Angesichts der rasant steigenden Zahl von Cyberangriffen und Datenlecks genügt es nicht mehr, Nutzern lediglich zu raten, ihr Passwort niemals preiszugeben. Passwörter sind nach wie vor der Schlüssel zu unseren wichtigsten digitalen Ressourcen. Deshalb kommt es mehr denn je darauf an, Best Practices für die Sicherheit von Passwörtern zu befolgen. Ganz gleich, ob Sie E-Mails, Netzwerke oder einzelne Benutzerkonten schützen möchten – mit Best Practices für Passwörter können Sie Ihre sensiblen Informationen vor Cyberbedrohungen schützen.
Dieser Leitfaden gibt einen Überblick über Best Practices für Passwörter, die jedes Unternehmen befolgen sollte. Er zeigt außerdem auf, wie Sie sensible Daten zuverlässig schützen und Ihre Sicherheitsstrategien optimieren.
Das Geheimnis sicherer Passwörter
Ein sicheres Passwort ist Ihre erste Verteidigungslinie, wenn es um den Schutz Ihrer Konten und Netzwerke geht. Befolgen Sie diese Best Practices, wenn Sie ein neues Passwort erstellen:
- Komplexität: Stellen Sie sicher, dass Ihre Passwörter aus einer Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Zu beachten ist, dass Regeln zur Zusammensetzung von Passwörtern (z. B. Verwendung von Kleinbuchstaben, Symbolen usw.) vom NIST nicht mehr empfohlen werden. Verwenden Sie solche Regeln daher nach eigenem Ermessen.
- Länge: Längere Passwörter sind in der Regel sicherer – und bieten meist besseren Schutz als Passwörter mit höherer Komplexität. Passwörter sollten mindestens sechs bis acht Zeichen lang sein.
- Unvorhersagbarkeit: Vermeiden Sie gängige Ausdrücke oder Muster. Verwenden Sie in Ihren Passwörtern keine Informationen, die sich leicht erraten lassen, etwa ein Geburtsdatum oder Namen. Verwenden Sie stattdessen eindeutige Zeichenfolgen, die Hacker nur sehr schwer erraten können.
Wenn Sie diese Faktoren miteinander kombinieren, wird es noch schwieriger, das Passwort zu erraten. Ist ein Passwort beispielsweise acht Zeichen lang und enthält Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen, beträgt die Anzahl der möglichen Kombinationen (26 + 26 + 10 + 30)^8. Diese astronomisch hohe Zahl von Möglichkeiten macht es für Angreifer zunehmend schwierig, das Passwort zu erraten.
Vor dem Hintergrund der aktuellen Empfehlungen des NIST zu Passwörtern besteht die beste Methode zur Gewährleistung sicherer Passwörter natürlich darin, einen Passwortmanager zu verwenden. Mit einer solchen Lösung können Sie nicht nur Passwörter erstellen und speichern, sondern sie lehnt auch automatisch alle Passwörter ab, die häufig verwendet werden und leicht zu erraten sind (und zum Beispiel in Sammlungen mit geleakten Passwörtern auftauchen). Mit einem Passwortmanager können Sie den Schutz vor folgenden Angriffsarten deutlich verbessern.
Angriffe, bei denen versucht wird, das Passwort zu erraten
Für die Sicherheit Ihrer Passwörter ist es entscheidend, dass Sie die Methoden kennen, die Angreifer zum Erraten von Benutzerpasswörtern verwenden. Einen Überblick über die wichtigsten Angriffsmethoden finden Sie hier:
Brute-Force-Angriffe
Bei einem Brute-Force-Angriff probiert ein Angreifer systematisch alle möglichen Zeichenfolgen aus, bis er das richtige Passwort gefunden hat. Diese Methode ist zeitaufwendig, kann jedoch bei unsicheren Passwörtern sehr effektiv sein.
Mit sicheren Passwörtern lassen sich Brute-Force-Angriffe abwehren, da sie die Zahl der möglichen Kombination erhöhen, die ein Angreifer ausprobieren muss. Dadurch wird es unwahrscheinlich, dass er das Passwort innerhalb eines angemessenen Zeitraums erraten kann.
