Skip links
Nachricht senden
Nach oben

Passwort-Horror: Vermeiden Sie diese 10 größten Fehler beim Erstellen von Passwörtern

Passwörter – die Achillesferse Ihres Unternehmens?

Wussten Sie, dass 80% aller Cyber-Angriffe auf schwache Passwörter zurückzuführen sind? Und stellen Sie sich vor, Hacker kommen an Ihre Kundendaten und Geschäftsgeheimnisse. Ein Alptraum? 

Nicht, wenn Sie diese 10 Tipps zur Verbesserung Ihrer Passwortstrategie befolgen!

1. Länge schlägt Komplexität: Warum lange Passwörter sicherer sind

Obwohl es intuitiv erscheinen mag, dass bei Passwörtern die Komplexität wichtiger ist als die Länge, spielt die Länge tatsächlich eine wichtigere Rolle. Ein längeres Passwort bedeutet, dass mehr Zeichen zu entschlüsseln sind, was das Knacken deutlich erschwert.

Laut BSI sollte ein Passwort mindestens 12 Zeichen lang sein, um Brute-Force-Angriffen standzuhalten. Jedes zusätzliche Zeichen erhöht die Sicherheit exponentiell. Ein 20-stelliges Passwort ist beispielsweise 10 Millionen Mal sicherer als ein 8-stelliges.

Auch wenn komplexe Passwörter mit Sonderzeichen, Groß- und Kleinbuchstaben sowie Zahlen auf den ersten Blick sicherer erscheinen, haben sie einen entscheidenden Nachteil: Sie sind schwer zu merken. Um sich viele komplexe Passwörter zu merken, neigen Menschen dazu, Variationen eines Passworts zu verwenden, indem sie beispielsweise „!“ durch „1“ ersetzen oder einen Buchstaben willkürlich groß schreiben. Diese Praxis macht Passwörter jedoch vorhersehbar und damit leichter zu knacken.

Ein sicheres Passwort sollte daher lang sein und verschiedene Zeichentypen enthalten, aber gleichzeitig leicht zu merken sein. Ein gutes Beispiel ist »P4ssw0rd!2024«. Dieses Passwort ist 16 Zeichen lang, enthält Groß- und Kleinbuchstaben, Zahlen und ein Sonderzeichen und ist gleichzeitig leicht zu merken.

Fazit: Lange und einfache Passwörter sind die beste Wahl, um Ihre Online-Konten und -Daten zu schützen. Vermeiden Sie komplexe Passwörter, die Sie sich nicht merken können, und verwenden Sie stattdessen lange Passwörter mit verschiedenen Zeichen.

2. Regelmäßige Kennwortrücksetzungen vermeiden

Viele Unternehmen fordern ihre Benutzer auf, ihre Passwörter alle paar Monate zu ändern. Diese früher übliche Praxis ist jedoch veraltet und kann sogar zu schwächeren Passwörtern führen.

Laut einer Studie des National Institute of Standards and Technology (NIST) ist die regelmäßige Änderung von Passwörtern nicht mehr notwendig. Die Studie ergab, dass regelmäßiges Zurücksetzen von Passwörtern die Sicherheit sogar verringern kann, da Benutzer dazu neigen, schwache und leicht zu erratende Passwörter zu wählen.

Statt Passwörter regelmäßig zurückzusetzen, können Unternehmen folgende Maßnahmen ergreifen, um die Sicherheit zu erhöhen:

  • Einführung von Multi-Faktor-Authentifizierung (MFA): MFA erfordert neben dem Passwort einen zusätzlichen Faktor, z.B. einen Code aus einer App, um sich anzumelden. Dies erschwert Hackern den Zugriff auf Konten, selbst wenn sie das Passwort kennen.
  • Verwendung von Passwortmanagern: Passwortmanager speichern Passwörter sicher und generieren starke, einzigartige Passwörter für jedes Konto. Dadurch wird verhindert, dass Benutzer dasselbe Passwort für mehrere Konten verwenden.
  • Schulung der Mitarbeiter über Passwortpraktiken: Unternehmen sollten ihre Mitarbeiter regelmäßig zu sicheren Passwortpraktiken schulen, z. B. zur Verwendung langer und komplexer Passwörter und zur Vermeidung der Wiederverwendung von Passwörtern.


