Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Passwörter: Häufige Fehler, Best Practices & Tipps
Sandro Affentranger
|
04.05.2023
(aktualisiert am: 09.09.2024)

Am 4. Mai 2023 ist der Welt-Passwort-Tag. Dieser Tag findet jedes Jahr am ersten Donnerstag im Mai statt und soll das Bewusstsein für die Bedeutung von sicheren Passwörtern schärfen. Das Ziel ist es, über bewährte Praktiken im Umgang mit Passwörtern aufzuklären und die Menschen dazu anzuregen, Schritte zu unternehmen, um die Sicherheit ihrer Onlinekonten zu verbessern.

Passwörter: Häufige Fehler, Best Practices & Tipps

In der heutigen digitalen Welt sind Passwörter aus unserem Alltag nicht mehr wegzudenken. Von sozialen Medien bis hin zum Online-Banking verlassen wir uns auf Passwörter, um unsere persönlichen Daten und Onlinekonten zu schützen. Doch trotz der Bedeutung von Passwörtern machen viele Menschen immer noch Fehler, die ihre Sicherheit gefährden. Wo stehen Sie und Ihr Unternehmen beim Umgang mit Passwörtern? Ein Password Quality Audit durch ein Penetration Testing Team kann Ihnen dabei Klarheit verschaffen. Die regelmässige Schulung von Mitarbeitenden mit dem Umgang von Passwörtern ist wichtig. Ein Cyber Security Awareness Referat ist dafür ideal geeignet.

Der Welt-Passwort-Tag bietet die Gelegenheit, über unsere Passwortpraktiken nachzudenken und Schritte zur Sicherheitserhöhung anzugehen. In diesem Blogbeitrag befassen wir uns mit der Bedeutung von Passwörtern, häufigen Passwortfehlern und Strategien zur Erstellung sicherer Passwörter, um Onlinekonten bestmöglich zu schützen.

Häufige Fehler bei Passwörtern

Heutzutage benötigt man in der Regel sowohl im privaten als auch geschäftlichen Umfeld einen Account mit einem Passwort, um auf Dienste zugreifen zu können. Da die meisten Menschen mehrere solche Accounts besitzen, kommt schnell eine Vielzahl von Konten zusammen, für die entsprechend viele Passwörter benötigt werden. Laut einem Bericht der Firma LastPass, die den gleichnamigen Passwortmanager entwickelt, speichern ihre Geschäftskunden durchschnittlich 191 Passwörter – und es werden immer mehr.

Obwohl Passwörter so allgegenwärtig und wichtig sind, werden immer wieder die gleichen Fehler im Umgang mit Passwörtern gemacht:

Verwendung schwacher Passwörter

Viele Menschen verwenden Passwörter, die leicht zu erraten oder zu knacken sind. Sie sind oft kurz, einfach und verwenden gängige Wörter oder Phrasen, die von Hackern mit spezieller Software leicht erraten werden können. So sind zum Beispiel «password», «123456» oder «qwertz» allesamt schwache Passwörter, die dennoch häufig verwendet werden. Auch persönliche Daten wie zum Beispiel Name, Geburtsdatum oder Adresse werden häufig verwendet. Solche Informationen können von Hackern leicht herausgefunden werden.

Nutzung des gleichen Passworts für mehrere Konten

Das Verwenden des gleichen Passworts ist verlockend, birgt aber ein ernsthaftes Sicherheitsrisiko. Hacker können Datenlecks ausnutzen, um mit automatisierten Tools die gestohlenen Benutzernamen und Passwörter bei einem anderen Dienst oder einer anderen Plattform auszuprobieren. Folglich könnten sie mit einem Passwort gleich auf mehrere Konten zugreifen.

Weitergabe von Passwörtern

Personen, die ihre Passwörter an andere weitergeben, gefährden damit ihre Sicherheit. Wenn mehrere Personen dasselbe Konto verwenden, bedeutet dies auch einen Mangel an Nachvollziehbarkeit. Es kann schwierig sein, festzustellen, wer für die mit diesem Konto durchgeführten Aktionen verantwortlich ist, und diese Person zur Rechenschaft zu ziehen.

