Skip to content

Authentifizierung: Passwortregeln, Teil 1

Sicherheitsrichtlinien wie Passwortregeln werden oft ignoriert, weil sie überflüssig erscheinen oder lästig sind. Wie gefährlich ist das? Welche Regeln sollte man auf jeden Fall beachten und welche kann man ignorieren?

Die üblichen Passwort-Regeln

Die wichtigste Regel für ein gutes Passwort beschreibt seinen Aufbau: Es soll möglichst lang sein, Groß- und Kleinbuchstaben, Zahlen und wenn möglich Sonderzeichen enthalten und in keinem Wörterbuch stehen. Wie Sie so ein Passwort bilden und sich merken können, habe ich bereits in der vorigen Folge beschrieben. Ebenso wichtig ist die Regel, dass man die Passwörter immer nur für einen Zweck verwenden und nicht etwa für mehrere Websites das gleiche Passwort nehmen darf. Wieso das so ist, habe ich ebenfalls bereits in der vorigen Folge erklärt.

Außerdem sollen Passwörter oft gewechselt und nicht aufgeschrieben werden. Damit wird der Umgang mit Passwörtern, vor allem, wenn man viele benötigt, zur Qual. Wie berechtigt sind diese Regeln? Fangen wir mit dem letzten Punkt an: Passwörter dürfen nicht aufgeschrieben werden.

Passwörter darf man nicht aufschreiben?

Gegen die "Passwörter nie aufschreiben"-Regel verstoße ich andauernd, denn ich schreibe mir alle Passwörter auf. Mit Ausnahme der paar, die ich ständig brauche und die sich mir durch die ständige Wiederholung einprägen könnte ich mir die sonst gar nicht alle merken. Und dabei achte ich schon sehr darauf, mich nur dort anzumelden, wo es wirklich nötig ist. Allerdings primär nicht, um Passwörter zu sparen, sondern um unnötige Angriffspunkte zu vermeiden. Jedes Benutzerkonto kann kompromittiert werden, egal wie sicher das verwendete Passwort ist. Zum Beispiel weil der Server des Betreibers kompromittiert wurde oder eine Schwachstelle enthält, die die Übernahme von Accounts erlaubt. Wo ich kein Konto habe, kann auch kein Unsinn damit angestellt werden.

Aber kommen wir zurück zum Aufschreiben der Passwörter. Die notiere ich auf Karteikarten, die inzwischen einen A6-Karteikasten gut füllen. Natürlich ist das unsicher, wenn einem Unbefugten der Karteikasten in die Hände fällt. Aber wenn jemand den Karteikasten aus meinem Büro (ohne Publikumsverkehr!) im eigenen Haus klaut, habe ich sehr wahrscheinlich viel schlimmere Probleme als nur die geklauten Passwörter.

Und selbst in einem Großraumbüro mit regem Publikumsverkehr dürfte die Gefahr, dass ein aufgeschriebenes Passwort aus der beim Verlassen des Arbeitsplatzes verschlossenen Schreibtischschublade geklaut wird deutlich geringer sein als die, das es von Cyberkriminellen über Schadsoftware ausgespäht oder per Brute-Force- oder Wörterbuchangriff gebrochen wird.

Eigentlich müsste die "Passwörter nie aufschreiben"-Regel nämlich anders formuliert werden, z.B. "Aufgeschriebene Passwörter müssen sicher verwahrt werden". Es spricht nichts gegen einen weggeschlossenen Zettel, aber viel gegen das immer wieder zu beobachtende PostIt am Monitorgehäuse.

Es geht übrigens noch schlimmer. Wie werden in Ihrem Büro die WLAN-Zugangsdaten bekannt gegeben? Hoffentlich nicht als Aushang an der Pinnwand. Wenn doch, achten Sie darauf, das niemand aus ihren Büro vom Fernsehen interviewt wird und dabei vor der Pinnwand steht. Aber auch hier ist noch eine Steigerung möglich: Passwörter an Whiteboards oder auf Zetteln an der Wand sind generell eine schlechte Idee, nicht nur während eines TV-Interviews oder einer TV-Reportage.

Zur Speicherung der Passwörter in Passwortmanagern habe ich ja in der vorigen Folge bereits etwas geschrieben. Hier möchte ich nur kurz die Gründe für meine "Offline-Lösung" aufführen:

  1. Ich benutze mehrere Rechner, müsste die Passwörter also in mehreren Passwortmanagern speichern und verwalten.
  2. Auf Papier sind die Passwörter sicherer als auf dem Rechner. Der könnte mal mit Schadsoftware infiziert werden, bei aller Sorgfalt kann ich diese Möglichkeit nicht ausschließen. Aber so ein angenommener Schädling kann dann nur die Passwörter ausspähen, die ich auf dem infizierten Rechner eingebe - alle anderen sind seinem Zugriff entzogen. Ein Passwortmanager könnte ausgetrickst oder die Passwortdatei kopiert und geknackt werden.
  3. Wären die Passwörter auf dem Rechner gespeichert, bräuchte ich ein Backup. Und das am besten unabhängig vom Rechner, damit ich auch im Worst Case darauf Zugriff habe - also am besten auf Papier. Übrigens habe ich ein digitales Backup des Karteikastens: Eine Datei in einem passwortgeschützten Diskimage auf einem Backup-Laufwerk, die ich auf einem meiner nicht mit dem Internet verbundenen Rechner aktualisiere. Dass ich das Laufwerk getrennt vom Karteikasten aufbewahre, dürfte wohl selbstverständlich sein. Das ginge natürlich auch anders herum: Die digitale Version als Master, der Karteikasten als Backup. Aber die nicht mit dem Internet verbundenen Rechner sind bei mir meistens ausgeschaltet. Und bevor ich den Rechner auch nur gestartet habe bin ich mit der Suche im Karteikasten und dem Eingeben des Passworts längst fertig.

In der nächsten Folge geht es um eine die restlichen Passwortregeln: Passwörter müssen regelmäßig gewechselt werden, dürfen in keinem Wörterbuch stehen und sollen lang und möglichst zufällig gewählt sein.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Authentifizierung: Sichere Passwörter
Authentifizierung: Passwortregeln, Teil 1
Authentifizierung: Passwortregeln, Teil 2
Authentifizierung: Ein Faktor reicht nicht (mehr)
Zwei-Faktor-Authentifizierung per SMS
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2
Zwei-Faktor-Authentifizierung mit der Smartphone-App

Trackbacks

Keine Trackbacks