Wörterbuchangriffe
Ein Wörterbuchangriff ist eine Form eines Brute-Force-Angriffs, bei dem ein Angreifer anhand einer Liste mit häufig verwendeten Wörtern, Ausdrücken und Passwörtern versucht, sich Zugriff zu verschaffen.
Da sich Angreifer dabei auf gängige Begriffe und Phrasen verlassen, ist die Verwendung individueller Passwörter für die Abwehr von Wörterbuchangriffen entscheidend. Besteht das Passwort nicht aus einem Wort, das in einem Wörterbuch aufgeführt ist, oder einem bekannten Muster, verringert sich die Wahrscheinlichkeit erheblich, dass es erraten werden kann. Die Zeichenfolge „Xc78dW34aa12!“ ist nicht in einem Wörterbuch oder einer Liste häufig verwendeter Passwörter enthalten und damit wesentlich sicherer als ein allgemeiner Begriff wie „Passwort“.
Wörterbuchangriffe mit Zeichenvariationen
Bei manchem Wörterbuchangriffen versuchen Angreifer zusätzlich, mit gängigen Zeichenersetzungen wie „@“ statt „a“ oder „3“ statt „e“ das Passwort zu erraten. Sie versuchen beispielsweise nicht nur, sich mit dem Begriff „Passwort“ anzumelden, sondern zusätzlich auch mit der Variante „P@ssw0rt“.
Um diese Angriffe erfolgreich abzuwehren, sollten komplexe und unvorhersagbare Passwörter gewählt werden. Indem Sie individuelle Kombinationen verwenden und einfach zu erratende Muster vermeiden, erschweren Sie es Angreifern, Ihr Passwort zu erraten.
Wie Passwortmanager die Sicherheit verbessern
Passwortmanager sind für das sichere Speichern und Verwalten Ihrer Passwörter unverzichtbar. Diese Tools bieten eine ganze Reihe von Vorteilen:
- Sicherheit: Passwortmanager speichern Passwörter und geben Sie bei der Anmeldung automatisch ein, sodass Anwender sich nicht alle Passwörter merken müssen. Sie müssen sich lediglich das Master-Passwort für ihren Passwortmanager merken. Dadurch können Benutzer lange, komplexe Passwörter verwenden, wie sie von Best Practices empfohlen werden, ohne sich Sorgen darüber machen müssen, dass sie ihre Passwörter vergessen. Sie müssen auch nicht auf unsichere Methoden zurückgreifen, indem sie ihr Passwort aufschreiben oder dasselbe Passwort für verschiedene Websites oder Anwendungen verwenden.
- Passworterzeugung: Passwortmanager können sichere und individuelle Passwörter für Benutzerkonten erzeugen, sodass Benutzer keine eigenen Passwörter festlegen müssen.
- Verschlüsselung: Passwortmanager verschlüsseln Passworttresore und gewährleisten so die Sicherheit von Daten, selbst wenn Passwörter kompromittiert werden.
- Bedienkomfort: Passwortmanager ermöglichen Benutzern einen einfachen Zugriff auf ihre Passwörter auf unterschiedlichen Geräten.
Bei der Wahl eines Passwortmanagers sollten Sie die individuellen Anforderungen Ihres Unternehmens berücksichtigen, beispielsweise Unterstützung für die verwendeten Plattformen, Kosten, Bedienkomfort und bisherige Datenlecks des Anbieters. Recherchieren Sie sorgfältig und lesen Sie Bewertungen anderer Nutzer, um herauszufinden, welche Lösung für die Anforderungen Ihres Unternehmens am besten geeignet ist. Zu empfehlen sind Tools wie Netwrix Password Secure, LastPass, Dashlane, 1Password und Bitwarden.
