen Sie hilfreiche Hinweise, um das Passwort noch sicherer zu machen. Das Tool finden Sie hier:
Wir haben für Sie herausgesucht, wie schnell Passwörter mit verschiedenen Strukturen geknackt werden können. Je länger das dauert, desto eher können Sie davon ausgehen, dass Ihr Account uninteressant wird.
Nehmen wir als Beispiel ein Passwort mit sechs Zeichen, das ein Sonderzeichen enthält. Dieses Passwort wird heute in unter einer Sekunde identifiziert. Sicher wird es erst, wenn Sie ein Passwort mit mindestens elf Zeichen wählen, wenn zwei davon Sonderzeichen sind. Es dauert drei Jahre, um dieses Passwort zu knacken.
Grundsätzlich legen wir Ihnen diese Regeln für Passwörter ans Herz:
• Verwenden Sie keine Wörter, die in einem Wörterbuch zu finden sind.
• Nutzen Sie Groß- und Kleinbuchstaben in Kombination.
• Bauen Sie auf jeden Fall Zahlen ein.
• Verwenden Sie Sonderzeichen, am besten gleich zwei.
• Die Passwortlänge sollte mindestens zwölf Zeichen umfassen.
Ausdenken und vergessen: Alternative Passwort-Manager?
Eine Möglichkeit, um komplizierte Passwörter im Alltag zu nutzen, ist der Einsatz eines Passwort-Managers. Wir würden Ihnen gerne eine klare Empfehlung dazu geben. Wir als Datenschutzberater damit allerdings mit Bauchschmerzen. Das Softwareangebot ändert sich laufend und macht es schwer, die für Sie beste Alternative zu empfehlen. Außerdem passt nicht jeder Passwort-Manager zu Ihren Anforderungen. Ein Handwerksbetrieb hat andere Anforderungen als ein IT-Dienstleister, der auch die Zugangsdaten zu Kundensystemen speichert. Es ist sinnvoll, Ihr IT-Systemhaus in die Auswahl mit einzubeziehen, um die passende Lösung zu finden.
Da jede Software Ihre Eigenheiten hat, sollten Sie bei der Auswahl eines Passwort-Managers besonders aufmerksam sein. Seien Sie grundsätzlich vorsichtig, wenn die hinterlegten Passwörter ausschließlich online gespeichert werden. Vertrauen Sie nicht jedem Tool, dessen Herkunft Sie nicht nachvollziehbar ist. Informieren Sie sich auf bekannten Testplattformen oder in Fachmagazinen über Alternativen. Schrecken Sie nicht davor zurück, eine Bezahlversion Ihres Wunsch-Passwort-Managers zu kaufen.
Unsere Lösung ganz ohne Technik: der Passwort-Satz
Für manche mag dieser Vorschlag wie ein „alter Hut“ klingen. Unserer Erfahrung nach erweist sich dieser simple Tipp in der Praxis als wahrer Tausendsassa. Wir selbst und unsere Kunden nutzen den Passwort-Satz im betrieblichen Gebrauch problemlos. Im Unternehmen geltende Passwortregeln lassen sich ebenfalls gut abbilden.
Sie brauchen dazu, wie der Name schon sagt, einen Satz. Das kann beispielsweise
Mit diesem Passwort hat der Betrüger 2020 keine Chance
sein. Nehmen wir die Anfangsbuchstaben und die Zahlen aus diesem Satz, lautet unser Passwort
MdPhdB2020kC
Damit sind wir auf einfache Weise bei einem Passwort mit zwölf Zeichen, Groß- und Kleinbuchstaben und Ziffern. Jetzt packen wir noch zwei Sonderzeichen dazu, beispielsweise die Raute am Anfang und ein Dollarzeichen nach der Zahl. Unser Passwort lautet
#MdPhdB2020$kC
Diese Lösung ist sicher. Allerdings brauchen wir mehrere Passwörter für unterschiedliche Zugänge. Wir passen den Satz an und nehmen den Namen des jeweiligen Onlinedienstes oder des Zugangs mit auf. Der Satz lautet dann:
Mit diesem Passwort hat der Betrüger 2020 Onlinedienst keine Chance
Hier steht „Onlinedienst“ für den Account, für den Sie ein Passwort generieren. Das Passwort lautet
#MdPhdB2020$ODkC
Um dieses Passwort zu knacken braucht unser Betrüger mehrere Millionen Jahre – das soll er uns erst einmal vormachen.
Sie werden sich diesen Passwort-Satz schnell merken, wenn Sie ihn in der Praxis für kurze Zeit benutzen. Dabei hilft uns die Tatsache, dass wir uns in der Regel nicht die Abfolge des Passwortes einprägen, sondern die Tippfolge auf der Tastatur.
Passwortwechsel: Schnee von gestern
Die Lebenserwartung eines Betrügers setzt dem Knacken dieses Passwortes natürliche Grenzen. Denken Sie getrost darüber nach, auf häufiges Wechseln des Passworts zu verzichten. Das ist für viele von Ihnen wahrscheinlich die beste Nachricht.
Ein starkes Passwort brauchen Sie nicht ständig zu wechseln. Diesen Schluss zieht auch das Bundesamt für Sicherheit in der Informationstechnik. Es hat die Empfehlung zum Passwortwechsel kurzerhand aus der jüngsten Ausgabe des BSI-Grundschutz-Kompendiums gestrichen. Hier finden Sie einem Artikel auf tagesschau.de, der das Thema leicht verdaulich begründet:
tagesschau.de – Passwortwechsel
Es gibt Zugänge, die einen regelmäßigen Passwortwechsel verlangen. Auch das lässt sich mit dem Passwort-Satz leicht lösen. Bauen Sie in den Satz anstelle der Jahreszahl einfach Counter ein. Starten Sie beispielsweise bei 01 und zählen Sie bei jedem Passwortwechsel hoch.
Unser Fazit
Lassen Sie sich beim Thema Passwort auf kein Risiko ein, das ist heute nicht mehr nötig. Es gibt mittlerweile gute Möglichkeiten, Ihre Logins und Zugänge auf praktikable Art und Weise zu sichern. Denken Sie daran, zusätzliche Möglichkeiten zum Absichern der Zugänge zu nutzen. Bei vielen Anbietern können Sie einstellen, nach wie vielen erfolglosen Login-Versuchen der Account zeitweise gesperrt werden soll. Der Einsatz der Zwei-Faktor-Authentifizierung ist gerade bei Banking-Zugängen oder dem E-Mail-Konto sinnvoll.
Das Thema „Passwörter“ ist auch einer der Punkte, die wir im Artikel „5 Punkte für mehr Sicherheit“ als wichtigste Faktoren für eine funktionierende IT-Sicherheit im Unternehmen vorgestellt haben.
Artikel „5 Punkte für mehr Sicherheit“
Wenn Sie mehr zum Thema Sicherheit für Ihr Unternehmen wissen möchten, vereinbaren Sie jetzt per E-Mail oder gleich telefonisch ein kostenfreies Erstgespräch mit unseren Security-Profis für KMU und Freiberufler.