IT-Blog

Sichere Kennwörter – Eine nervige, aber wichtige Angelegenheit

Do, 4. März 2021

Die Eingabe des Kennwortes empfinden viele als lästig. Und regelmäßig ein neues kryptisches Passwort für den Zugang zum Firmennetzwerk zu wählen, macht die Sache auch nicht beliebter. Seit neuestem schreibt uns der Administrator vor, alle 90 Tage ein neues Kennwort mit mindestens 12 Stellen, Groß- und Kleinbuchstaben, mindestens einer Zahl und einem Sonderzeichen wählen zu müssen. Völlig übertrieben? Oder gar nur reine Schikane?

Wäre ich jetzt Angestellter einer Versicherung, würde ich sämtliche mir bekannten Schreckensszenarien durchspielen und mit Angst, Furcht und vor allem finanziellem Schaden argumentieren. Bin ich aber nicht.

Die Frage nach dem Sinn eines sicheren Passwortes kann leider nicht so trivial beantwortet werden, wie es zum Beispiel Hollywood-Film-Produktionen gerne tun. Auf keinen Fall sitzt irgendwo auf der Welt ein Hacker und kann innerhalb von Sekunden ihr persönliches Passwort und damit den Zugang zur Firma „hacken“. Das funktioniert nur in Filmen.
Dass ein Login gar nicht so einfach geknackt werden kann, liegt unter anderem auch daran, dass nach wenigen falschen Eingabeversuchen der Account im Normalfall gesperrt wird. Auch wären die sogenannten Phishing-Mails sinnlos, wenn das Passwort-Knacken so einfach wäre.
Wie sich immer wieder zeigt, gibt es ständig irgendwelche neuen Sicherheitslücken in Programmen, Betriebssystemen oder der Firmware von Geräten, die für einen Zugriff auf Netzwerk und Ressourcen verantwortlich sind. Jüngste Meldungen über sogenannte Backdoors machen Angriffe im großen Stil möglich. Neben den Dokumenten und Dateien eines Unternehmens sind aber spezielle Dateien in den Computersystemen von Bedeutung, in denen verschlüsselt die Kennwörter der Benutzer liegen. Und genau diese Dateien können Ziele von sogenannten Brute Force Attacken werden. Sind diese Dateien erst einmal im Besitz des Angreifers, hat dieser alle Zeit der Welt, die Verschlüsselung zu knacken und damit „legalen“ Zugriff auf Netzwerke und Ressourcen zu erhalten. Ein Traum für jeden Hacker.

Unsere Kennwörter sind ein wichtiger Baustein für die Sicherheit des Firmennetzwerks.

Komplizierte Kennwörter verhindern zuallerst, dass sich ein Beobachter das Kennwort merkt. Auch wenn jemand akribisch Ihre Tastatureingaben beobachtet, ist die Chance sich ein „Cgi6?mM59Xt1!“ auf Anhieb zu merken deutlich geringer als „Wochenende123“.
Zum zweiten würde eine erfolgreiche Brute Force Attacke auf das komplizierte Kennwort bei heutiger Computerleistung ca. 4 Milliarden Jahre dauern. Je einfacher das Kennwort allerdings ist, umso schneller geht es. Ein Kennwort, das nur 8 Zeichen aus Kleinbuchstaben verwendet, ermöglicht ca. 209 Milliarden verschiedene Kombinationen. Ein heutiger Standard-PC könnte dies in ca. 35 Minuten knacken. Macht einen Unterschied zum komplizierten Kennwort von ca. … 4 Milliarden Jahren.

Warum sollte man dann ein sicheres Kennwort regelmäßig ändern?

