Passwörter & Co.

Zugangsdaten werden heute – zu Recht – fast überall verlangt. Doch mit 'Administrator', '123456' ist es nicht getan. Wir zeigen Ihnen deshalb, auf welche Aspekte Sie achten sollten.

So banal es klingt: Lassen Sie sich von niemandem bei der Eingabe eines Passworts zuschauen, auch nicht von einem Smartphone!

Wie schnell hat man das Passwort versehentlich beim Benutzernamen eingetippt. Auch wenn niemand zuschaut, kann das verheerende Folgen haben, denn viele Anwendungen speichern alle Eingaben (ausser denjenigen ins Passwort-Feld) in Protokoll-Dateien. Tippen Sie deshalb die ersten zwei Zeichen ein und versichern sich, dass diese im richtigen Eingabefeld landen. So verraten Sie nicht gleich das ganze Passwort, wenn Sie es am falschen Ort eingeben. Falls es doch einmal passiert, dass mehr als zwei Zeichen Ihres Passworts sichtbar wurden, müssen Sie das Passwort unverzüglich ändern.

Das Passwort falsch einzugeben, ist nicht schlimm. Man kann es ja noch einmal versuchen. Falls Sie aber fälschlicherweise das Passwort für einen anderen Zugang eingetippt haben, sollten Sie dieses unverzüglich wechseln. Damit erschweren Sie den Übergriff von einem Konto auf das andere.

Verwenden Sie nie Kopieren & Einfügen für Passwörter! Die Zwischenablage (Clipboard) ist für alle Programme auf Ihrem Rechner sichtbar. Man kann sich sogar bei Änderungen benachrichtigen lassen. Sie könnten das Passwort genauso gut ans Anschlagbrett hängen!

Etwas weniger dramatisch ist Drag & Drop, also das Verschieben von Text mit der Maus. Da man leicht aus Versehen etwas am falschen Ort fallen lässt, sollten Sie trotzdem darauf verzichten.

Ein vergessenes Passwort hat nicht immer die gleichen Konsequenzen:

Auf fast allen Internet-Plattformen können Sie ein vergessenes Passwort zurücksetzen. Entweder Sie erhalten einen Update-Link oder ein neues, temporäres Passwort. Das heisst aber auch, dass ein geknacktes E-Mail Konto Zugang zu allen diesen Plattformen ermöglicht!

Haben Sie ihr Windows-Passwort vergessen, kann ein Administrator Ihnen ein neues Passwort setzen. Wenn Sie als Administrator das Passwort vergessen haben, sind die Konsequenzen gravierender. Deshalb sollten Sie das Domänen-Administrator Passwort irgendwo hinterlegen, am besten in zwei Teilen an unterschiedlichen Orten. So haben Sie im Notfall immer noch Zugriff auf das System.

Bei Netzwerk-Komponenten bleibt im Fall eines vergessenen Passworts meist nur der Reset und das neue Aufsetzen. Deshalb ist es wichtig, dass Sie deren Konfigurationen speichern und dokumentieren.

Die Versuchung ist gross, für mehrere Zugänge jeweils dasselbe Passwort zu verwenden. Schliesslich habe ich ja auch ein und denselben Schlüssel für Haustüre, Briefkasten, Wohnung, Keller und Garage.

Die Erfahrung zeigt aber, dass gehackte oder versehentlich sichtbar gemachte Passwörter sofort auf allen möglichen Plattformen durchprobiert werden. Deshalb verzichten Sie auf einen Passepartout!

Mit den Zeichen 'a' und 'b' lassen sich folgende zweistelligen Passwörter bilden: 'aa', 'ab', 'ba' und 'bb'. Das sind 2·2 = 4 mögliche Passwörter, welche ein Angreifer durchprobieren müsste. Bei einem fünfstelligen Passwort sind es schon 2·2·2·2·2 = 32 Kombinationen. Die Wahrscheinlichkeit, dass es beim ersten Versuch erraten wird, ist 1/32 ≈ 3%. Mit mehr unterschiedlichen Zeichen und längeren Passwörtern steigt die Zahl der Kombinationen rasant an.

Aber das ist nur die halbe Miete, denn ein Passwort 'zzzzzzz' ist offensichtlich einfacher als 'x.2-3Aq'. Stellen Sie sich vor, sie müssen jemandem am Telefon das Passwort durchgeben. Bei 'zzzzzzz' sagen Sie einfach «siebenmal 'z'». Im zweiten Fall bleibt Ihnen nur das Aufzählen der einzelnen Zeichen. Unter der Komplexität eines Passworts versteht man – vereinfacht ausgedrückt – die Zeit, welche zur Übermittlung am Telefon benötigt wird. Obwohl beide Passwörter die gleiche Wahrscheinlichkeit haben, durch zufälliges Würfeln gefunden zu werden, hat 'zzzzzzz' eine deutlich geringere Komplexität.

Direkte Angriffe auf Passwörter laufen meist über Wörterbücher. Das sind Listen von bekannten Wörtern wie 'Thurgau' oder bereits geknackten Passwörtern. Bei einem Passwort mit hoher Komplexität ist die Wahrscheinlichkeit gering, dass es bereits in einem Hacker-Wörterbuch steht. Wählen Sie deshalb komplexe Passwörter!

