|
Bis die Biometrie so weit ist, dass man einfach "da sein" muss, um auf die von uns benötigten geschützten Ressourcen zugreifen zu können, besteht die einzige Lösung im "Kennen" (gegenüber einem elektronischen System identifiziert man sich durch das, was man weiß (Passwort), was man hat (Chipkarte), was man ist (Biometrie) oder durch eine Kombination aus diesen drei Elementen.)
Man muss das Passwort kennen, um an die Ressourcen zu gelangen. Das Passwort ist oft die einzige Garantie für die Sicherheit eines Systems und muss daher mit größter Sorgfalt unter Beachtung einiger einfacher Kriterien gewählt werden.
2.1. WARUM EIN PASSWORT SORGFÄLTIG GEWÄHLT WERDEN MUSS
Das Passwort muss unter Berücksichtigung der von den Hackern angewandten Verfahren, das Passwort ihrer künftigen Opfer in Erfahrung zu bringen, gewählt werden. Die gebräuchlichsten Methoden, um an ein Passwort zu gelangen, sind:
Bei der Brute-Force-Methode werden alle möglichen Passwortkombinationen nacheinander durchprobiert. Hacker verwenden dabei Programme, die diese Arbeit automatisch verrichten und es ermöglichen, alle Passwörter in der denkbar umfassendsten Weise zu testen. Dieses Verfahren, das bei kurzen Passwörtern äußerst wirkungsvoll und schnell ist, stößt bei der Ermittlung langer Passwörter jedoch an seine Grenzen. Die für die Suche erforderliche Zeit verlängert sich exponentiell im Verhältnis zur Länge des Passworts. Hieraus wird ersichtlich, warum man ein langes Passwort wählen sollte, um sich gegen Brute-Force-Attacken zu schützen.
Unter Wörterbuchangriffen versteht man die Verwendung sehr umfangreicher Verzeichnisse gängiger Wörter, bestehend aus mehreren Tausend Wörtern in verschiedenen Sprachen (ähnlich wie Wörterbücher), wobei nur diejenigen Worte getestet werden, die in dem verwendeten Wörterbuch enthalten sind. Dieses Verfahren ist zwar nicht erschöpfend, bringt aber dennoch gute Ergebnisse. Tatsächlich handelt es sich bei den im Wörterbuch enthaltenen Wörtern um sehr gängige Ausdrücke, die daher von den Usern oft als Passwort gewählt werden. Daraus wird ersichtlich, warum man kein gebräuchliches Wort - auch nicht in einer Fremdsprache - als Passwort wählen sollte, sodass es nicht in einem Wörterbuch verzeichnet ist, aber auch, weiterhin sollte man nicht-alphanumerische Zeichen wie z.B. Interpunktionszeichen verwenden, um das gewählte Passwort komplexer zu gestalten.
Die bewährte Regelung, dass das Konto nach mehreren fehlerhaften Eingabeversuchen gesperrt wird, gilt nicht für Hacker-Attacken, die zahlreiche Versuche erfordern.
Das erste Ziel der Hacker besteht nämlich darin, sich die Datei mit den in verschlüsselter Form gespeicherten Passwörtern zu verschaffen, bevor sie versuchen, die in dieser Datei enthaltenen Passwörter zu ermitteln (zu "knacken"). Sobald sie in den Besitz dieser Datei gelangt sind, haben sie daher Zeit im Überfluss und unbegrenzt viele Versuche, um die gewünschten Passwörter zu knacken. Das ist der Grund, warum Passwörter, die den Zugang zu Dienstleistungen wie z.B. Online-Banking oder sensiblen Ressourcen wie dem privaten PC schützen, regelmäßig geändert werden müssen, um dem Hacker nicht allzu viel Zeit zu lassen, um das gewünschte Passwort zu knacken, ungeachtet dessen, wie sicher es ist.
2.2. DIE RICHTIGE WAHL DES PASSWORTS
Mindestens 8 Zeichen Länge
Es wird empfohlen, dass das Passwort aus mindestens 8 Zeichen besteht. Es sollte aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen wie z.B. Interpunktionszeichen bestehen.
Leicht zu merken, aber schwer herauszufinden
Das Passwort sollte so gewählt werden, dass es leicht zu merken ist, damit man es sich nicht aufschreiben muss.
Außerdem muss das gewählte Passwort sehr schwer herauszufinden sein, selbst von guten Bekannten (siehe im Folgenden unter Social Engineering ).
Das gewählte Passwort
- darf keinem Wörterbuch (auch keinem fremdsprachigen) entnommen sein
- darf kein Vorname sein
- darf keine auf Ihre Person bezogenen Informationen enthalten (Vorname, Geburtsdatum usw.)
Verwenden Sie das gleiche Passwort nicht mehrmals
Jedes Passwort muss einem bestimmten Zugang zugeordnet sein. Für verschiedene Anwendungen müssen verschiedene Passwörter vergeben werden.
Bei der Nutzung von Online-Diensten wird empfohlen, jedes Mal ein anderes Passwort zu verwenden, aber in keinem Falle eines, das bereits für einen anderen Zugang verwendet wird.
Regelmäßige Änderung des Passworts
Ein Passwort muss in regelmäßigen Abständen geändert werden. Es darf höchstens 90 Tage lang verwendet werden. Diese Regel ist entsprechend der Sensibilität der zu schützenden Ressource anzupassen.
Wenn das gewählte Passwort einen Zugang von geringerer Bedeutung schützt, z.B. den Zugang zu einer nur sehr selten besuchten Website, muss das Passwort nicht unbedingt alle drei Monate geändert werden. Wenn es sich dagegen um sensible passwortgeschützte Ressourcen und Dienstleistungen handelt, wie z.B. den Zugang zum privaten Computer oder den Bankkonten per Internet, muss das Passwort regelmäßig geändert werden, um einem potenziellen Hacker nicht allzu viel Zeit zum Knacken des Passworts zu lassen.
Außerdem müssen Passwörter auf jeden Fall immer dann geändert werden, wenn der Verdacht besteht, dass sie missbraucht oder verbreitet wurden.
Das Passwort ist zum persönlichen Gebrauch bestimmt
Ein Zugang per Passwort ist einem Namen zugeordnet. Ein Passwort darf nicht von mehreren Personen gemeinsam verwendet werden, und es darf unter keinen Umständen weitergegeben werden.
Denken Sie daran, dass vertrauenswürdige Organisationen Sie unter keinen Umständen jemals nach Ihrem Passwort fragen werden.
Eine Methode zur Erzeugung eines zuverlässigen Passworts ist folgende:
1. Nehmen Sie einen beliebigen Satz, z.B. aus einem literarischen Werk:
Zwei Seelen wohnen, ach! in meiner Brust; die eine will sich von der andern trennen.
(Goethe, Faust)
2. Nimmt man nur die Interpunktionszeichen und die Anfangsbuchstaben jedes Wortes, ergibt dies:
2Sw,a!imB;d1wsvdat.
3. Eventuell muss das so gewählte Passwort entsprechend den Leitlinien für die Passwortwahl angepasst werden:
- Das Passwort auf 8 Zeichen kürzen, wenn nur Passwörter mit 8 Zeichen zulässig sind
- Sonderzeichen hinzufügen, z.B. @ anstelle von a oder $ anstelle von d, falls keine Interpunktionszeichen zulässig sind und man diese entfernt hat
|