Zusätzliche Sicherheit durch Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung erhöht die Sicherheit, da Benutzer ihre Identität auf zwei oder mehr Arten nachweisen müssen, um Zugriff auf ein System oder Netzwerk zu erhalten. Für diesen Identitätsnachweis sind mindestens zwei dieser Authentifizierungsfaktoren erforderlich:
- Etwas, das Sie wissen: Das klassische Beispiel ist Ihr Passwort.
- Etwas, das Sie besitzen: In der Regel handelt es sich dabei um ein physisches Gerät, z. B. ein Smartphone oder ein Sicherheitstoken.
- Etwas, das Sie sind: Dies sind biometrische Daten wie ein Fingerabdruck oder Gesichtserkennung.
Durch MFA wird ein gestohlenes Passwort wertlos. Deshalb sollte nach Möglichkeit immer die Multi-Faktor-Authentifizierung genutzt werden.
Richtlinien zum Ablauf von Passwörtern
Richtlinien zum Ablauf von Passwörtern tragen entscheidend zur Passwortsicherheit bei. Auch die Verwendung eines Passwortmanagers, der sichere Passwörter erzeugt, hat Auswirkungen auf den Ablauf von Passwörtern. Falls Sie noch keinen Passwortmanager nutzen, sollten Sie eine Strategie zur Überprüfung aller Passwörter in Ihrem Unternehmen umsetzen. Mit der wachsenden Zahl der Datenlecks werden auch Passwortlisten wie die die berüchtigte Liste rockyou.txt und ihre Varianten, die in Brute-Force-Angriffen genutzt werden, immer umfangreicher. Über die Website haveibeenpawned.com können Sie überprüfen, ob ein bestimmtes Passwort kompromittiert wurde. Die folgenden Best Practices zur Passwortsicherheit sollten Benutzer im Hinblick auf den Ablauf von Passwörtern kennen:
- Befolgen von Richtlinien: Befolgen Sie die Richtlinien Ihres Unternehmens zum Ablauf von Passwörtern Dazu gehört unter anderem, dass Sie Ihr Passwort ändern, sobald Sie dazu aufgefordert werden, und ein neues, sicheres Passwort festlegen, das den Anforderungen der Richtlinie entspricht.
- Einrichten von Erinnerungen: Falls Ihr Unternehmen keine Benachrichtigungen zum Ablauf von Passwörtern versendet, richten Sie eigene Erinnerungen ein, damit Sie Ihr Passwort rechtzeitig ändern. Überprüfen Sie regelmäßig Ihre E-Mails oder Systembenachrichtigungen auf Aufforderungen zum Ändern des Passworts.
- Vermeiden offensichtlicher Muster: Wenn Sie Ihr Passwort ändern, sollte das neue Passwort keine Variation des vorherigen Passworts sein oder vorhersagbare Muster wie „Passwort1“, „Passwort2“ usw. enthalten.
- Melden von verdächtigen Aktivitäten: Falls Sie verdächtige Kontoaktivitäten oder unerlaubte Anforderungen zur Passwortänderung feststellen, melden Sie diese umgehend dem IT-Support oder Helpdesk Ihres Unternehmens.
- Vorsicht bei E-Mails zum Zurücksetzen des Passworts: Die wichtigste Empfehlung zur Sicherheit von Passwörtern lautet, auf der Hut vor Betrügern zu sein. Wenn Sie eine unerwartete E-Mail erhalten, in der Sie aufgefordert werden, Ihr Passwort zurückzusetzen, sollten Sie zunächst überprüfen, ob diese E-Mail echt ist. Phishing-Mails erwecken häufig den Eindruck, von einen rechtmäßigen Unternehmen zu kommen. Die Absender verfolgen damit das Ziel, Ihre Anmeldeinformationen abzugreifen.
Passwortsicherheit und Compliance
Compliance-Standards gewährleisten mit Best Practices zur Sicherheit und Verwaltung von Passwörtern den Schutz von Daten und verhindern unbefugte Zugriffe. Nachfolgend sind einige Gesetze aufgeführt, die Vorschriften zur Passwortsicherheit enthalten:
- HIPAA (Health Insurance Portability and Accountability Act): Gemäß den HIPAA-Vorschriften müssen Unternehmen im Gesundheitswesen Maßnahmen zum Schutz elektronischer geschützter Gesundheitsinformationen implementieren. Hierzu gehören auch sichere Passwörter.
