Passwortsicherheit

Benutzerkonten werden durch Passwörter geschützt. Ein Blick in die Top Ten der häufigsten Passwörter in Deutschland zeigt, dass viele Menschen die Bedeutung sicherer Passwörter auch heute noch unterschätzen. So zählen Zahlenfolgen wie „123456“ und „12345“ sowie „hallo123“ und „passwort“ zu den am meisten genutzten Passwörtern. Für geübte Angreifer sind solche Passwörter sehr einfach zu erraten. Zudem gibt es automatisierte Verfahren, mit denen Angreifer in Sekundenschnelle Millionen von Passwörtern ausprobieren können. Ist das Passwort geknackt, hat der Angreifer vollen Zugriff auf das Konto und damit auf alle Informationen und Daten, die mit dem Konto verarbeitet werden (Adressen, Kreditkartennummern, Fotos etc.). Auch durch die Veröffentlichung oder den Verkauf von erbeuteten Login-Daten kann Identitätsmissbrauch betrieben und Daten können kopiert, verändert oder zerstört werden.
Deshalb ist es wichtig, ein sicheres Passwort zu wählen. Was ein sicheres Passwort ausmacht, lesen Sie weiter unten. Generell sollten Sie mit Ihren Passwörtern genauso sensibel und verantwortungsbewusst umgehen, wie mit Ihrem Wohnungsschlüssel oder der PIN Ihrer EC-Karte.

Tipps, Tricks und Regeln für Passwörter

Passwörter regelmäßig ändern?

Lange herrschte die Meinung vor, Passwörter müssen regelmäßig geändert werden. Neuere Forschung zeigt aber, dass die regelmäßige Änderung der Passwörter nicht zu mehr Sicherheit beiträgt [2][3]. Im Gegenteil, umso öfter man Passwörter ändern muss, umso schlechter kann man sich diese merken. Nutzer tendieren daher dazu, alte Passwörter bei der Passwortänderung nur minimal zu verändern oder sich Passwörter aufzuschreiben.
Hat man also einmal ein sicheres Passwort gewählt, muss es nur dann geändert werden, wenn es bekannt geworden ist. Daher sollten Sie in regelmäßigen Abständen prüfen, ob Ihre Kennwörter noch als sicher gelten,  indem Sie einen Identity Leak Check durchführen.

Beim Verdacht, dass Kennwörter ausgespäht oder bekannt wurden, sollten diese umgehend geändert werden.

Wie Sie Ihr FHWS-Passwort ändern, können Sie hier auf den Seiten des IT Service Centers nachlesen: Kennwort ändern

 

Tipps für sichere Passwörter

  • Ein sicheres Passwort sollte mindestens acht (besser zwölf) Zeichen lang sein.
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Das Passwort sollte jedoch keine Umlaute enthalten, da manche Programme diese falsch verarbeiten und sie im Ausland auf landestypischen Tastaturen nicht zu finden sind.
  • Man sollte kein Passwort verwenden, auf das man leicht rückschließen kann (Familienname, Angehörige, Haustiere, Geburtstage etc.)
  • Idealerweise steht das Passwort in keinem Wörterbuch.
  • Das Passwort darf nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht „asdfgh“, „1234abcd“, „qwertz“, „1qay2wsx“ und so weiter.

 

Wie merkt man sich ein gutes Passwort? [1]

Für das Merken von Passwörtern gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen.
Hier ein Beispiel:
"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".
Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut. Wichtig ist, dass sich der Benutzer des Passwortes den Satz selbst ausgedacht hat. Werden zum Beispiel die Anfangsbuchstaben eines Literaturzitates oder Kinderliedes als Passwort gewählt, dann ist auch das daraus abgeleitete Passwort leicht zu erraten.
Wenn Sie ein Passwort ändern, tun Sie das zu Beginn einer permanenten Nutzung (z. B. zum Semesterstart), nicht vor einem längeren Urlaub oder einer längeren Abwesenheit.

Passwörter nicht notieren!

Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf einem Notizzettel am Bildschirm oder unter der Tastatur kleben.
Wer viele Konten hat, kann einen Passwort-Manager nutzen, wie zum Beispiel keepass. Ein Passwort-Manager merkt sich alle Passwörter und er hilft Ihnen, sichere Passwörter zu generieren. Sie müssen sich dann nur noch ein sicheres Master-Passwort für den Zugriff auf den Passwort-Manager überlegen und merken. Mit diesem Master-Passwort haben Sie dann Zugriff auf Ihre anderen Passwörter. Ist allerdings das Master-Passwort bekannt, kann auf alle im Passwort-Manager abgelegten Passwörter zugegriffen werden!
Stellen Sie daher unbedingt sicher, dass Sie ein nicht zu erratendes, langes und komplexes Passwort als Master-Passwort nutzen!

Das gleiche Passwort nicht mehrfach verwenden

Problematisch ist die Gewohnheit, das gleiche Passwort für verschiedene Konten zu verwenden. Also z. B. ein und dasselbe Passwort für das Online-Banking und für soziale Netzwerke. Gerät das Passwort eines einzelnen Kontos in falsche Hände, hat der Angreifer gleich Zugriff auf mehrere Konten.
Daher muss pro Anwendung jeweils ein individuelles Passwort gewählt werden!

Voreingestellte Passwörter ändern [1]

Bei vielen Softwareprodukten werden bei der Installation (beziehungsweise im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit eigenen Passwörtern abzusichern. Passwörter nicht an Dritte weitergeben oder per E-Mail versenden


Wenn Sie Ihre Passwörter an Dritte weitergeben, verlieren Sie die Kontrolle darüber und Sie haben sich umsonst die Mühe gemacht, ein gutes Passwort zu wählen. Geben Sie Ihr Passwort niemals an Dritte weiter!
Versenden Sie Passwörter auch niemals per E-Mail. In der Regel werden E-Mails unverschlüsselt versandt. Unverschlüsselte E-Mails können von Dritten auf ihrem Weg durch das Internet mitgelesen werden.

Versenden Sie Passwörter also niemals per E-Mail und geben Sie Ihr Passwort niemals an Dritte weiter!

 

Das Internet bietet Services, bei denen Sie überprüfen können, ob Ihre Zugangsdaten (E-Mail-Adressen und Passwörter) öffentlich bekannt sind. Diese Daten könnten z. B. durch einen Datenleak (DataBreach) in der Vergangenheit bekannt geworden sein. Beispielsweise erbeuteten Hacker 2012 bei Dropbox 68 Mio. E-Mail-Adressen mit dazugehörigen (verschlüsselten) Passwörtern. Sofern die Hacker diese wertvollen Informationen nicht selbst verwenden, verkaufen Sie diese häufig über das sogenannte Darknet.


Services, bei denen Sie anhand Ihrer E-Mail-Adresse überprüfen können, ob Ihre Daten Teil eines Identity Leaks sind, werden vom Hasso-Plattner-Institut (HPI) und vom IT-Sicherheitsexperten Troy Hunt (Have I been Pwned) angeboten.
Die Wahrscheinlichkeit, dass auch Sie Opfer eines solchen Datenleaks geworden sind, ist sehr hoch. Das HPI gibt beispielsweise an, dass täglich knapp 820.000 Accounts veröffentlicht werden.


Um Ihre E-Mail-Adresse zu prüfen, geben Sie diese einfach auf den Webseiten der Anbieter ein. Beim Dienst "Have I been Pwned" erhalten Sie umgehend eine Rückmeldung, beim HPI erhalten Sie diese Rückmeldung per E-Mail.

Dienst

Link

Anbieter

Have I Been Pwned

Link (in neuem Fenster)

Troy Hunt

Identity Leak Check

Link (in neuem Fenster)

Hasso Plattner Institut (HPI)


Bitte lassen Sie nur Ihre eigene(n) E-Mail-Adresse(n) durch die Dienste prüfen, da im Falle des Dienstes des HPI die Benachrichtigungs-E-Mail an diese Adresse versendet wird.

 

Sollte Ihre FHWS E-Mail-Adresse in einem der Leaks enthalten sein, so wenden Sie sich bitte unverzüglich an den ITSC-Helpdesk der FHWS und ändern Sie vorsorglich Ihr Passwort!

 

-> Webseite des ITSC: https://itsc.fhws.de/

Standort

E-Mail

Telefon

Würzburg

helpdesk.itsc[at]fhws.de

0931 3511-6260

Schweinfurt

helpdesk.itsc[at]fhws.de

0931 9721-6262

 

Sollte Ihre private E-Mail-Adresse in einem der Leaks enthalten sein, empfehlen wir Ihnen dringend, Ihre Passwörter zu ändern, für alle Dienste die Sie mit dieser E-Mail-Adresse nutzen!


Weitere Informationen zu Ablauf, Nutzen und Quellen der Identity Leak Checks finden Sie in den FAQs auf der jeweiligen Seite.

Quellen: (Vgl. [4] [5])

Literaturverzeichnis

[1]     BSI für Bürger, „Passwörter,“ Bundesamt für Sicherheit in der Informationstechnik, www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html).
[2]     Y. Zhang, F. Monrose und M. K. Reiter, „The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis,“ in CCS '10: Proceedings of the 17th ACM conference on Computer and communications security, Illinois, Chicago, USA, 2010. Abrufbar unter: dl.acm.org/doi/abs/10.1145/1866307.1866328
[3]     S. Chiasson und P. C. van Oorschot, „Quantifying the security advantage of password expiration policies. 77. 10.1007/s10623-015-0071-9.,“ Designs Codes and Cryptography, 2015. Abrufbar unter: people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf
[4]     T. Hunt, „Have I Been Pwned,“ [Online]. Available: haveibeenpwned.com. [Zugriff am 26 02 2020].
[5]     Hasso-Plattner-Institut, „Identity Leak Check,“ [Online]. Available: sec.hpi.de/ilc/. [Zugriff am 26 02 2020].