Keine Zwei-Faktor-Authentifizierung

Die Verwendung von Zwei-Faktor-Authentifizierung als weitere Sicherheitsmassnahme schützt Ihre Konten zusätzlich. Wenn für den Zugriff auf ein Konto nur ein Benutzername und ein Passwort benötigt werden, ist das Konto anfälliger für Hackingangriffe. Wenn ein Angreifer in den Besitz der Anmeldedaten gelangt, kann er leicht auf das Konto zugreifen und persönliche Daten stehlen oder bösartige Aktivitäten durchführen.

Tipps & Trick

Im Folgenden finden Sie einige wichtige Tipps und Tricks zur Erstellung und Verwaltung sicherer Passwörter, um Ihre Onlinekonten bestmöglich zu schützen und unbefugten Zugriff auf Ihre Konten zu verhindern.

Verwenden Sie starke Passwörter

Es gibt verschiedene Strategien, um sichere Passwörter zu erstellen, mit denen Sie Ihre Konten vor unberechtigtem Zugriff schützen. Hier sind ein paar Tipps:

  • Vermeiden Sie gebräuchliche Wörter und Ausdrücke wie «Passwort» oder «123456», da diese von Hackern leicht erraten werden können.
  • Vermeiden Sie persönliche Informationen. Verwenden Sie in Ihrem Passwort keine persönlichen Daten wie Ihren Namen, Ihr Geburtsdatum oder Ihre Adresse, da diese von Hackern leicht herausgefunden oder erraten werden können.
  • Nutzen Sie lange Passwörter. Tendenziell gilt, je länger es ist, desto schwieriger ist es zu knacken. Streben Sie ein Passwort mit mindestens 12 Zeichen an.
  • Verwenden Sie eine Passphrase: Eine Kombination aus mehreren Wörtern anstelle eines einzelnen Wortes. Zum Beispiel ist «Blaue Elefanten in den Wolken 12» eine starke Passphrase, die aber leicht zu merken ist.
  • Wählen Sie einen Merksatz und nehmen Sie jeweils den ersten Buchstaben jedes Wortes sowie Ziffern und Sonderzeichen für Ihr Passwort. Als Beispiel würde aus dem Satz «Meinen Kaffee trinke ich immer um 5 nach 9 Uhr. » somit das Passwort «MKtiiu5n9U» entstehen.

Nutzen Sie einzigartige Passwörter

Für jedes Konto sollten Sie ein eigenes Passwort nutzen. Da es jedoch schwierig ist, sich so viele Passwörter zu merken, kann ein Passwortmanagers helfen. Dort können Sie eindeutige Passwörter für jedes Konto erstellen und speichern. Auf diese Weise müssen Sie sich nicht mehrere komplexe Passwörter merken. Wichtig ist natürlich, dass der Zugriff auf den Passwortmanager so gut wie möglich geschützt ist.

Wenn jemand keinen Passwortmanager verwenden möchte, gibt es immer noch Strategien, um sichere Passwörter zu erstellen, die für jeden Dienst einzigartig sind: Verwenden Sie beispielsweise eine Formel oder ein Muster, das ein Basispasswort mit einem eindeutigen Bezeichner für jeden Dienst kombiniert. Sie könnten zum Beispiel «Mein-sicheres-Passwort!1» als Basispasswort verwenden und den Namen des Dienstes an das Ende des Passworts anhängen. Für Google Mail würde Ihr Kennwort also «Mein-sicheres-Passwort!1Gmail» lauten und für Facebook «Mein-sicheres-Passwort!1Facebook». Wenn eines dieser Passwörter gestohlen wird, ist es jedoch wichtig, dass das Muster und alle Passwörter geändert werden.

Aktivieren Sie Zwei-Faktor-Authentifizierung

Die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) ist eine weitere sehr empfehlenswerte Sicherheitsmassnahme, welche die Sicherheit Ihrer Konten erheblich verbessern kann und auch dann hilfreich ist, wenn Sie starke und eindeutige Passwörter verwenden.

Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, müssen Sie zusätzlich zu Ihrem Passwort einen zweiten Authentifizierungsfaktor wie beispielsweise einen Fingerabdruck-Scan, ein Sicherheitstoken oder einen Verifizierungscode, der an Ihr Telefon gesendet wird, angeben. Das bedeutet, dass ein Hacker, selbst wenn es ihm gelingt, Ihr Passwort zu stehlen, immer noch Zugang zu Ihrem zweiten Authentifizierungsfaktor benötigt, um auf Ihr Konto zugreifen zu können.