Eigentlich nur alle 4 Milliarden Jahre, wenn man sicher sein möchte. Leider gibt es aber auch noch andere Möglichkeiten, an das Kennwort heranzukommen. Typischerweise werden Kennwörter nicht nur für den Zugang zum sicheren Firmennetzwerk verwendet. Nahezu jeder Online-Dienst, den wir im Internet verwenden, möchte einen eindeutigen Benutzernamen und natürlich ein sicheres Kennwort. Und natürlich verwenden viele für jede mögliche Seite immer das gleiche oder leicht modifizierte Kennwort. Denn wer merkt sich schon zehn oder mehr hochkomplizierte Kennwörter.
Die Krux an der Sache ist, dass Anbieter von Social-Media- oder sonstigen Portalen und Diensten die aufwändigen und auch kostspieligen Sicherheitsvorkehrungen nicht immer besonders ernst nehmen. Da werden schon mal Benutzernamen und Kennwörter im Klartext auf den eigenen Servern gespeichert. Und selbstverständlich sind das die Ziele, die oben genannte Hacker im Auge haben. Heutzutage sind hunderte Millionen Benutzerdaten und zugehörige Kennwörter auf einschlägigen Seiten abrufbar. Wohl dem, der sein Kennwort regelmäßig ändert. Viel Glück den anderen, die sich seit Jahren auf eben dieses verlassen. Treue wird eben doch von vielen noch in allen Bereichen praktiziert.

Der Passwort-Manager

Neben sicheren und komplexen Kennwörtern sollte für jede Webseite, Portal oder andere Login-Möglichkeit ein anderes Passwort verwendet werden.
Mag sich der eine oder andere ein komplexes Kennwort merken können, bei der hohen Anzahl der heutigen Web-Portale und Social-Media-Seiten wird das sehr schnell in purer Verzweiflung enden. Also alle Kennwörter fein säuberlich aufschreiben?
Ja, das ist tatsächlich ein Lösungsweg. Aber nicht mit Stift und Papier, sondern mit einem Passwortmanager.
Im Grunde genommen verhält es sich wie der Notizzettel unter der Tastatur. Benutzername und das komplizierte, bestenfalls sogar generierte Passwort werden in der Datenbank vom Passwortmanager gespeichert. Und zwar für jeden einzelnen Zugang.
Die Datenbank selbst ist wiederum mit einem Kennwort versehen, das vom Passwortmanager sehr stark verschlüsselt wird. Und genau dieses Kennwort sollte das einzige sein, das Sie sich merken müssen.
Wenn Sie den Passwortmanager starten, fragt dieser das zentrale Kennwort ab und entsperrt daraufhin ihren Tresor mit den Passwörtern für alle anderen Bereiche und Webseiten. Oftmals gibt es für Ihren verwendeten Browser auch ein Plugin, mit dem der Login-Bereich komfortabel automatisch durch den Manager ausgefüllt wird.
Ein guter Helfer, der gerade im Internet eine Absicherung mittels komplizierter Kennwörter erleichtert beziehungsweise überhaupt erst möglich macht.
Natürlich hat auch diese Variante einen Haken. Zum einen sind die Kennwörter in einer Datei gespeichert. Damit der Passwortmanager also auf die Kennwörter zugreifen kann, muss die Datei vorhanden sein. Und zwar auf dem Gerät, wo man sich einloggen möchte.
Das wiederum wirft die Frage auf, wo und wie ich denn die Kennwort-Datei speichern möchte. Lege ich die Datei auf die lokale Festplatte, bleibt der Aktionsradius auf das einzelne Gerät beschränkt. Benötige ich für die Cloud ein Kennwort aus dem Tresor, wird die Sache allerdings etwas kompliziert.
Professionelle Lösungen für den Firmeneinsatz integrieren den Zugang zum Tresor mit dem Login-Account. Das heißt, dass Sie beim Manager bereits durch ihren Benutzernamen und Login in die AD zum Zugriff berechtigt sind.

Kein Passwort-Manager?

Hier bietet sich dann eine andere Strategie an, die zusätzlich verwendet wird. MFA – Multi Factor Authentification. Damit benötigen Sie nicht nur ein Kennwort, um sich in die Cloud einzuloggen, sondern auch eine spezielle App des Anbieters, das eine Erlaubnisanfrage an Ihr Smartphone sendet und nur durch beide Authentifizierungsmaßnahmen Zugriff zur Cloud gewährt.
Wer keinen Passwort-Manager benutzen möchte, dem sei dringendst zu einer MFA geraten. Die meisten seriösen Anbieter haben diese Schutzfunktionen im Angebot und schützen so Ihre Daten und ihr digitales Leben.
Ob man jemals gehackt wird, hängt in großen Teilen von einem selbst ab und wie sehr man seine Kennwörter und deren Verwaltung ernst nimmt.