Authentisieren, authentifizieren & autorisieren: Passwortsicherheit
Das Passwort ist und bleib der Klassiker unter den Zugangsmethoden, weshalb wir unsere kleine Serie zum Thema „Authentisieren, authentifizieren und autorisieren“ genau hier starten: Bei der Passwortsicherheit. Passwörter sind die älteste Möglichkeit, Rechner oder andere „Barrieren“ vor nicht autorisierten Zugriffen schützen zu können. Im heutigen Beitrag schauen wir nicht nur auf die Geschichte des Passworts, sondern erklären Ihnen, was es zu beachten gibt und welche Bedeutung die Passwortsicherheit in der heutigen Zeit hat.
Die Geschichte des Passworts
Man kann es kaum glauben, aber der Begriff des Passworts ist tatsächlich seit dem 16. Jahrhundert belegt. Passwörter sind also keine Erfindung der Neuzeit, die mit der Digitalisierung einfach ihren Weg nehmen musste, sondern sie stammen ursprünglich aus dem militärischen Bereich. Hier wurden einzelne Passwörter – oder auch Losungen oder Parolen – dazu verwendet, passieren zu dürfen. Eng verwandt damit ist der Begriff „Kennwort“. Hier ging es jedoch weniger darum, Gebäude, Räume oder Wege zu passieren, als eher um eine Kennung, ein gemeinsames Geheimnis.
In der heutigen Computerwelt ist aus dem einstigen Passwort eine Kombination aus Nutzernamen und Passwort geworden. Zunehmend etablierten sich auch die Begriffe „Passsatz“ oder „Passphrase“, um zu betonen, dass längere Passwörter mehr Sicherheit spendieren.
Passwortsicherheit: Verschiedene Passwort-Arten
Als persönliches oder normales Passwort werden Passwörter bezeichnet, die Nutzende einmal festlegen und die bis zu einer Änderung so gültig bleiben. Das Passwort ist einer einzelnen Person zugeordnet und diese Einzelperson sollte ihr Passwort geheim halten.
Als Gruppen- oder gemeinsam bekanntes Passwort werden Passwörter bezeichnet, die einer klar definierten Gruppe zugeordnet sind. In Ihrem Unternehmen nutzt beispielsweise die Personalabteilung ein derartiges Gruppenpasswort, während der Vertrieb ein anderes Gruppenpasswort verwendet. Man bezeichnet diese Art auch als „Shared Secret“.
Das Kürzel PIN steht für persönliche Identifikationsnummer und ist ein Passwort, welches ausschließlich aus Ziffern besteht. Sie kennen die Eingabe der PIN vom Bank-Automaten genauso wie vom Neustart Ihres Smartphones. Bei einer PIN handelt es sich in aller Regel um ein persönliches Passwort, es sollte also von der Einzelperson geheim gehalten werden.
Eine weitere Form ist das One-Time-Password (OTP) bzw. Einmalpasswort. Dieses lediglich einmal zur Authentifizierung zu nutzende Passwort wird nach dem Login-Vorgang ungültig. Das kann die Sicherheit erhöhen, da das Passwort verfällt, auch wenn es während des Authentifizierungsvorgangs ausgespäht werden sollte. Sie kennen Einmalkennwörter als Transaktionsnummern (TAN) beim Online-Banking oder durch Authenticator, bei denen Ihrem Passwort ein Einmalpasswort hinzugefügt wird.
Wie Sie sehen, hat sich das Passwort in hunderten von Jahren etabliert. Heute ist die Kombination einer Kennung wie Ihres Nutzernamens oder Ihrer E-Mail-Adresse zusammen mit einem sicheren Passwort das gängigste Login-Verfahren. Jedoch gab es in jüngerer Zeit Entwicklungen, die dazu führen, dass der Login per Kennung und Passwort noch sicherer gestaltet werden kann. Dazu gehören mehrere Faktoren oder die eben erwähnten Session-Kennwörter, die dem persönlichen Passwort angehängt werden.
Sicheres Passwort wählen
Es ist kein Hexenwerk, ein sicheres Passwort auszuwählen – bei genauer Betrachtung hindert einen eher die Bequemlichkeit daran, denn sichere Passwörter sind nicht leicht zu merken. In unserem Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“ sind wir schon ausführlich darauf eingegangen, was ein Passwort braucht, um als sicher zu gelten. An dieser Stelle gehen wir deshalb nur auf die wichtigsten Punkte ein:
- Zeichenlänge: Grundsätzlich gilt hier: Je länger, umso sicherer. Ein sicheres Passwort hat mindestens acht, idealerweise aber 12 oder gar 14 Zeichen.
