Passwörter
 

Kurz gefasst

Passwörter, ein Grundelement der Computer-Sicherheit, ermöglichen Benutzern die Authentifizierung und den Zugriff auf eine persönliche Ressource oder einen speziellen Dienst.

Um das Risiko des Missbrauchs zu minimieren, muss es mit größter Sorgfalt ausgewählt werden und Sie sollten hierfür ein paar einfache Regeln berücksichtigen.

Mindestlänge: 10 Zeichen

Ein gutes Passwort besteht aus mindestens 10 Zeichen. Um die Komplexität des Passworts zu erhöhen, wird empfohlen, eine Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie Satzzeichen zu verwenden.

Leicht zu merken, schwer zu erraten

Das Passwort muss so gewählt werden, dass man es sich merken kann, ohne es auf ein externes Medium notieren zu müssen. Zudem soll es schwer von Dritten, sogar von Personen die Sie gut kennen, zu erraten sein (siehe: Social Engineering).

Vermeiden Sie auf jeden Fall:

  • ein Wort aus dem Wörterbuch (auch in einer Fremdsprache),

  • einen Vornamen,

  • Ihren Login,

  • eine Information aus Ihrem persönlichen Kontext (Vorname, Geburtstag, usw.).

Ein sicheres Kennwort besteht oft aus einem trivialen Satz. Sie können Präfixe, Suffixe oder Zeichen hinzufügen, um die Komplexität zu erhöhen. Beispiel eines Passworts : "...:::zwei Kühe auf dem Dach:::...".

Falls die Länge vorgegeben ist, erstellen Sie Ihr Passwort mit den jeweils ersten Buchstaben jedes Wortes eines Satzes. Dies ergibt, indem man den vorher benutzten Satz verwendet, für ein Passwort mit 9 Zeichen: .:zKadD:.

Zugeordnete Passwörter

Jedes Passwort muss einem bestimmten Zugang zugeordnet sein. Benutzen Sie unterschiedliche Passwörter für unterschiedliche Anwendungen, denn sonst kann der Cyberkriminelle im Fall eines Diebstahls (durch Phishing oder Shouldersurfing), Zugang zu verschiedenen Onlinediensten haben.

Je öfter Sie Ihr Passwort verwenden, umso besser werden Sie es sich merken. Wir raten Ihnen auch, Ihrem Browser nicht zu erlauben, Ihre Passwörter zu verwalten. Selten benutzte Passwörter können auch in einem speziellen Passwortspeicher wie etwa "keepass" verschlüsselt aufbewahrt werden.

Regelmäßig ändern

Es wird auch geraten, Passwörter von Zeit zu Zeit zu ändern. Die Änderungsfrequenz hängt von Ihnen ab. Wir glauben, dass es ist eine gute Übung ist, einmal jedes oder jedes zweite Jahre alle Passwörter zu ändern.

Natürlich sollten Sie ein Passwort ändern, falls Sie den Verdacht haben, dass es kompromittiert oder weitergegeben wurde.

Persönliche Nutzung

Ein Zugang per Passwort ist einem Namen zugeordnet. Ein Passwort darf nicht von mehreren Personen gemeinsam verwendet werden, und es darf unter keinen Umständen weitergegeben werden.

Denken Sie daran, dass vertrauenswürdige Organisationen Sie unter keinen Umständen jemals nach Ihrem Passwort fragen werden.

Austauschen von Passwörtern

Passwörter dienen dazu, Personen zu authentifizieren und Ihnen die vorgesehenen Ressourcen zur Verfügung zu stellen. Aus diesem Grund wird davon abgeraten, das Passwort an Kollegen weiterzugeben. Falls es aus Organisationsgründen (Spezialprogramme, die nur auf einer Maschine installiert sind) notwendig ist, einer Person wegen längerer Abwesenheit (Ferien, Krankheit), das Passwort weiterzugeben, wird vorgeschlagen, folgendermaßen vorzugehen:

  1. Das Passwort wird auf einem Zettel notiert, dann in einem mit Unterschrift versiegelten Umschlag einem Verantwortlichen übergeben.

  2. Falls eine autorisierte Person Zugang zum Passwort erhalten muss, wird das Öffnen des Umschlags mit dem Namen der autorisierten Person sowie dem Datum und der Uhrzeit dokumentiert.

  3. Sobald jene Person, deren Passwort weitergegeben wurde, zurückkehrt, ändert Sie das Passwort und hinterlegt es wie unter 1) beschrieben

Auf diese Weise kann die Person, deren Kennwort weitergegeben wurde, nicht haftbar gemacht werden für Aktionen, die während Ihrer Abwesenheit gemacht wurden. Außerdem ist auch immer klar, wer Zugang zu welchen Ressourcen hat.

Häufige Schwachstellen

Eine Authentifizierung ist für jeden User- und Administrator-Zugang auf Server und Programme notwendig. Es darf auch nicht der Zugriff auf die physikalischen Netzwerk-Elemente des Informationssystems wie beispielsweise die Router, Switches usw. vergessen werden.

Die Lösung "UserID und Passwort" ist noch immer die am meisten verbreitete. Diese gängige Authentifizierungslösung basiert auf einer Kombination aus einer vom Administrator bereitgestellten Kennung und einem vom Endbenutzer selbst festgelegten Passwort. Diese Lösung unterliegt diversen ihr innewohnenden Sicherheitslücken:

Existenz von Konten ohne oder mit nur schlechten Passwörtern

Für die Einrichtung eines Passwortes gibt es einige Qualitätskriterien, die beachtet werden sollten, um zu vermeiden, dass spezielle Softwareprogramme das Passwort innerhalb kürzester Zeit cracken können.

Vorhandensein standardmäßig installierter Benutzerkonten

Bei der Installation von Softwareprogrammen, wie etwa einem Betriebssystem, werden Standard-Benutzerkonten eingerichtet. Diese Konten verwenden ein Passwort, das allen Experten bekannt ist. Es liegt auf der Hand, dass diese Konten die ersten Ziele von übel gesinnten Personen sind. Es ist daher erforderlich, dieses Benutzerkonto durch ein zuverlässiges Passwort zu schützen.

Passwörter, die ihren geheimen Charakter verloren haben

Ein Passwort ist ein Geheimnis, das der Identifikation des Benutzers eines Kontos dient. Es folgt der gleichen Logik, wie die Eingabe einer PIN-Nummer an automatischen Bankschaltern. Leider kommt es jedoch viel zu häufig vor, dass Passwörter am Bildschirm angezeigt werden oder mehreren Personen bekannt sind.

Software, die Benutzerkonten zur internen Verwendung erstellt

Einige Programme erzeugen interne User, die zur Kommunikation mit anderen Systemkomponenten benötigt werden. Diese Kennungen und ihre Passwörter, die häufig wenig resistent oder sogar gar nicht vorhanden sind, sind dokumentiert und folglich allen Experten bekannt.

Inexistente oder schlechte Hash-Verfahren für Passwörter

Passwörter dürfen nur mit Hilfe einer irreversiblen Funktion wie etwa einer Hash-Funktion gespeichert werden. Es muss auch sichergestellt werden, dass das System eine starke Hashfunktion benutzt sowie zusätzliche Sicherheitsmaßnahmen zur Verfügung stellt, wie etwa die Zugabe eines "salt" oder das "stretching".

Speicherung von Passwörtern auf Workstations

Zahlreiche Programme, wie etwa der Browser, bieten die Möglichkeit, Passwörter zu speichern, so dass man sie nicht mehr eingeben muss. Es ist klar, dass trotz dieses praktischen Aspekts, von dieser Option dringend abgeraten wird.

Schwachstellen der Systeme

Schwachstellen in Programmen gestatten es Experten, sich in ein System einzuloggen, ohne das Passwort einzugeben. Es ist also sehr wichtig, stets alle seine Programme upzudaten und Intrusiontests auf im Unternehmen entwickelten Programme durchzuführen.