Praktisches Beispiel:

Ein Unternehmen fordert seine Mitarbeiter auf, ihre Passwörter alle 90 Tage zu ändern. Ein Mitarbeiter wählt als erstes Passwort »MeinPasswort123«. Beim nächsten Reset ändert er das Passwort einfach in »MeinPasswort124«. Beim nächsten Reset in »MeinPasswort125«. Diese vorhersehbaren Muster machen es Hackern leicht, das Passwort des Mitarbeiters zu erraten.

Fazit: Regelmäßige Passwort-Resets sind nicht mehr notwendig und können die Sicherheit sogar schwächen. Stattdessen sollten Unternehmen auf alternative Maßnahmen wie MFA, Passwort-Manager und Passwortschulungen setzen, um die Sicherheit ihrer Passwörter zu gewährleisten.

Das könnte Sie auch interessieren: Cybersicherheit - 15 Tipps zum Schutz Ihres Unternehmens

3. Anzeige des Passworts während der Eingabe: Mehr Sicherheit oder Risiko?

Die Funktion “Passwort während der Eingabe anzeigen” ist in vielen Browsern und Betriebssystemen verfügbar und kann helfen, Tippfehler zu vermeiden und somit die Eingabe korrekter Passwörter zu gewährleisten. Dies ist vor allem bei langen und komplexen Passwörtern wichtig, um die Sicherheit zu erhöhen.

Allerdings ist diese Funktion nicht ohne Risiko: Das Passwort wird auf dem Bildschirm angezeigt, was es für Personen in der Nähe oder für Schadsoftware leichter macht, das Passwort zu stehlen. Daher sollten Sie diese Funktion nur in einer vertrauenswürdigen Umgebung nutzen und zusätzliche Sicherheitsmaßnahmen ergreifen.

Ob Sie die Funktion “Passwort während der Eingabe anzeigen” nutzen sollten, hängt von Ihrer individuellen Risikobereitschaft und den Umgebungsbedingungen ab. Wägen Sie die Vor- und Nachteile der Funktion sorgfältig ab und treffen Sie eine Entscheidung, die Ihren Sicherheitsbedürfnissen entspricht.

Wenn Sie sich dafür entscheiden, Ihr internes IT-Team zu verstärken, erhalten Sie das Beste aus beiden Welten, ohne ein Modell dem anderen vorziehen zu müssen.

Hier erfahren Sie mehr über unseren IT-Beratungsservices

4. Einfügen von Passwörtern: Bequem und sicher mit Passwortmanagern

Viele Websites und Anwendungen bieten die Möglichkeit, Passwörter in das Anmeldefeld einzugeben. Diese Funktion kann die Passwortsicherheit erhöhen, indem sie die Verwendung langer und komplexer Passwörter erleichtert.

Passwortmanager sind Softwareprogramme, die Passwörter sicher speichern und generieren können. Sie können die Funktion zum Einfügen von Passwörtern verwenden, um Ihre Anmeldeprozesse zu vereinfachen und gleichzeitig die Sicherheit zu erhöhen.

Vorteile der Verwendung eines Passwort-Managers:

  • Starke Passwörter für jedes Konto: Passwort-Manager können starke und eindeutige Passwörter für jedes Ihrer Konten generieren. Dies verhindert, dass Sie schwache oder wiederverwendete Passwörter verwenden, die leicht zu knacken sind.
  • Einfache Anmeldung: Passwort-Manager können Ihre Anmeldeinformationen automatisch ausfüllen, so dass Sie sich nicht jedes Mal alle Passwörter merken müssen.
  • Verbesserte Sicherheit: Passwort-Manager können zusätzliche Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung (2FA) und Verschlüsselung bieten.

