http://www.behoerden-spiegel.de
Anzeige 
 

Sichere Passwörter

Kurz und komplex oder lang und trivial?

Passwörter sind ein wichtiger Baustein für den Schutz von Systemen und Daten – wenn sie hinreichend lang und komplex sind. (Foto: BS/Yuri Samoilov, cc by 2.0, flickr.com)
Passwörter sind ein wichtiger Baustein für den Schutz von Systemen und Daten – wenn sie hinreichend lang und komplex sind. (Foto: BS/Yuri Samoilov, cc by 2.0, flickr.com)
"Ein gutes Passwort ist wenigstens acht Zeichen lang und besteht aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern und enthält keine Begriffe aus Wörterbüchern." So oder so ähnlich lauten seit langem übliche Regeln für sichere Passwörter. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Bürgern diese Empfehlungen. IT-Sicherheitsexperten streiten schon länger über den Nutzen solcher Regeln für die Sicherheit. (02.01.2018)

Das National Institute of Standards and Technology (NIST), das bisher ebenfalls vor allem Varianz empfohlen hatte, gibt seit 2017 neue Regeln für Passwörter heraus. Gefordert werden jetzt vor allem möglichst lange Passwörter, um ein Knacken mittels Brute-Force-Angriffen zu verhindern. Dabei lässt ein Angreifer alle möglichen Kombinationen von Zeichen automatisiert durch ein Programm erproben.

Das NIST empfiehlt außerdem sicherzustellen, dass die gewählte Phrase nicht in online verfügbaren Passwortlisten auftaucht. Solche Sammlungen enthalten nicht nur die allgemein häufigsten Passwörter, sondern auch solche, die bei verschiedenen Datenlecks der letzten Jahre von Hackern erbeutet und veröffentlicht wurden. Diese Listen können Cyber-Kriminelle automatisiert gegen verschlüsselte Passphrasen abgleichen lassen. Ob ein bestimmtes Passwort schon in einem Datenleck veröffentlicht wurde, lässt sich zum Beispiel über entsprechende Webdienste ermitteln. In Organisationen ist ein regelmäßiger direkter Abgleich von lokalen Passworthashes mit öffentlichen Listen kompromittierter Passwörter durch den Administrator oder IT-Sicherheitsverantwortlichen eine sinnvolle Maßnahme.

Sensible Konten besonders schützen

In Bezug auf Benutzerkonten in Behörden oder anderen Organisationen, die über weitreichende Rechte verfügen, ist die Befolgung solcher allgemeinen Regeln für sichere Passwörter nicht ausreichend. Gerade Administratorkonten sind ein primäres Ziel für Angreifer. Erhalten sie Kontrolle über solche Konten, können sie direkt sensible Daten abschöpfen, Systeme manipulieren oder Sicherheitsmechanismen außer Kraft setzen.

Dem besonderen Schutzbedarf solcher Konten kann mit einem Passwortmanagement-System begegnet werden. "Dabei werden Passwörter privilegierter Benutzerkonten zentral und geschützt verwaltet, ohne dass der Nutzer selbst sie kennen muss", erklärt Michael Kleist, Regional Director Dach bei CyberArk. Eine Software erstellt dabei automatisch regelmäßig neue Zufalls-Passwörter, die hinreichend lang und komplex sind, um nicht durch Brute-Force-Angriffe geknackt werden zu können. Den ausschließlichen Zugriff berechtigter Personen gewährleistet eine starke Nutzer-Authentifizierung für die Software-Lösung. "Der Administrator selbst braucht kein Passwort für privilegierte Zugriffe zu erstellen und bekommt die in der Software gespeicherten Passwörter auch nicht zu sehen, sondern wird automatisch verbunden. Dies erleichtert die Arbeit – und erhöht die Sicherheit massiv. Als Nebeneffekt werden gleichzeitig Compliance Anforderungen wie Aufzeichnung der durchgeführten Veränderungen abgedeckt", sagt Kleist.

stb




- Anzeigen -
RSS-Feed
Um die Nachrichten via RSS zu empfangen, geben Sie die angegebene Adresse in Ihren RSS-Newsreader ein.

RSS-Feed abonnieren RSS-Feed Adresse
 
Werbung
Advertisement  
 
Partner
Partner

Logo der ICT AG