Sichere Passwörter generieren – Anleitung für den Büroalltag

Tagtäglich werden wir mit Passwörtern konfrontiert. Beim Einloggen in unser Windowskonto, beim Abrufen unserer E-Mail-Konten, bei Facebook, Twitter und weiteren sozialen Netzwerken, in der Firma, zuhause, bei fast jeder Online-Aktivität und auch bei manchen Offline-Aktivitäten. Für jeden Account benötigen wir ein sicheres Passwort, das wir uns merken können und das trotzdem nicht leicht zu erraten sein sollte.

Wie sieht ein sicheres Passwort aus?

Als sicher gilt es in der Regel dann, wenn es aus mindestens acht, besser zehn alphanumerischen Zeichen besteht – Also:

  • Groß- und Kleinbuchstaben
  • Ziffern
  • Sonderzeichen wie „;“ „_“ „@“
  • Solche Zeichenkombinationen sind natürlich schwer im Gedächtnis zu behalten, insbesondere in größerer Anzahl. An dieser Stelle muss dann entschieden werden, ob Komfortabilität oder Sicherheit im Vordergrund stehen. Bei sehr wichtigen Konten wie E-Mail-Adressen, von denen im Grunde alle anderen Accounts abhängen, ist die Entscheidung jedoch einfach.

    Bei weniger wichtigen Accounts wie zum Beispiel Diskussionsforen oder Zugängen zu Heimcomputern, an die ohnehin niemand anderes heran kommt, kann dann auch ein einfacheres Passwort verwendet werden. Auch bei besonders häufigem Einloggen kann ein Passwort von mehr als 12 Zeichen sehr störend sein, zumal eine Kompromittierung des Kontos ohnehin sehr schnell auffällt. Es geht also nicht immer darum, ein möglichst langes und kompliziertes Passwort zu finden. Vielmehr muss abgewogen werden, wo wie viel Sicherheit benötigt wird und wo darauf verzichtet werden kann.

    Wovor schützt ein gutes Passwort?

    Gute Passwörter schützen Sie
    Mit einem guten Passwort erhöhen Sie die Sicherheit. / Foto: weixx / fotolia.com
    Um sich effektiv schützen zu können, muss man zunächst die Angriffsmöglichkeiten kennen. Passwörter schützen meistens wichtige, personenbezogene Daten oder die Privatsphäre einer Person. Dabei gibt es sowohl Daten, die offline vorhanden sind – wie beispielsweise alle Dateien auf dem eigenen Computer, geschützt durch den Anmeldevorgang, wenn man Windows startet, wie auch Daten, die online gelagert werden. Online sind es vor allem Kontaktinformationen wie der Name, die Adresse oder auch Rechnungsinformationen, deren Angabe nach Möglichkeit minimiert werden sollte. Von größter Wichtigkeit, abgesehen von Letzterem, ist der Schutz des eigenen E-Mail-Kontos. Dessen Adresse wird in der Regel verwendet, um Accounts bei anderen Anbietern anzulegen. Wird in dieses eingebrochen, fallen dem unter Umständen auch alle damit verbundenen Accounts zum Opfer.

    Im Internet gibt es außerdem eine weitere Besonderheit; In der Adresszeile des Browsers wird am Anfang das zum Datenaustausch verwendete Protokoll angezeigt. Hier sollte unbedingt das Kürzel „https“ stehen, ein Akronym für „Hypertext Transfer Protocol Secure“, wobei das angehängte „s“ für „Secure“ steht. In diesem Fall ist die gesamte Kommunikation verschlüsselt. Fehlt das „s“, sollten wichtige Informationen wie Kreditkartendaten gar nicht erst eingegeben werden.