Es ist wichtig, einen sicheren Passwort-Manager zu wählen, der Ihre Passwörter zuverlässig schützt. 

Achten Sie bei der Auswahl eines Passwort-Managers auf die folgenden Punkte:

  • Starke Verschlüsselung: Der Passwort-Manager sollte Ihre Passwörter mit einer starken Verschlüsselung schützen.
  • Zwei-Faktor-Authentifizierung (2FA): Der Passwort-Manager sollte 2FA unterstützen, um eine zusätzliche Sicherheitsebene zu schaffen.
  • Regelmäßige Updates: Der Passwort-Manager sollte regelmäßig mit Sicherheitsupdates versorgt werden.

Die Funktion “Passwörter einfügen” kann in Kombination mit einem sicheren Passwort-Manager die Passwortsicherheit verbessern. Durch die Verwendung eines Passwort-Managers können Sie starke und einzigartige Passwörter für jedes Ihrer Konten verwenden und sich dennoch einfach anmelden.

5. Überprüfen, ob Passwörter kompromittiert wurden

Gemäß den Richtlinien des National Institute of Standards and Technology (NIST) sollte jedes neue Passwort gegen eine Blacklist geprüft werden. Diese Liste enthält Elemente wie Wörter aus dem Duden, sich wiederholende Zeichenfolgen, Passwörter aus früheren Sicherheitsverletzungen oder andere häufig erratene Phrasen. 

Wenn ein Passwort auf dieser Liste steht, sollte es nicht akzeptiert werden und der Benutzer sollte aufgefordert werden, ein anderes Passwort zu wählen.

Unternehmen können ein Passwortüberprüfungs-Tool implementieren, das die Passwörter der Benutzer mit einer Datenbank kompromittierter Passwörter vergleicht. Wenn ein Passwort in der Datenbank gefunden wird, wird der Benutzer aufgefordert, sein Passwort zurückzusetzen.

Have I Been Pwned" (HIBP) ist ein nützliches Tool, mit dem Sie überprüfen können, ob Ihre E-Mail-Adresse oder Ihr Passwort in einem bekannten Datenleck kompromittiert wurde. Die HIBP-Datenbank enthält Milliarden von Datensätzen aus gehackten Systemen und wird regelmäßig mit neuen Informationen aktualisiert.
';--have i been pwned? besuchen

Neben speziellen Tools zur Passwortüberprüfung können Unternehmen auch Passwortmanager mit integrierten Funktionen zur Passwortüberprüfung einsetzen. Diese Funktionen können Passwörter nach verschiedenen Kriterien wie Länge, Komplexität und Wiederverwendung prüfen.

Weitere Tipps:

  • Schärfen Sie das Bewusstsein für Passwortsicherheit: Schulen Sie Ihre Mitarbeiter regelmäßig über sichere Passwortpraktiken.
  • Führen Sie starke Passwortanforderungen ein: Fordern Sie Ihre Mitarbeiter auf, starke Passwörter zu verwenden, die mindestens 12 Zeichen lang sind und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
  • Vermeiden Sie die Speicherung von Passwörtern im Klartext: Speichern Sie Passwörter niemals im Klartext. Verwenden Sie stattdessen Hash-Funktionen oder Verschlüsselungsverfahren, um Passwörter zu schützen.

6. Verzichten Sie auf Passwort-Hinweise

Um sich komplexe Passwörter leichter merken zu können, setzen einige Unternehmen auf Passwort-Hinweise oder die Beantwortung persönlicher Fragen. Diese Methode birgt jedoch ein hohes Sicherheitsrisiko, da sie es Hackern leicht macht, an persönliche Informationen zu gelangen und diese zum Knacken von Passwörtern zu verwenden.