Wie lang ein Passwort sein muss, hängt von mehreren Faktoren ab. Da sich die Wartezeit nach jeder falschen Anmeldung verdoppelt, können Sie auf einem Linux-System auch ein kurzes Passwort kaum durch Probieren knacken. Andererseits lässt sich ein WLAN-Passwort-Austausch sehr einfach mitschneiden. Für Passwörter mit weniger als zwölf Zeichen gibt es fertige Listen (Rainbow Tables), mit denen man das Passwort aus dem Mitschnitt rekonstruieren kann.

Wir empfehlen Ihnen deshalb für Anmelde-Passwörter mindestens zwölf Zeichen zu verwenden. Langlebige Passwörter (Domänen Administrator, Datenbank root, Dienst-Konten und für Netzwerk-Komponenten) sollten mindestens zwanzig Zeichen lang sein.

Wenn Sie selber Administrator sind, sollten Sie wann immer möglich Standard-Benutzer wie 'admin' deaktivieren und eigene Benutzer anlegen. Verwenden Sie möglichst keine offensichtlichen Benutzernamen. Damit erschweren Sie das Durchprobieren von Passwörtern durch Programme (Bots). Dies gilt insbesondere für exponierte Geräte wie Firewalls, Router, Switches und Server im Internet.

Wie soll ich mir hundert Passwörter mit hoher Komplexität merken können?

Alle modernen Browser (Mozilla Firefox, Microsoft Edge, Google Chrome etc.) bieten die Möglichkeit, Passwörter zu speichern. Edge legt die Passwörter im Windows Betriebssystem ab; damit sind sie durch Ihr Login-Passwort geschützt. Firefox hat einen eigenen Passwort Manager, den Sie durch ein Master-Passwort absichern sollten (Einstellungen, Datenschutz & Sicherheit). Ob Sie Google Ihre Passwörter anvertrauen wollen, müssen Sie selbst entscheiden.

Daneben gibt es freie und käufliche Passwort-Verwaltungs­programme. Leider hat es viel Spreu unter dem Weizen. Der Heise Verlag veröffentlicht in der Zeitschrift c't von Zeit zu Zeit einen Test über die aktuellen Passwort Manager.

Beachten Sie, dass gespeicherte Passwörter bei einem Programm- oder System-Absturz verloren gehen können. Wichtige Passwörter sollten Sie ohnehin nicht speichern.

Der Post-it Zettel mit dem Passwort am Bildschirm galt lange Zeit als die Sicherheits­lücke schlechthin. In der Tat wurden schon prominente Firmen gehackt, weil sie WLAN-Passwörter am Anschlagbrett aufgehängt hatten. Ebenso sollten Sie nie eine Passwort-Liste in Word oder ähnlich anlegen. Solche Dateien können leicht gefunden werden und öffnen Tür und Tor!

Auf die andere Seite hat das Aufschreiben von Zugangsdaten viele Vorteile: Handschriftliche Notizen sind für keinen Hacker einsehbar (es sei denn, Ihr Smarphone sieht zu). Alte Passwörter können gestrichen und neue ergänzt werden. So haben Sie auch auf alte Daten Zugriff, wenn Sie ein Backup oder Archiv zurückspielen müssen. Wenn Sie Vor- und Rückseite des Papiers verwenden, sind Benutzername und Passwort nicht gleichzeitig sichtbar.

Als Sicherheits­­grundsatz gilt: Für den Zugang muss ich etwas wissen und etwas haben. Zum Beispiel brauchen Sie fürs E-Banking Benutzername und Passwort (wissen) und Ihr Mobiltelefon oder einen Kartenleser (haben). Übertragen auf Passwort-Notizen sollten Sie deshalb folgendes beachten: Notieren Sie nie das ganze Passwort, sondern nur einen Teil. Die fehlende Information behalten Sie entweder im Kopf, schliessen sie an einem anderen Ort ein oder geben nur einen Hinweis, wie sie rekonstruiert werden kann. Wenn ein Mitarbeiter die Notizen findet (haben), kann er nichts damit anfangen, weil ihm das Wissen fehlt.

In Grossfirmen ist es üblich, Passwörtern eine relativ kurze Lebenszeit zu gewähren. Nach Ablauf werden Sie gezwungen, das Passwort neu zu setzen. Man kann sich daran gewöhnen, aber meist kommt die Aufforderung zum Passwort-Wechsel im dümmsten Moment.

Wir empfehlen Ihnen deshalb, selber Verantwortung zu übernehmen: Wählen Sie grosszügige Passwort-Lebenszeiten und setzen sich einen wiederkehrenden Termin im Kalender, an welchem Sie die Passwörter wechseln. Gerade bei Service-Konten sind oft nicht alle Abhängigkeiten dokumentiert und ein Passwort-Wechsel kann zu Unterbrüchen führen. Planen Sie deshalb genug Zeit für die Nacharbeiten ein.

Grundsätzlich gilt: Passwörter, welche Sie häufig eintippen, sollten Sie auch oft ändern. Insbesondere wo der Schaden gross ist (Admin-Konten, E-Banking Zugang), müssen Sie Disziplin walten lassen. Vorsichtige Unternehmen wechseln solche Passwörter alle paar Wochen.

Wenn Sie den Verdacht haben, dass ein Rechner gehackt wurde, sollten Sie ihn unverzüglich vom Netz nehmen. Wechseln Sie in der Domäne alle Passwörter von Konten, welche auf dem betreffenden Computer je angemeldet waren. Melden Sie sich nie mit einem Domänen Admin-Konto auf einem kompromitierten Rechner an! Nach diesen Erste-Hilfe-Massnahmen empfielt es sich, einen Profi beizuziehen, bevor Sie Daten verlieren.