Sichere Passwörter – warum sich der Aufwand für den Passwortschutz lohnt

Ernste Fragen an Dich selbst:

a) Haben Deine Passwörter mindestens 15 Zeichen und beinhalten Sonderzeichen?
b) Wechselst Du Dein Passwort alle 6 Monate oder häufiger?
c) Nutzt Du für jeden Dienst ein anderes Kennwort?

Wenn schon eine der Fragen ein “nein” als Antwort hat gibt es eine Herausforderung:

Entweder kann das Passwort in kurzer Zeit errechnet/ erraten werden oder ein Programm (Key-Logger oder Screenshots Capture, unverschlüsselte Passwort-Übertragung etc.) liest das Passwort mit. “Aber was will einer schon mit meinem Kennwort für mein E-Mail Programm?” oder “Ich habe nichts zu verbergen” wir der eine oder andere jetzt sagen, aber so einfach ist es leider nicht. Jetzt geht es erst los:

Das Kennwort gibt einem Angreifer nun auch die Möglichkeit auf das Facebook Profil zuzugreifen und detaillierte Informationen über das Opfer und deren Freunde zu sammeln. Schlimmsten Falls werden Nachrichten in seinem Namen veröffentlicht die den Ruf schädigen können.

Ähnliches mit Twitter, Google+,  Tumblr… usw.

Abhilfe schafft hier eine sichere zwei- Faktor-Authentifizierung (2FA). Damit wird für jeden Anmeldevorgang ein Passwort erstellt, das auch nur für diese eine Anmeldung gültig ist. Sollte ein Angreifer dieses speichern ist es “egal” da er es nicht noch einmal verwenden kann.

Entweder erhält man das neue Passwort durch eine App (z. B. Google Authenticator) / eine Software / per SMS / per Mail oder über einen Hardware Token (ein kleines Gerät am Schlüsselbund mit einem kleinen Display).

Richtig sinnvoll wird es dann, wenn der Dienst (Webmail,Twitter, Facebook etc.) es unterstützt, dass man sein Kennwort und zusätzlich das Einmal-Kennwort verwendet, um die Anmeldung durchzuführen. Vorteil: wenn jemand den Hardware Token entwendet und den Benutzernamen kennt, muss der Angreifer ebenfalls das geheime Kennwort des Benutzers kennen. Das sind insgesamt drei Bestandteile die dynamisch (Passwort) und zum Teil extrem dynamisch (einmal gültiges Passwort) und somit extrem schwer zu bekommen sind.

Dienste wie Google und Twitter bieten diese technischen Möglichkeiten bereits jetzt (teilweise aus schlechten Erfahrung [Pressemeldung Heise]). Diese sind für den Privatgebrauch auch durchaus zu empfehlen und verbesserten Schutz um ein Vielfaches.

Für Unternehmen gibt es verschiedene Lösungen am Markt, die es ermöglichen den Algorithmus zur Berechnung der Kennwörter im eigenen Haus zu schützen, so dass dieser nicht entwendet werden und bei Bedarf geändert werden kann.

Ein Beispiel hierfür ist Safenet/Gemalto SAM.

Und ja – es ist aufwendiger ein weiteres Passwort einzugeben, aber egal was man verwendet, diese zusätzliche Hürde bringt ein vielfaches mehr an Sicherheit.

Update 24.06.2015: Der 24.06. ist nicht nur mein Namenstag, sondern auch: „Tag der Passwortsicherheit“. So etwas kann kein Zufall sein 🙂
Quelle: http://www.it-business.de/marktforschung/studien/articles/494622/

Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInPin on PinterestShare on TumblrBuffer this pageEmail this to someone