Riskante Passwort-Hinweise:

  • Mädchenname der Mutter: Diese Information ist häufig in sozialen Netzwerken oder Stammbäumen zu finden.
  • Schulort: Diese Information kann leicht aus alten Profilen oder Fotos auf Facebook oder LinkedIn herausgefunden werden.
  • Name des besten Freundes: Diese Information kann durch die Suche nach gemeinsamen Freunden in sozialen Medien oder durch die Analyse von Fotos ermittelt werden.
  • Geburtsort: Diese Information ist häufig in öffentlichen Datensätzen oder in sozialen Medien zu finden.
  • Hobbys: Diese Information kann aus Profilen in sozialen Medien oder Online-Foren entnommen werden.
  • Name des Haustiers: Diese Information kann Fotos in sozialen Medien oder Online-Profilen entnommen werden.
  • Lieblingsfilm oder -buch: Diese Information kann aus Profilen in sozialen Medien oder aus Online-Aktivitäten entnommen werden.

Datenschutzverletzungen stellen ein weiteres Risiko für Passworthinweise dar. Wenn persönliche Informationen, die häufig als Passwort-Hinweise verwendet werden, bei einer Datenschutzverletzung kompromittiert werden, können Hacker diese Informationen verwenden, um Passwörter zu knacken.

Die Umsetzung einer guten Cyber-Sicherheitsstrategie kann komplex und kostspielig sein, aber die Kosten, die entstehen, wenn sie nicht umgesetzt wird, können noch höher sein. Wenn Sie Maßnahmen zum Schutz Ihres Unternehmens ergreifen, können Sie dazu beitragen, die potenziell verheerenden Auswirkungen eines Cyber-Angriffs zu vermeiden.

Hier erfahren Sie mehr über unseren Cybersecurity Service

7. Begrenzung fehlgeschlagener Anmeldeversuche

Viele Dienste, wie z.B. Online-Banking-Plattformen, sperren den Zugang nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche. Diese Maßnahme dient dem Schutz vor Brute-Force-Angriffen, bei denen Hacker versuchen, sich durch wiederholte Versuche mit verschiedenen Passwörtern Zugang zu einem Konto zu verschaffen.

So funktionieren Brute-Force-Angriffe:

Bei Brute-Force-Angriffen verwenden Hacker automatisierte Skripte, um verschiedene Passwortkombinationen auszuprobieren, bis sie die richtige Kombination gefunden haben. Dieses Verfahren kann sehr effektiv sein, wenn Passwörter schwach oder leicht zu erraten sind.

Begrenzung der Anmeldeversuche:

Um Brute-Force-Angriffe zu verhindern, begrenzen viele Dienste die Anzahl der erlaubten Anmeldeversuche. Dies kann auf verschiedene Arten geschehen, z.B:

  • Zeitlimits: Nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche wird der Zugang für eine bestimmte Zeit gesperrt.
  • IP-Adressbeschränkungen: Der Zugang wird nur von bestimmten IP-Adressen erlaubt.
  • Captchas: Benutzer müssen ein Captcha lösen, um zu beweisen, dass sie keine Bots sind.

Die Begrenzung der Anmeldeversuche hat mehrere Vorteile:

  • Schutz vor Brute-Force-Angriffen: Schwache Passwörter und Konten werden vor Hackern geschützt.
  • Reduzierung von Accountübernahmen: Die Wahrscheinlichkeit, dass ein Account übernommen wird, sinkt.
  • Verbesserung der allgemeinen Sicherheit: Die allgemeine Sicherheit von Unternehmen und Einzelpersonen wird erhöht.

Fazit: Die Begrenzung fehlgeschlagener Anmeldeversuche ist eine einfache und effektive Maßnahme, um Unternehmen und Einzelpersonen vor Brute-Force-Angriffen und anderen Online-Bedrohungen zu schützen.