Mangelnde Überwachung oder Sperrung der Konten nach wiederholter fehlerhafter Passworteingabe

Die wiederholte fehlerhafte Eingabe von Passwörtern für ein und dasselbe Benutzerkonto ist ein deutliches Warnsignal für den Administrator.
Selbst wenn viele Systeme die Möglichkeit anbieten, Systeme nach wiederholter falscher Eingabe von Passwörtern zu sperren, wird dies sehr selten eingesetzt, was den Einsatz von Passwort-Crackingtools ermöglicht.

Passwort-Cracking

Authentifizizierungsmechanismen gehören seit jeher zu den am meisten ausgenutzten Schwachstellen.

Für derartige Attacken verwenden die Kriminellen spezielle Decodierungsprogramme, die auf zwei verschiedenen Technologien beruhen:

Der erschöpfende oder auch "brute-force" genannte Angriff.

Dieser Softwaretyp probiert alle Kombinationen aus. Die Kombinationen enthalten sowohl Hybrid- als auch alphanumerische Zeichen. Diese Lösung ist äußerst effizient, erfordert jedoch viel Zeit zum Cracken von komplexen Zeichenketten.

Einige dieser Tools wurden für spezifische Programme wie etwa Microsoft Word oder andere entwickelt.

Ab einer Passwortlänge von 10 Zeichen wird dieser Art von Angriff unbrauchbar, selbst unter optimalen Bedingungen.

Wörterbuchattacke

Bei dieser Art von Angriff wird das Angriffsprogramm alle Wörter einer Liste, Wörterbuch genannt, durchprobieren. Diese Programme werden oft auch Varianten der Wörter durchprobieren, indem sie zum Beispiel Buchstaben durch Zahlen ersetzen ("e" durch 3) oder Zahlen am Ende hinzufügen. Diese Methode ist viel schneller als die Brute-force-Methode, findet aber natürlich nur Passwörter, die auf einem Wort basieren.

Zusätzliche Tipps

Die nachfolgend aufgeführten Ratschläge gelten für die Nutzung der Berechtigungsprüfung per Benutzerkonto/Passwort. Diese Regeln sind von Ihnen in der Verwaltungssoftware so anzuwenden, dass sie automatisch auf alle erstellten Benutzerkonten angewandt werden.

Überprüfen Sie die Architektur des Informationssystems

Es ist äußerst wichtig, in regelmäßigen Abständen die Log-Protokolle zu überprüfen, um mögliche Zugriffsversuche durch unbefugte Personen zu erkennen.
Es ist genauso wichtig, die Liste der Benutzer einschließlich ihrer Profile und ihrer Rechte innerhalb des EDV-Systems, unter Berücksichtigung der Klassifikation, immer auf dem aktuellen Stand zu halten.

Limitieren Sie die Konten-Berechtigungen

Die Benutzerkonten des Typs "Administrator", die mit zahlreichen Rechten versehen sind, sind das bevorzugte Ziel von Piraten und Crackern. Es wird geraten, dieses Konto nicht für eine gesamte EDV-Abteilung oder Gruppe einzurichten, sondern entsprechende, den jeweiligen Anforderungen jedes Teammitglieds angepasste, Profile zu erstellen.

Im Betriebssystem Microsoft Windows ist es eventuell sogar erforderlich, alle Rechte des "Administrator"-Benutzerkontos einzuschränken und ihm ein sehr komplexes Passwort zuzuweisen. Anschließend reicht es aus, die Aufgaben auf andere, weniger sichtbare Benutzerkonten aufzuteilen. Auf diese Weise verschwenden Piraten/Cracker ihre Zeit auf einen Köder, der ihnen rein gar nichts ermöglicht. Dies ist jedoch unter Unix mit dem Benutzerkonto Root leider nicht möglich.

Alternativen

Robustere Authentifizierungsverfahren, wie sie etwa von LuxTrust (auf Public-key Infrastrukturen basierend) angeboten werden, oder  biometrische Verfahren stehen auch zur Verfügung. Der Vorteil dieser Lösungen besteht in der Beseitigung des Problems der Enthüllung von Passwörtern oder der Übertragung kritischer Daten über das Netzwerk. Leider können diese Lösungen sehr kostspielig und nur schwer zu implementieren sein.