Wenn Hacker durch Phishing, Social Engineering oder sogenannte Brute-Force-Attacken an Ihre Passwörter gelangen, kann das schlimme Auswirkungen haben. Sie reichen von unrechtmäßiger Bestellung von Waren, Online-Banküberweisungen bis hin zum Lahmlegen des gesamten Unternehmens und anschließender Erpressung mit Hilfe von Ransomware. Bei den Ländern, die aktuell am stärksten von Passwortdiebstahl betroffen sind, belegt Deutschland hinter USA, Russland und Frankreich laut aktuellem CRIF Cyber Report weltweit den 4. Platz. Höchste Zeit also zu überprüfen: Wie verbessere ich die Sicherheit meiner Passwörter?
Gerade bei Kundenkonten ist es besonders verlockend: Überall das gleiche Passwort zu nutzen erscheint am einfachsten, um den Überblick über die vielen digitalen Schlüssel zu behalten. Doch Vorsicht: Gelangen Cyberkriminelle an dieses Passwort, können sie sich problemlos Zugang zu all Ihren Konten verschaffen. Deshalb nutzen Sie unbedingt für jeden Zugang eine andere Zeichenkombination. Ob ihre Zugangsdaten schon einmal nach einem Datendiebstahl abgegriffen und veröffentlicht worden sind, können Sie zum Beispiel beim HPI Identity Leak Checker kostenlos überprüfen lassen.
Wenn ja, dann sollten Sie Ihre Passwortwahl unbedingt überdenken, denn es sollte nicht einfach zu erraten sein. Das heißt: Namen von den Liebsten und einfache Substantive aus dem Wörterbuch (wie z.B. „Fußball“) sind tabu. Auch von häufig genutzten Kombinationen, wie „123456“ oder „abcdef“, ist abzuraten, denn diese tauchen neben „passwort“ und „hallo“ jedes Jahr wieder in den Top Ten der am häufigsten verwendeten Passwörter auf und werden von Hackern sofort ausprobiert.
Bei Passwörtern gilt: Je länger desto besser. Denn sonst können Angreifer mit sogenannten Brute-Force-Attacken ihren digitalen Schlüssel recht schnell knacken: Sie versuchen einfach, mittels hoher Rechenleistung das Passwort per Trial-and-Error-Methode zu ermitteln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher eine Passwortlänge von mindestens 12 Zeichen, besser noch 16. Deshalb bieten sich sogenannte Passphrasen an, wie z.B. „ichliebemeinenitservice“, in denen zusätzlich noch Klein- und Großschreibung sowie Sonderzeichen verwendet werden („Ich<3M2solutions!“). Königsklasse sind die Passwörter, in denen keine erkennbaren Wörter mehr enthalten sind, sondern nur noch verschiedene Zeichen. Diese lassen sich über einen Passwortgenerator erstellen und sehen dann zum Beispiel so aus: „u@sY3UV%y33m“.
33 Prozent der Deutschen merken sich laut Statista ihre Passwörter, 27 Prozent schreiben Sie auf einen Zettel und nur 12 Prozent nutzen einen Passwortmanager. Die ersten beiden Möglichkeiten sind jedoch mit Risiken behaftet: Wenn Sie Ihre Passwörter nur in Ihrem Kopf abspeichern, sind Sie entweder ein Gedächtniskünstler und können sich mehrere komplizierte mindestens 12-stellige Zahlenreihen merken oder neigen dazu, einfachere – und damit auch einfacher zu knackende –Passwörter zu verwenden. Auch Notizen auf einem Zettel sind keine besonders gute Alternative, da hier immer die Gefahr besteht, dass das Stück Papier in die falschen Hände gerät. Ein Passwortmanager ist in diesem Fall die beste Wahl (weiteres dazu s.u.).
Im besten Fall sind Sie die einzige Person, die Zugang zu Ihren Passwörtern hat. Doch manche berufliche Situationen erfordern eine Passwortweitergabe: Zum Beispiel, wenn Sie und Ihr Kollege am gleichen Projekt arbeiten und beide den Zugang zu einem Verwaltungskonto oder Ähnlichem benötigen. In diesem Fall sollten Zugangsdaten nie in einem Chat oder einer E-Mail im Klartext übermittelt werden, da diese Daten im Falle zum Beispiel von einer Phishing-Attacke von Cyberkriminellen ausgelesen werden können. Sie können stattdessen sogenannte „Passwortpusher“ verwenden, über die Sie einen Link mit dem Passwort versenden, der nach kurzer Zeit abläuft und so nicht wiederverwendet werden kann. Generell gilt: Geben Sie keine Passwörter auf Nachfrage heraus, selbst wenn es sich vermeintlich um einen IT-Mitarbeiter handelt. Auch beim Eintippen in Eingabemasken sollten Sie vorher verifizieren, ob die Seite vertrauenswürdig ist.
Um das Risiko so gering wie möglich zu halten, dass sich Unberechtigte Zugang zu Nutzerkonten verschaffen, sollten Sie insbesondere bei wichtigen administrativen Zugängen an sensiblen Stellen im Unternehmen mit Zwei-Faktor-Authentifizierung (2FA, häufig auch Zwei-Faktor-Authentisierung genannt) arbeiten. Das bedeutet, dass sich die Nutzer zusätzlich zur Passworteingabe über ein weiteres Verfahren identifizieren müssen, um Zugang zum Konto zu erhalten. Dafür gibt es beispielsweise verknüpfte Smartphone-Apps, die nach der Eingabe des korrekten Passworts zusätzlich einen Code an das Mobiltelefon des Nutzers senden, den dieser dann ebenfalls eingeben muss, um Zugang zu erhalten.
Bei der sicheren Verwaltung verschiedener Konten mit komplizierten, langen Passwörtern in Unternehmen ist ein Passwortmanager das Mittel der Wahl. Er vereinfacht nicht nur die Handhabung, sondern schützt vor allem auch vor Passwortdiebstahl. Programme, wie z.B. die Open-Source-Lösung Bitwarden, bieten:
Wer in Unternehmen als auch im privaten Umfeld sicher mit seinen Passwörtern hantieren möchte, sollte auf Passwortmanager zurückgreifen. Bei der Absicherung besonders wichtiger Accounts – nicht nur beim Online-Banking, sondern z.B. auch bei E-Mail-Konten – ist die Einrichtung einer zusätzlichen Zwei-Faktor-Authentifizierung sehr zu empfehlen.
Sie haben Fragen zum Thema Passwortsicherheit oder würden gern einen Passwortmanager nutzen? Kein Problem, wir sind für Sie da!