8. Einsatz der Multifaktor-Authentifizierung (MFA)

Wir glauben fest an die Multi-Faktor-Authentifizierung. MFA erhöht die Sicherheit erheblich, da mindestens zwei Formen der Identitätsbestätigung erforderlich sind, z. B. ein Passwort und ein Code, der an ein anderes Gerät gesendet wird, bevor Zugriff auf Ihr Konto gewährt wird.

So funktioniert MFA:

Bei MFA müssen Sie zusätzlich zu Ihrem Passwort weitere Informationen angeben, um sich anzumelden. Dies kann ein Code sein, der an Ihr Mobiltelefon gesendet wird, eine Antwort auf eine Frage, die nur Sie kennen, oder ein Code, der von einer Authentifizierungsanwendung generiert wird.

MFA bietet mehrere Vorteile:

  • Erhöhter Schutz vor Account-Hijacking: Selbst wenn Ihr Passwort geknackt wird, können Hacker ohne den zweiten Faktor (z.B. den Code auf Ihrem Handy) nicht auf Ihr Konto zugreifen.
  • Geringeres Risiko von Phishing-Angriffen: Phishing-Attacken versuchen, Sie dazu zu bringen, Ihre Anmeldeinformationen auf gefälschten Websites einzugeben. Mit MFA sind Sie auch dann sicher, wenn Sie Opfer eines Phishing-Angriffs geworden sind.
  • Einfache Implementierung: MFA kann in der Regel einfach und schnell für Konten aktiviert werden.

Es gibt verschiedene MFA-Verfahren, die Sie verwenden können:

  • SMS-Codes: Ein Code wird an Ihr Mobiltelefon gesendet, den Sie eingeben müssen, um sich anzumelden.
  • Authentifizierungs-Apps: Diese Apps generieren Codes, die Sie eingeben müssen, um sich anzumelden.
  • Sicherheitsschlüssel: Diese physischen Geräte erzeugen Codes, die Sie eingeben müssen, um sich anzumelden.
Das könnte Sie auch interessieren: 5 Gründe, warum Sie sofort Multi-Faktor-Authentifizierung aktivieren sollten!

9. Hashing von Benutzerpasswörtern

Sicherheitsverletzungen lassen sich nicht immer vermeiden. Das Hashing von Passwörtern mit sicheren Algorithmen wie Argon2id oder Password-Based Key Derivation Function 2 (PBKDF2) erschwert es Angreifern jedoch erheblich, Anmeldedaten aus einer kompromittierten Datenbank zu stehlen.

Wie Hashing funktioniert:

Beim Hashing wird ein Passwort in eine Folge von Zahlen und Buchstaben (Hash) umgewandelt. Dieser Hash ist irreversibel, d.h. er kann nicht wieder in das ursprüngliche Passwort zurückverwandelt werden. Selbst wenn ein Angreifer Zugang zu einer Datenbank mit gehashten Passwörtern erhält, kann er die Passwörter nicht entschlüsseln.

Das Hashing von Passwörtern bietet mehrere Vorteile:

  • Schutz vor Datenlecks: Wenn Passwörter gehasht werden, sind sie auch im Falle eines Datenlecks geschützt. Angreifer können sich mit den gehashten Passwörtern nicht in Konten einloggen.
  • Geringeres Risiko von Identitätsdiebstahl: Gehashte Passwörter können nicht verwendet werden, um andere persönliche Informationen wie Kreditkartennummern oder Sozialversicherungsnummern zu entschlüsseln.
  • Erhöhte Sicherheit: Das Hashing von Passwörtern trägt zur allgemeinen Sicherheit von Unternehmen und Einzelpersonen bei.

Es gibt verschiedene Hashing-Algorithmen, die Sie verwenden können:

  • Argon2id: Dies ist der neueste und vom BSI empfohlene Algorithmus.
  • SHA-256: Dies ist ein bewährter Algorithmus, aber nicht so sicher wie Argon2id.
  • SHA-512: Dieser Algorithmus ist als sehr sicher anzusehen.
 
