Passwort

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Kennwort, das zusätzlich zur Teilnehmeridentifikation bei der Inbetriebnahme von Bildschirmarbeitsplätzen einer Datenverarbeitungsanlage oder von entsprechend geschützten Personalcomputern eingegeben werden muss, um nur berechtigten Personen den Zugriff zum System zu gestatten.

Allgemeines

In Anbetracht der in den letzten Jahren fast explosionsartig gestiegenen Rechenleistungen - auch von PCs im privaten Anwemdungsbereich - und der damit verbundenen Möglichkeit bei IT-Angriffen in immer kürzerer Zeit fremde Passworte zu "knacken", genießt die Gestaltung eines möglichst sicheren Passworts herausragende Bedeutung. Daneben hängt die Sicherheit der Zugangs- und Zugriffsrechteverwaltung maßgeblich auch vom korrekten Gebrauch des Passworts ab. Es empfiehlt sich daher dringend, verbindliche Vorgaben hinsichtlich Gestaltung und Benutzung zu entwickeln und die IT-Anwender damit vertraut zu machen. Die nachfolgend aufgeführten Grundregeln basieren auf Empfehlungen des Bundesbeauftragten für den Datenschutz bzw. auf entsprechenden Ausführungen in den IT-Grundschutzkatalogen (Grundschutz) des Bundesamtes für Sicherheit in der Informationstechnik (BSI):

  1. Als oberste Maxime gilt: "Für den Benutzer leicht zu merken, für einen Fremden schwer zu erraten."
  2. Keine Trivialpasswörter verwenden (z.B. Name, Vorname, Geburtstage, 4711, arithmetische Reihen - 1 2 3 4 5 / a b c d - oder andere nebeneinander liegende Tasten, gast usw.)
  3. Mindestlänge: 8 Stellen. Kürzere Passworte sollte das System automatisch zurückweisen!# Unbedingt alphanumerisch gestalten; d.h. Buchstaben-, Zahlen- und Sonderzeichen-Kombination. Zusätzlich Groß- und Kleinbuchstaben verwenden (Beispiel eines Passworts mit "Eselsbrücke" zum leichteren Merken: Der Esel hat vier Beine und zwei Ohren - Deh4B+2O).!
    Bild: Schutzwirkung trivialer Passwörter
  4. Niemandem mitteilen! Niemals auf dem Bildschirm anzeigen lassen.
  5. Ausschließlich zum Zwecke der Hinterlegung schriftlich fixieren, wobei es dann im versiegelten Umschlag sicher (z.B. in einem Tresor) aufzubewahren ist.
  6. Unter keinen Umständen auf programmierbaren Funktionstasten speichern. Speicherung allenfalls in einer verschlüsselten Datei statthaft.
  7. Keine vom System automatisch generierten Passworte verwenden (sind in der Regel vom Benutzer nur schwer zu merken und verleiten insofern zum vorschriftswidrigen - siehe Regel 6 - Notieren).
  8. Voreingestellte Passwörter (z.B. des Herstellers bei Auslieferung von IT-Systemen) sind unverzüglich durch individuelle Pass-wörter zu ersetzen.
  9. Für die Erstanmeldung neuer Benutzer ausschließlich Einmalpasswörter verwenden, die nach ihrem erstmaligen Gebrauch gewechselt werden müssen.
  10. Die Eingabe des Passworts sollte möglichst unbeobachtet stattfinden.
  11. Nach dreifacher fehlerhafter Passworteingabe sollte eine Sperrung erfolgen, die nur vom Systemadministrator wieder aufgehoben werden kann.
  12. Passwort in angemessenem Zeitabstand (bei normalen Anwendungen mindestens alle 90 Tage) ändern; Einhaltung des vorgeschriebenen Turnus ist durch Systemsteuerung sicherzustellen.
  13. Die letzten zehn Passworte können nicht erneut verwendet werden (automatische Ablehnung durch das System).
  14. Für herausragende Funktionen oder besonders sensible Daten/Anwendungen wird ein Zusatzpasswort erforderlich ("4-Augen-Prinzip" bzw. zwei Personen kennen je das halbe Passwort).

Die Website https://howsecureismypassword.net gibt an, wie lange ein Hacker brauchen würde, um ein beliebiges Passwort zu knacken. Es wird empfohlen, Passwörter zu testen, die nicht wirklich in Gebrauch sind, aber im Aufbau dem eigenen Passwort ähneln. Die Ergebnisse bestätigen: Buchstaben-, Zahlen- und Sonderzeichenkombinationen ergeben brauchbare Passwörter. Vor allem aber entscheidet die Länge über die Sicherheit.


BIOS-Passwort

Das BIOS ist die erste Möglichkeit, Einfluss auf einen Computer zu nehmen. Zur Absicherung kann eine Aufforderung zur Eingabe eines BIOS-Passworts oder eines Festplatten-Passworts eingerichtet werden.


PC-Anmeldepasswort

Während in der Vergangenheit versucht wurde, per Brute-Force-Cracking oder Rainbow-Table-Cracking insbesondere bei Windows-Systemen (Windows XP, Windows 7) ein Anmeldepasswort zu "knacken", kommen mittlerweile vielfältige Methoden der Umgehung (d.h. illegale Passwortrücksetzung, Einloggen ohne Passwort) zum Einsatz. Hierfür gibt es mehrere Programme (Linux-Live-CD, Offline NT Password & Registry Editor, Kon-Boot), die nur noch einen physischen Zugang zum Rechner (und ggf. zum BIOS) voraussetzen. Letzteres Programm kann sogar die Systemanmeldung bei Linux-PCs umgehen. Das zu umgehende Administratorpasswort muss allerdings dafür lokal gespeichert sein (d.h. keine Speicherung im LAN wie beispielsweise auf Domaincontrollern in Windows-Netzwerken).


"Change your password"-Day

Seit 2012 findet jährlich am 1.Februar der "Change your password"-Day ("Ändere dein Passwort"-Tag) statt. Nach einem Angriff auf den Onlineshop Zappos, wobei rund 24 Millionen Nutzerkonten zurückgesetzt werden mussten, riefen die Technik-Blogs Gizmodo und Lifehacker erstmals dazu auf. Zwischenzeitlich wird der "Change your password"-Day international von vielen Unternehmen und Organisationen im Internet unterstützt und soll die Nutzer dazu animieren, starke Passwörter zu verwenden.


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 1. Dezember 2016 um 11:13 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Admin und Walter Opfermann.

Anzeigen