- Komplexität: Je komplexer Ihr Passwort, umso sicherer können Sie es einsetzen. Nutzen Sie Groß- und Kleinbuchstaben genauso wie Ziffern und Sonderzeichen.
- Ein Passwort, ein Dienst: Setzen Sie für jeden Dienst ein anderes Passwort ein, nutzen Sie nie mehrere Dienste mit demselben Passwort. Denn: Sollte Ihr Passwort bei Dienst A kompromittiert werden, wäre es ein Leichtes für Cyberkriminelle, sich mit denselben Zugangsdaten bei Dienst B einzuloggen.
- Keine Informationen: Achten Sie darauf, dass Ihr Passwort keine Informationen enthält. Weder Namen noch Geburtsdaten oder Wörter, die im Duden zu finden sind, sollten Bestandteil des sicheren Passworts sein.
Übrigens: Vor einigen Jahren wurde noch ein regelmäßiger Passwortwechsel propagiert. Diese Überlegungen zum Passwortwechsel, der mindestens einmal jährlich stattfinden sollte, haben sich heute etwas geändert: Setzen Sie auf ein wirklich sicheres Passwort, kann ein regelmäßiger Wechsel die Sicherheit eher untergraben. Denn aufgrund dieses Wechsels ist man bei der Passwortwahl nicht mehr ganz so streng mit sich selbst. Sinnvoller ist es, sich je Dienst ein wirklich sicheres Passwort auszuwählen und dieses dann beizubehalten. Tools erlauben es, zu prüfen, ob Passwörter kompromittiert wurden. Solange Ihr wirklich sicheres Passwort, welches aus 14 Zeichen einschließlich Sonderzeichen, Ziffern und Groß- und Kleinbuchstaben besteht, nicht kompromittiert wurde, sollten Sie es behalten.
Brute-Force-Angriffe untergraben Passwortsicherheit
Mit „roher Gewalt“ (brute force) versuchen Cyberkriminelle durch Brute-Force-Attacken, Passwörter herauszufinden. Das geschieht computergestützt, indem wahllos verschiedene Passwörter ausprobiert werden. Klar: Je mehr die Kriminellen testen können, umso höher ist die Wahrscheinlichkeit, einen Treffer zu landen. Genau hier ist der Punkt, der zeigt, wie wichtig es ist, die Passwortsicherheit ernst zu nehmen: Mit steigender Komplexität Ihres Passworts benötigen Angreifende deutlich mehr Zeit. Setzen Sie auf lange und komplexe Passwörter, auf ein Begrenzen von Login-Versuchen und auf lange Schlüssel, können Sie die Erfolgsaussichten von Brute-Force-Attacken deutlich schmälern.
Was passiert bei leicht zu erratenden, nicht komplexen Passwörtern? Häufig verwenden Kriminelle ergänzend Wörterbücher, die typische schwache Passwörter wie „admin“, „passwort“ oder „123456“ enthalten. Man bezeichnet diese Form des Brute-Force-Angriffs auch als „Dictionary Attack“. Nicht komplexe Passwörter steigern also die Erfolgsaussichten der Angriffe und vermindern den Zeitaufwand zum Herausfinden des Passworts immens.
Passwortsicherheit als Teil der Sicherheitsstrategie
Brute-Force-Attacken zu verhindern, ist nicht so komplex: Nutzen Sie sichere Passwörter mit hoher Komplexität und verschiedenen Zeichen. Begrenzen Sie dazu noch die Anzahl möglicher Login-Versuche und wählen Sie idealerweise mindestens einen zweiten Faktor – beispielsweise ein Einmalkennwort, welches dem sicheren Passwort angehängt wird.
Das Passwort jedenfalls hat sich als Zutrittsschranke einst im Militär, heute auch in der IT etabliert. Aufgrund der perfiden Methoden, auf die Hacker heute zurückgreifen, wird das Passwort mittlerweile durch weitere Sicherheitsschranken erweitert. Diese Erweiterungen – etwa Biometrie oder Mehr-Faktor-Authentifizierung – stellen wir Ihnen in gesonderten Blogbeiträgen vor.
Schreibe einen Kommentar