BSI-Empfehlung: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Argon2id als Passwort-Hashing-Verfahren in der “Technischen Richtlinie BSI TR-02102: Kryptographische Verfahren: Empfehlungen und Schlüssellängen” (Stand: Januar 2024).

10. Schützen Sie Ihre Datenbanken

Ein Hackerangriff auf eine Website ist häufig auf eine unzureichende Datenbankkonfiguration zurückzuführen. Es ist daher von entscheidender Bedeutung, dass Sie Ihre Abwehrstrategien kontinuierlich verbessern und geeignete Maßnahmen zum Schutz Ihrer Datenbanken ergreifen. Eine ausgeklügelte Passwortstrategie ist wirkungslos, wenn Sie nicht gleichzeitig Maßnahmen ergreifen, um Ihre sensiblen Daten vor unbefugtem Zugriff, Manipulation oder Zerstörung zu schützen.

Um Ihre Datenbanken zu schützen, sollten Sie folgende Maßnahmen ergreifen:

  • Verschlüsseln Sie sensible Daten: Verschlüsseln Sie alle sensiblen Daten in Ihrer Datenbank, sowohl die ruhenden als auch die übertragenen Daten. Dadurch wird es für Hacker schwieriger, auf Ihre Daten zuzugreifen, selbst wenn es ihnen gelingt, in Ihre Systeme einzudringen.
  • Implementieren Sie Firewalls: Implementieren Sie Firewalls, um unbefugten Zugriff auf Ihre Datenbanken zu verhindern. Firewalls können so konfiguriert werden, dass nur autorisierte Benutzer und Anwendungen auf Ihre Datenbanken zugreifen können.
  • Regelmäßige Updates: Stellen Sie sicher, dass Ihre Datenbanksoftware und Ihre Betriebssysteme immer auf dem neuesten Stand sind. Sicherheitsupdates enthalten oft Patches für bekannte Sicherheitslücken, die von Hackern ausgenutzt werden könnten.
  • Zugriffskontrollen: Führen Sie strenge Zugriffskontrollen ein, um den Zugang zu Ihren Datenbanken zu regeln. Stellen Sie sicher, dass nur autorisierte Benutzer mit den erforderlichen Berechtigungen auf Ihre Datenbanken zugreifen können.
  • Datensicherung: Erstellen Sie regelmäßig Sicherungskopien Ihrer Datenbanken. So können Sie Ihre Daten im Falle eines Datenverlusts oder eines Cyberangriffs wiederherstellen.
  • Regelmäßige Sicherheitsüberprüfungen: Führen Sie regelmäßig Sicherheitsaudits Ihrer Datenbanken durch, um Schwachstellen zu identifizieren und zu beheben.

Der Schutz von Datenbanken ist eine geteilte Verantwortung. IT-Abteilungen müssen geeignete technische Maßnahmen ergreifen, die Unternehmensleitung muss die erforderlichen Ressourcen bereitstellen und alle Mitarbeiterinnen und Mitarbeiter müssen sich der Bedrohungen durch Cyberkriminalität bewusst sein und die Sicherheitsrichtlinien einhalten.

Wenn Sie diese Maßnahmen ergreifen, können Sie Ihre Datenbanken vor Cyber-Angriffen schützen und die Sicherheit Ihrer sensiblen Daten gewährleisten.

Schützen Sie Ihre IT-Systeme!

Mit den empfohlenen Tipps des BSI erstellen Sie sichere Passwörter, die Sie auch leicht merken können.

Brauchen Sie Unterstützung beim Schutz Ihrer Systeme?

Dann kontaktieren Sie noch heute die devial GmbH und lassen Sie sich von unseren Experten beraten!

Entdecken
Ziehen