Viele Dienste und Plattformen bieten Zwei-Faktor-Authentifizierung als Option an, und es ist wichtig, dass Sie diese aktivieren, wann immer dies möglich ist. Sie können in den Sicherheitseinstellungen Ihres Kontos nachsehen, ob Zwei-Faktor-Authentisierung verfügbar ist, und sie gegebenenfalls einrichten.

Überprüfen Sie, ob Ihre Passwörter geleakt wurden

Es gibt mehrere Dienste, mit denen überprüft werden kann, ob man von einem Datenleck betroffen ist. Beispielsweise betreibt der australische Sicherheitsexperte Troy Hunt die Dienste «Have I Been Pwned» und «Pwned Passwords».

«Have I Been Pwned»

Mit der Plattform «Have I Been Pwned» ist es möglich, eine Überprüfung auf Betroffenheit von bekannten Datenlecks durchzuführen. Wenn Sie Ihre E-Mail-Adresse eingeben, erhalten Sie eine Liste von Datenlecks, in denen diese Adresse betroffen war. Ausserdem besteht die Möglichkeit, sich zu registrieren, um bei neuen Datenlecks mit der betroffenen E-Mail-Adresse benachrichtigt zu werden.

Have I been pwned? Website

«Pwned Passwords»

«Pwned Passwords» hingegen ist, wie der Name schon vermuten lässt, eine Sammlung bekannter kompromittierter Passwörter. Man kann sein Passwort eingeben und erfährt dann nicht nur, ob es in Datenlecks vorkommt, sondern auch wie oft. Natürlich sollte man sehr vorsichtig sein, wenn man sein Passwort auf einer Webseite eingibt. «Pwned Passwords» implementiert ein k-Anonymitätsmodell, um zu verhindern, dass beim Überprüfen des Passwortes, das Passwort durch die Überprüfung selbst kompromittiert wird. Bei der Überprüfung eines Passwortes wird daher das Passwort zunächst gehasht, wobei nur die ersten 5 Zeichen des Hashes an den Server gesendet werden. Der Server antwortet dann mit allen Hashes, die mit dem übermittelten Teilstring beginnen. Anschliessend wird lokal im Browser überprüft werden, ob das Passwort in einem Leak enthalten oder nicht. Das Passwort verlässt den Browser und der Server weiss nicht, welches Passwort überprüft wurde.

Pwned Passwords Website

Fazit

Der Welt-Passwort-Tag ist eine Erinnerung daran, dass Passwörter eine entscheidende Rolle für unsere Onlinesicherheit spielen. Es ist wichtig, sorgfältig mit Passwörtern umzugehen, häufige Fehler wie schwache Passwörter und die Wiederverwendung derer zu vermeiden. Stattdessen gilt es auf starke und eindeutige Passwörter für jeden Dienst zu setzen. Wenn wir diese Richtlinien befolgen und zusätzliche Sicherheitsmassnahmen wie die Zwei-Faktor-Authentifizierung aktivieren, können wir wichtige Schritte zum Schutz unserer Onlinekonten und persönlichen Daten gehen.

Obwohl es Bemühungen gibt, von Passwörtern wegzukommen und sicherere Authentifizierungsmethoden zu verwenden, werden wir uns bis auf weiteres auf Passwörter als Hauptmethode zur Sicherung unserer Onlinekonten verlassen müssen. Daher ist es wichtig, wachsam zu bleiben und die notwendigen Vorsichtsmassnahmen zu ergreifen, um sicherzustellen, dass unsere Passwörter stark, einzigartig und sicher sind.

Die Durchführung eines Password Quality Audits durch ein Penetration Testing Team kann Ihnen und Ihrem Unternehmen Klarheit bringen. Auch die Awareness Schulung über den Umgang mit Passwörtern durch die Cyber Security Academy wird die Sicherheit erhöhen. In diesen wie auch in allen weiteren Cyber Security Themen helfen wir gerne weiter. Wir freuen uns auf Ihre Kontaktaufnahme:

Webinar über Passwörter

Autor

Sandro Affentranger ist seit Oktober 2017 bei Oneconsult im Bereich Red Teaming & Penetration Testing tätig, wo er Sicherheitstests jeglicher vernetzter Komponenten und Systeme durchführt.

LinkedIn

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen