Skip to main content, zum Hauptinhalt springen
 
 
 
 

Was sind sichere Passwörter?

Immer wieder taucht bei unseren Kunden die Frage nach einem sicheren Passwort auf. Dabei sind die Vorgaben für sichere Passwörter ständigen Änderungen unterworfen.

Die Sicherheit von EDV-Anlagen ist wichtig!

Die Anforderungen an sichere Passwörter ändern sich laufend, hauptsächlich bedingt durch den ständigen technischen Fortschritt.

 

Einerseits werden die Methoden zum Knacken von Passwörtern ständig weiterentwickelt, andererseits wird auch die Hardware ständig leistungsfähiger, wodurch selbst verschlüsselte Passwörter, die eine bestimmten Zeichenanzahl unterschreiten heutzutage bereits auf vergleichsweise schwachen Heimcomputern schon in relativ kurzer Zeit berechnet werden können. Hinzu kommen natürlich diverse offengelegte Sicherheitslücken.

 

Benutzernamen? Auch diese sind Teil der Sicherheit!

Bevor wir uns der Thematik der Passwörter widmen müssen wir kurz auf die Bedeutung von Benutzernamen eingehen.

Häufig treffen wir auf "generische" Benutzernamen, wie zum Beispiel "admin", "redakteur" oder "editor1". Auch derartige Benutzernamen gefährden die Sicherheit Ihrer Webapplikation, da diese leicht zu erraten sind und in den automatisierten Scripts der Hacker/Cracker berücksichtigt werden. Verwenden Sie daher nach Möglichkeit keine solchen generischen Namen, sondern identifizieren Sie Ihre Nutzer mit "echten" Namen. Dann wird es schon viel schwieriger, die richtige Benutzernamen/Passwort Kombination zu erraten!

Außerdem sollten Sie in Betracht ziehen, jedem Benutzer auch eine E-Mail Adresse zuzuordnen. Nur so können Sie gegebenenfalls Nutzer verständigen, wenn verdächtige Aktionen mit deren Benutzerkonten ausgeführt werden.

 

Kriterien für sichere Passwörter

Ein gutes Passwort erfüllt nach unserer Einschätzung zur Zeit folgende Kriterien:

  1. Mindestens 16 Zeichen lang
  2. Aus jeder der folgenden Zeichengruppe sollte zumindest ein Zeichen gewählt werden:
    • Großbuchstaben
    • Kleinbuchstaben
    • Ziffern
    • Sonderzeichen
  3. Auf keinen Fall dürfen allgemein bekannte Daten im Passwort vorkommen. Also beispielsweise Ihr Name, der Name Ihrer Kinder, Geburtsdaten etc...
  4. Verwenden Sie Passwörter nicht zweimal! Sollte ein bestimmter Zugang kompromittiert werden, müssen Sie nicht gleich alle anderen Zugänge ebenfalls bearbeiten.

 

Passwort Generator verwenden!

Idealerweise verwenden Sie einen Passwort-Generator. Mit den richtigen Einstellungen, sind diese Passwörter dann relativ sicher. Allerdings sollten Sie unbedingt Passwort-Generatoren vermeiden, die Sie online auf einer Webseite verwenden können. Sie haben ja letztlich keinerlei Kontrolle darüber, was mit dem von Ihnen generierten Passwort geschieht. So könnte das Passwort beispielsweise gespeichert werden, und dann in die einschlägigen Datenbanken (Rainbow Tables) wandern, die für Brute-Force- bzw. Wörterbuch-Attacken verwendet werden! Außerdem ist es in den meisten Fällen sehr einfach möglich, auf der jeweiligen Webseite Ihren Browserverlauf abzugreifen, und in der weiteren Folge könnte dann sogar der Dienst ermittelt werden, für den Sie das Passwort generiert haben!

Ähnliche Bedenken muss man für Webseiten anführen, die angeblich die Sicherheit Ihrer Passwörter testen wollen. Sinnvollerweise verwenden Sie für derartig hochkritische Aufgaben ein Desktop-Programm aus hochvertraulicher Quelle, am besten sollte die Software auch im Quelltext vorliegen, so können Experten durch Einsicht der Quelle feststellen, ob das Programm weitere versteckte Zusatzfunktionen aufweist, oder nicht. Auch der Algorithmus zur Bestimmung der Sicherheit kann so auf seine Plausibilität überprüft werden.

 

Empfehlung: KeepassXC

Daher empfehlen wir Ihnen die Software KeepassXC. Diese können Sie lokal installieren, und Sie haben nicht nur die Möglichkeit Passwörter zu generieren, sondern können diese auch gleich in einer verschlüsselten Datei speichern! So können Sie bequem für jeden Zugang ein eigenes Passwort generieren, und müssen sich dieses auch nicht merken. Sie müssen sich lediglich ein möglichst sicheres Passwort für Ihre KeepassXC Datenbank ausdenken und merken. Dieses sollten Sie eventuell auch notieren und in einen Tresor legen! Sollten Sie es vergessen, sind Ihre Daten mit ziemlicher Sicherheit verloren!

 

Passwörter eintippen ist unsicher!

Zusätzlich haben Sie dabei den Vorteil, daß Sie die Passwörter dann nicht mehr tippen müssen, was ein nicht zu unterschätzender Sicherheitsvorteil ist!

Wenn Sie beispielsweise bei einem Vortrag oder auf offener Straße ein Passwort eintippen, kann das mit den heutigen Smartphones praktisch jeder völlig unbemerkt hochauflösend filmen. Und vergessen Sie auch nicht die unzähligen Überwachungskameras im öffentlichen Raum, Tendenz stark steigend! Durch anschließendes langsames Abspielen kann dann auf einfachste Weise Ihr Passwort direkt bei der Eingabe mitverfolgt werden!

Selbst Schadsoftware aus der Gruppe der Keylogger kann so eventuell ausgetrickst werden! Da Sie das Passwort ja nicht tippen, "sieht" ein Keylogger nur: STRG+C sowie STRG+V.
Dabei ist besonders für Benutzer von Microsofts Windows 10 (geschützte Firmen-, Produkt- bzw. Handelsmarken) ein Umstand interessant: Microsoft hat in Windows 10 einen Dienst implementiert, der laut eigener Aussage 'Ihr Schreibverhalten analysiert', um so - angeblich - die Benutzerfreundlichkeit der Tastaturen bzw. Eingabemöglichkeiten (Handschrift, Sprache) zu verbessern. Da dieser Dienst standardmäßig läuft und aufgrund des geschlossenen Source-Codes auch nicht festgestellt werden kann, ob die Abschaltung über das Datenschutzcenter tatsächlich Auswirkungen hat, fällt eigentlich das gesamte Betriebssystem in die Kategorie Schadsoftware/Keylogger bzw. Schadsoftware/Spyware.

 

KeepassXC kostenlos verfügbar für viele Plattformen

Download des Passwortsafes KeepassXC unter keepassxc.org sowie bei vielen Linux Distributionen via offizielle Repositories.

KeepassXC steht für Windows, Linux und Mac OS zur Verfügung. Da der Source-Code offenliegt und auch heruntergeladen werden kann, könnten Sie KeepassXC aber auch z.B. für FreeBSD kompilieren.

Außerdem stehen für Android einige Apps zur Verfügung, die diese Dateien ebenfalls lesen können. Bei diesen Apps sollten Sie aber ebenfalls Vorsicht walten lassen! Wir empfehlen zur Zeit die App KeePassDX.

 

Alle Empfehlungen ohne Gewähr!

 

 
 

Sehr geehrter Besucher! Leider verwenden Sie einen veralteten Browser. Sie können einen sehr guten, sicheren, stabilen und zeitgemässen Browser kostenlos unter dem folgenden Link herunterladen: Firefox Browser auf www.mozilla.org Dieser Browser ist erhältlich für: Windows, MacOS (Apple), iPhone, Android und Linux.