- PCI DSS (Payment Card Industry Data Security Standard): Gemäß den Anforderungen von PCI DSS müssen Unternehmen, die Kreditkartendaten über ihre Website verarbeiten, zum Schutz dieser Daten strenge Zugriffskontrollen implementieren, unter anderem auch sichere Passwörter.
- DSGVO (Datenschutz-Grundverordnung): Gemäß DSGVO müssen Unternehmen, die Daten von EU-Bürgern speichern oder verarbeiten, geeignete Sicherheitsmaßnahmen zum Schutz personenbezogener Daten umsetzen. Die Sicherheit von Passwörtern ist ein wesentlicher Aspekt des Datenschutzes im Rahmen der DSGVO.
- FERPA (Family Educational Rights and Privacy Act): Die FERPA-Vorschriften regeln den Schutz personenbezogener Daten in Bildungsunterlagen. Sie schreiben vor, wie der Zugriff auf diese Unterlagen geschützt werden muss, unter anderem durch sichere Passwörter.
Bildungseinrichtungen und Unternehmen, die diesen Compliance-Standards unterliegen, müssen strenge Passwortrichtlinien und Best Practices zur Passwortsicherheit implementieren. Ein Verstoß gegen diese Vorschriften kann hohe Bußgelder und andere Strafen nach sich ziehen.
Es gibt außerdem Frameworks, die Unternehmen freiwillig befolgen können, um Richtlinien für sichere Passwörter umzusetzen. Am bekanntesten sind die beiden folgenden:
- NIST Cybersecurity Framework: Das National Institute of Standards and Technology (NIST) hat Richtlinien und Empfehlungen zur Verbesserung der Cybersicherheit erarbeitet, zu denen auch Best Practices für Passwörter zählen.
- ISO 27001 ( plus DORA, TISAX): ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie enthält Vorschriften zur Verwaltung von Passwörtern, die Teil eines umfassenden Sicherheitsrahmenwerks sind.
Best Practices für Passwörter in Aktion
Lassen Sie mich anhand eines Beispiels veranschaulichen, wie diese Best Practices für die Sicherheit von Passwörtern funktionieren:
Angenommen, Sie heißen Max Mustermann und wurden am 10. Dezember 1985 geboren. Statt „MaxMustermann101285“ als Passwort zu verwenden (das einfach zu erraten ist), sollten Sie bei der Erstellung Ihres Passworts diese Regeln befolgen:
- Wählen Sie ein langes, individuelles (nicht zu erratendes) Passwort, zum Beispiel: „M3an85MM121!“
- Speichern Sie dieses Passwort in einem vertrauenswürdigen Passwortmanager.
- Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung.
Zehn Best Practices für sichere Passwörter
Um die Sicherheit in Ihrem Unternehmen zu verbessern, sollten Sie diese Best Practices für Passwörter befolgen:
- Vermeiden Sie Hinweise oder eine wissensbasierte Authentifizierung: Die Empfehlung des NIST lautet, keine wissensbasierte Authentifizierung zu verwenden. Anstelle von Fragen wie „Was ist Ihr Geburtsort“ sollten Sie ein sichereres Verfahren wie die Zwei-Faktor-Authentifizierung verwenden.
- Verschlüsseln Sie Passwörter: Schützen Sie Passwörter durch Verschlüsselung sowohl bei der Speicherung als auch bei der Übertragung über Netzwerke. Dadurch sind sie wertlos für Hacker, denen es gelingt, diese Passwörter abzugreifen.
- Vermeiden Sie Klartext und in Klartext umwandelbare Formate Benutzer und Anwendungen sollten Passwörter niemals als Klartext oder in einem Format speichern, das sich einfach in Klartext umwandeln lässt. Stellen Sie sicher, dass Ihre Routine zur Verwaltung von Passwörtern keinen Klartext verwendet (z. B. eine XLS-Datei).