    Es gibt vor allem zwei Angriffe, die den Daten von Nutzern gefährlich werden können. Zum ersten ist das die Brute-Force-Methode, bei der schlichtweg alle möglichen Zeichenkombinationen als Passwort ausprobiert werden. Dem kann sowohl von Seiten des Nutzers als auch des Anbieters einfach entgegen gewirkt werden. Ersterer verwendet möglichst alphanumerische Passwörter mit mindestens acht oder mehr Zeichen, letzterer kann bei mehrfachen Zugriffsversuchen mit falschen Passwörtern den Zugang eine Zeit lang sperren (Fail2Ban). Die zweite Methode ist der Man-in-the-middle-Angriff, bei welchem sich der Aggressor in der Mitte zwischen Nutzer und Anbieter einnistet, um die gesamte Kommunikation mitzuschneiden. Ist diese stark verschlüsselt, wie beispielsweise bei Verwendung von https und Ähnlichem, stellt dies kein direktes Problem dar. Der Man-In-The-Middle-Angriff endet in der Regel automatisch bei einem Verbindungsabbruch.

    Zuletzt sind solche Methoden zu nennen, bei denen mit Betrug gearbeitet wird. Darunter fallen beispielsweise Phishing-Mails, bei denen versucht wird, Nutzerdaten mittels als Werbung oder Gewinnspiel getarnter Massenmails zu erhalten. Diesem entgeht man am besten einfach, indem man nicht auf E-Mails von unbekannten Adressen antwortet. In die gleiche Kategorie fällt jede Methode, bei denen sich der Angreifer als Mitarbeiter einer Organisation ausgibt und direkt nach den Daten des Nutzers fragt. Grundsätzlich gilt aber: Kein Mitarbeiter einer online arbeitenden Organisation wird jemals nach Daten eines Nutzers fragen, da sie diese Informationen ganz einfach selbst einholen können, oder nie benötigt werden.

    Wie wählt man ein sicheres Passwort?

    Ein gutes Passwort ist lang und besteht aus vielen unlogischen alphanumerischen Kombinationen. Dabei sollten immer alle Möglichkeiten genutzt und am besten mehrere Sonderzeichen verwendet werden, um die Sicherheit des Passwortes zu steigern. Wichtig ist, dass dabei weder Phrasen noch Wörter gebildet werden, da das Passwort so mit Hilfe Brute-Force-Methode einfacher erraten werden kann.

    Einer der häufigsten Fehler ist die Verwendung des eigenen Namens oder dessen Kürzels im Passwort. Im Falle einer Kompromittierung werden neben dem Passwort dann noch weitere Informationen verraten. Ebenfalls problematisch sind die Verwendung des Geburtsdatums, der eigenen Telefonnummer oder bestimmter Worte und Zahlenfolgen, die sich der Nutzer leicht merken kann. Kennt der Angreifer den Passwortnutzer persönlich, kann er sogar durch reine Vermutungen und einigen Versuchen auf das richtige Passwort kommen.

    Weiterhin problematisch ist die Verwendung derselben Passwörter für mehrere verschiedene Zugänge oder sogar für alle. Hatte ein Angreifer bei einem Konto Erfolg, wird er im Normalfall dieses Passwort als erstes bei allen weiteren Accounts ausprobieren.

    Verwaltung von Passwörtern

    Je nachdem wie hoch die Position und das firmeninterne Wissen einzelner Mitarbeiter im Unternehmen ist, müssen geschäftsrelevante Passwörter ausreichend geschützt werden. / Foto: vege / fotolia.com
    Je nachdem wie hoch die Position und das firmeninterne Wissen einzelner Mitarbeiter im Unternehmen ist, müssen geschäftsrelevante Passwörter ausreichend geschützt werden. / Foto: vege / fotolia.com
    Damit der Umgang mit der sehr schnell wachsenden Menge an Passwörtern leicht von der Hand geht, empfehlen sich mehrere Vorgehensweisen. Die gleichzeitig offensichtlichste und offensichtlich sicherste Methode besteht darin, sich alle Passwörter zu merken. Dies wird allerdings spätestens bei einer zweistelligen Menge an alphanumerischen Passwörtern einer ausreichenden Länge von acht beziehungsweise zehn Zeichen schwierig und beinhaltet die Gefahr, eines oder mehrere Passwörter wieder zu vergessen, welche dann umständlich wiederhergestellt werden müssen. Das wäre zum Beispiel über den Support-Dienst der jeweiligen Webseite oder über für diesen Zweck eingerichteten Sicherheitsabfragen möglich.

