Sichere Passwörter: die Standards
IT-Experten wie Andreas Schober, Geschäftsführer der Aconitas GmbH, empfehlen, für jeden Account ein individuelles Passwort zu verwenden. Das deckt sich auch mit den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Außerdem müssen, so Schober, Passwörter so lang wie möglich sein, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten. Auch sog. Passphrasen sind möglich.
“Die Empfehlung, Passwörter regelmäßig abzuändern, hat das BSI mittlerweile revidiert. Allerdings basiert diese Entscheidung auf der Annahme, dass Anwender irgendwann unsichere Chiffren nutzen, um sich die neuen Zugangsdaten merken zu können. Mit einem Passwort-Manager ist man hier auf der sicheren Seite”, sagt Schober.
Passwortvergabe und Management durch Software
Weil sich nur die wenigstens Menschen unzählige, individuelle und vor allem sehr komplexe Passwörter für die verschiedensten Accounts merken können, muss man diese irgendwo abspeichern. Excel Tabellen und gelbe Klebezettel am Bildschirm wären jedoch die falsche Lösung.
Zahlreiche Browser wie “Chrome” von Google bieten bereits die Möglichkeit, Zugangsdaten zu sichern und bei Bedarf über eine Autofill-Funktion abzurufen. Das ist praktisch, schützt vor sog. Keyloggern (Keylogger = Malware, die Tastatureingaben abgreift) und ist eine Funktion, die auch die meisten Passwort-Manager bekannter Namen wie Dashlane, 1Password oder Kaspersky bieten.
Eine Übersicht der beliebtesten und am besten getesteten Programme zur Passwortverwaltung erhalten User auf der Vergleichsseite von Passwort-Manager.com.
Zwei-Faktor-Authentifizierung nutzen
IT-Sicherheitsexperte Jan Bindig, geschäftsführender Gesellschafter der Bindig Media GmbH und Vorstandsmitglied der kiwiko eG, einer Genossenschaft aus IT-Dienstleistern in ganz Deutschland, verweist auf die Wichtigkeit der Zwei-Faktor-Authentifizierung: “Bei der Zwei-Faktor-Authentifizierung benötigt man einen zweiten Schlüssel, um Zugriff auf ein Benutzerkonto zu erhalten. Selbst wenn das Passwort gehackt würde, könnten Hacker damit erst einmal nichts anfangen. Bei der Absicherung von Passwort-Tresoren ist die 2FA erst recht Pflicht. ”
Viele Online-Dienste setzen auf 2FA-Apps wie den Google Authenticator oder den Microsoft Authenticator. Weitere beliebte Apps sind Authy und FreeOTP. Bindig weiter: “Wir führen unter anderem sog. Penetrationstests in Unternehmen durch. Einfach ausgedrückt hacken wir die Firmen in deren Auftrag. Teilweise brauchen wir nicht lange, um ein katastrophales Passwort-Management aufzudecken. Dabei könnte es mit der richtigen Software so einfach sein.”
Passwortverwaltung in Unternehmen
Weder der Funktionsumfang der Browser-Schlüsselbunde noch der von Passwort-Managern für den Privatgebrauch ist für Unternehmen ausreichend. Anderes Schober von Aconitas erklärt: “Unternehmen benötigen eine Software, mit der Passwörter zentral verwaltet werden können und sich Zugriffe durch Administratoren erteilen oder wieder entziehen lassen, ohne dass die einzelnen Mitarbeiterinnen und Mitarbeiter die Passwörter überhaupt kennen.” Mit dem Pleasant Password Server für Unternehmen bietet die Aconitas GmbH eine solche Lösung.
Für das Plus an Sicherheit sorgt die Tatsache, dass alle Daten stets in der Datenbank des Servers, statt lokal gespeichert werden. Schober: “Die Datenbank selbst ist mit einem FIPS 140-2 konformem AES256 Algorithmus verschlüsselt”.