- Wählen Sie individuelle Passwörter für unterschiedliche Konten: Verwenden Sie nicht dasselbe oder Varianten desselben Passworts für unterschiedliche Konten. Versuchen Sie, für jedes Konto ein individuelles Passwort festzulegen.
- Nutzen Sie ein Tool zur Verwaltung von Passwörtern: Ein solches Tool kann Sie beim Festlegen neuer Passwörter unterstützen, die Sicherheitsvorschriften erfüllen. Es erinnert Sie außerdem an den bevorstehenden Ablauf von Passwörtern und ermöglicht das Aktualisieren von Passwörtern über eine benutzerfreundliche Oberfläche.
- Setzen Sie Richtlinien für sichere Passwörter durch: Implementieren und setzen Sie Richtlinien für sichere Passwörter durch, die Anforderungen zur Mindestlänge und Komplexität von Passwörtern sowie eine Regel zum Passwortverlauf enthalten, mit der die Wiederverwendung vorheriger Passwörter verhindert wird.
- Aktualisieren Sie Passwörter, wenn Sie dazu aufgefordert werden: Sie sollten Ihre Passwörter regelmäßig überprüfen und gegebenenfalls aktualisieren, um das Risiko unbefugter Zugriffe zu minimieren, insbesondere nach einem Datenleck.
- Überwachen Sie Ihre Konten auf verdächtige Aktivitäten: Überwachen Sie Ihre Konten laufend auf verdächtige Aktivitäten, beispielsweise auf wiederholte fehlgeschlagene Anmeldeversuche, und richten Sie Kontosperren und Warnmeldungen ein, um Gefahren abzuwenden.
- Schulen Sie Ihre Anwender: Absolvieren oder führen Sie regelmäßige Sicherheitsschulungen für Mitarbeiter durch, in denen es um Best Practices für Passwörter, die Gefahren durch Phishing und das Festlegen sicherer, individueller Passwörter für unterschiedliche Konten geht.
- Implementieren Sie Richtlinien für den Ablauf von Passwörtern: Setzen Sie Richtlinien für den Ablauf von Passwörtern durch, die in bestimmten Situationen ein Ändern von Passwörtern erforderlich machen und so die Sicherheit erhöhen.
Lösungen von Netwrix
Das Befolgen von Best Practices für die Sicherheit von Passwörtern ist eine entscheidende Voraussetzung, um sensible Informationen zuverlässig zu schützen und unerlaubte Zugriffe zu vermeiden.
Netwrix Password Secure stellt hochmoderne Funktionen für die Überwachung von Passwortrichtlinien, die Erkennung von und Reaktion auf verdächtige Aktivitäten und die Einhaltung von Branchenvorschriften bereit. Mit Funktionen für Echtzeitbenachrichtigungen, umfassenden Berichten und einer benutzerfreundlichen Oberfläche können Unternehmen Risiken im Zusammenhang mit Passwörtern proaktiv identifizieren und mindern, Richtlinien für sichere Passwörter durchsetzen und ein Höchstmaß an Sicherheit in der gesamten IT-Umgebung gewährleisten.
Zusammenfassung
Vor dem Hintergrund ständig neuer Cyberbedrohungen ist das Befolgen von Best Practices für die Verwaltung von Passwörtern entscheidend für den Schutz Ihrer digitalen Ressourcen. Die wichtigste Empfehlung lautet dabei, sichere und individuelle Passwörter für alle Systeme oder Anwendungen festzulegen. Ein Passwortmanager kann diesen Prozess wesentlich vereinfachen. Implementieren Sie nach Möglichkeit außerdem die Multi-Faktor-Authentifizierung, um Angreifer abzuwehren, denen es gelingt, Ihr Passwort abzugreifen. Wenn Sie diese Richtlinien befolgen, profitieren Sie von einem sichereren Online-Erlebnis und einem zuverlässigen Schutz Ihrer wertvollen digitalen Ressourcen.