    Die zweite Möglichkeit klingt banal, ist aber recht effektiv; Es genügt ein Zettel, auf welchem alle Konten mit den dazugehörigen Passwörtern notiert werden. Ein Zettel ist einfach aufzubewahren, unter Umständen in einer abschließbaren Schublade oder Ähnlichem. Außerdem ist es unmöglich, dass die in dieser Form erhaltenen Datensätze durch irgendein technisches Problem verloren gehen. Noch etwas sicherer wird diese Vorgehensweise, wenn man die wichtigsten Passwörter auswendig lernt, während man die weniger wichtigen schriftlich festhält und sicher aufbewahrt. Anbieten würden sich dafür beispielsweise die Zugangsdaten zu den E-Mail-Konten und alle Accounts, in denen Rechnungsinformationen wie Kontodaten gespeichert werden.

    Verwendet man sehr viele Konten und damit auch sehr viele verschiedene Zugangsdaten, kann man einen Passwortmanager oder auch Keyring einsetzen. Dieser benötigt zur Freischaltung ein Hauptpasswort, welches sehr sicher ist – beispielsweise fünfzehn bis zwanzig alphanumerische Zeichen – und alle anderen Passwörter freischaltet. Passwortmanager werden vor der Verbindung mit dem Internet aktiviert und trennen damit alle gespeicherten Passwörter sicher von etwaigen Zugriffen von außen.

    Zuletzt noch etwas zu einer Angewohnheit, welche sich viele Menschen angeeignet haben. Dauerhaft im Browser gespeicherte Passwörter beinhalten die Gefahr, dass jeder, der diesen Rechner verwendet, sich automatisch mit dem Besuchen der jeweiligen Internetseite einloggt und damit vollen Zugriff hat. Aus dem gleichen Grund sollte man sich ausloggen, nachdem man alles getan hat, wofür man sich eingeloggt hat. Alternativ kann man sich am Ende einer Sitzung bei allen Online-Diensten ausloggen, um anderen keine Möglichkeit zu bieten von diesem Rechner aus auf die eigenen Konten zu zugreifen.

    Fazit sichere Passwörter

    Folgendes ist also wichtig, um einen sicheren Umgang mit Zugangsdaten wie Passwörtern zu gewährleisten.

      Zuerst einmal ist es wichtig, ausreichend lange Passwörter aus alphanumerischen Zeichenketten zu verwenden, um eine Grundlage für die eigene Sicherheit zu schaffen.
      Auf bekannte Phrasen wie der eigene Name, dessen Kürzel oder Zahlenkombinationen wie das Geburtsdatum sollte aus naheliegenden Gründen verzichtet werden.
      Kein Passwort sollte doppelt verwendet werden und sich nach jeder Sitzung aus dem entsprechenden Konto ausgeloggt werden, um keine Möglichkeit zur Kompromittierung zu bieten.

    Mit diesen Vorgehensweisen werden zwei häufige Angriffsarten, namentlich die Brute-Force-Methode und der Man-In-The-Middle-Angriff bereits von vornherein verhindert oder zumindest sehr erschwert.

  • Betrugsmaschen entgeht man, indem man lediglich auf Nachrichten von bekannten E-Mail-Adressen antwortet.
  • Der wichtigste Online-Zugang ist die eigene E-Mail-Adresse, mit welcher im meistens mehrere weitere Konten angemeldet werden.
  • Zur Verwaltung der Passwörter empfehlen sich auf Papier geführte und sicher aufbewahrte Passwortlisten, unter Umständen ein Passwortmanager und im Idealfall oder für die wichtigsten Daten natürlich das eigene Gedächtnis.
  • Werden diese Grundsätze eingehalten, bietet man den meisten Methoden gar keine Angriffsfläche.

    Beitrag kommentieren

    Alle Beiträge zum Thema: Büroalltag

    Navigate