Seite wählen

IT-Sicherheit beginnt beim Passwort. Möglichst lang und komplex muss es sein, um Online-Konten und Geräte verlässlich vor unberechtigtem Zugriff zu schützen. In regelmäßigen Abständen sollten zudem neue Kennwörter vergeben werden.

Der nationale „Ändere-Dein-Passwort“-Tag am 1. Februar soll deutsche Anwender auf die große Bedeutung der Passwortsicherheit hinweisen. Online-Plattformen und Mobilgeräte mit unzähligen Apps und Services prägen unsere digitale Gesellschaft. Die meisten Dienste erfordern ein Nutzerkonto mit zugehörigen Login-Daten.

Leider gehen immer noch viele Nutzer fahrlässig mit ihren Login-Daten um und verwenden äußerst einfache Kennwörter wie „12345“, „Passwort“ und dergleichen. Häufig werden diese schwachen Passwörter dann auch noch mehrfach über mehrere Konten hinweg genutzt. Cyberkriminelle haben damit leichtes Spiel und können mit wenig Aufwand viele Dienste für ihre Machenschaften korrumpieren – beim Online Banking oder Online Shopping kann das schnell teuer für die Betroffenen werden.

Das optimale Passwort

Passwortsicherheit ist kein Hexenwerk. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für starke Kennwörter folgende Merkmale:
• Mindestlänge acht Zeichen; bei Verschlüsselungsverfahren wie im WLAN mindestens 20 Zeichen
• Benutzung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
• Keine persönlichen Informationen für Passwörter anwenden (Name, Adresse, etc.)
• Passwörter regelmäßig ändern
• Passwortmanager einsetzen
• Zwei-Faktor-Authentisierung nutzen, falls verfügbar

Mehr Schutz mit Passwortmanager

Speziell die letzten beiden Punkte der BSI-Sicherheitsexperten machen Passwortsicherheit sowohl verlässlich als auch komfortabel anwendbar. Wer starke Passwörter für sämtliche Konten einrichtet und diese laufend aktualisiert, der verliert schnell die Übersicht. Abhilfe versprechen Passwortmanager, die Anwender sowohl bei der automatisierten Kennworterstellung sowie bei der Nutzung im Alltag unterstützen. So verfügen die Tools in der Regel über einen Passwortgenerator, der nach den eigenen Wünschen definierte Kennwörter und Passphrasen erstellt. Dank Browser-Plugins und Smartphone-Apps lassen sich die dort erstellten Passwörter ohne viel Aufwand einsetzen. Die Passwortmanager geben die erforderlichen Login-Daten automatisch in die Anmeldefenster für das Online Banking, Shopping-Dienste, Social Media und Co ein. Die Anwender müssen sich fortan nur noch ein Masterpasswort merken, das den Zugang zum Passwortmanager freigibt.

Zusätzliche Schutzebene per 2FA

Zusätzliche Sicherheit verspricht die Verwendung einer Zwei-Faktor-Authentisierung (2FA), die Login-daten um eine weitere Schutzebene erweitert. Für den Zugang zu Online-Konten ist dann neben Profilnamen und Passwort ein zusätzlicher Einmal-Code erforderlich. Diesen Code erhalten Nutzer etwa per SMS, E-Mail oder Smartphone-App. Der Vorteil: Selbst wenn es Angreifern gelingen sollte, an die Login-Daten eines Dienstes zu gelangen, kommen sie ohne den dazugehörigen 2FA-Schlüssel nicht in das Konto.

Missbrauch von Zugangsdaten

Die hohen Anforderungen an die Passwortsicherheit kommen nicht von ungefähr. Cyberkriminelle nutzen gestohlene Zugangsdaten im großen Stil für illegale Aktivitäten. Passwort-Listen mit Abermillionen an bekannten Login-Daten sind heutzutage frei im Internet zum Kauf verfügbar. Beim sogenannten Credential Stuffing prüfen Kriminelle die Gültigkeit dieser Kennwörter automatisch über mehrere Konten hinweg. Ist ein Kennwort beispielsweise einmal über ein Datenleck eines Webmailers an die Öffentlichkeit gelangt, besteht eine große Chance, dass der Nutzer eben dieses Passwort auch für weitere Dienste einsetzt.

Credential Cracking via Brute-Force

Ist das Passwort für ein Online-Konto nicht bekannt, setzen Kriminelle auf „Credential Cracking“, um die Kennwörter zu knacken. Hierfür nutzen die Angreifer ebenfalls hochautomatisierte Bots, die selbständig häufig verwendete Kennwörter und Zeichenkombinationen prüfen, bis schließlich das richtige Passwort vorliegt. Um solche Brute-Force-Methoden (engl. für „rohe Gewalt“) zu verschleiern, kommen etwa große Botnetze zum Einsatz, die sämtliche Kennwort-Optionen über unterschiedliche IP-Adressen prüfen.

Wie Myra-Technologie bei Unternehmen für Passwortsicherheit sorgt

Die Lösungen von Myra Security schützen Betreiber von Online-Portalen und Web Shops vor solchen Attacken. Mit dem Myra Bot Management wird schädlicher Traffic auf der Webseite automatisch gefiltert, noch bevor die virtuellen Angriffe der Cyberkriminellen zu realen Schäden führen.

Diesen Artikel teilen