Der Zugang zu IT-Systemen oder Verfahren, egal ob am Arbeitsplatz oder im privaten Umfeld, wird heute im Regelfall durch eine Kombination aus dem Benutzernamen und dem Passwort gesichert.
Benutzernamen sind in den meisten Fällen leicht zu erraten oder aus bereits bekannten Benutzernamen abzuleiten, so dass dem Passwort die wesentliche Schutzfunktion zukommt. Im Folgenden finden Sie einige Tipps, die sowohl für den privaten wie auch den dienstlichen Bereich verwendet werden können.
Hinweis: Die Tipps sind im Folgenden als Empfehlung sowohl für die private wie auch die dienstliche Nutzung formuliert. Für die dienstliche Nutzung sind die bei LWL bestehenden Regelungen (z.B. die Verfügung „Umgang mit Passworten an TUIV-Arbeitsplätzen“ einzuhalten. (http://intranet.itz.lwl.org/abt11-download/DaSchu/Passworte.pdf)
Mindestlänge
Passwörter sollten mindestens 8-stellig sein, um eine ausreichende Sicherheit gegen das systematische Ausprobieren zu gewährleisten.
Sonderfall WLAN:
Für die Einrichtung eines Zugangs zu privaten WLAN-Netzen sollte die Mindestlänge 20 Zeichen betragen, da hier Fremde sogenannte Offline-Angriffe ausführen könnten und kurze Passwörter schnell mit Hilfe von entsprechenden Programmen ermitteln können.
Ein gutes Passwort verwenden
Schlecht, weil leicht zu ermitteln, sind
- alle Buchstaben- bzw. Ziffernkombinationen (z.B. Abteilungsbezeichnung, Geburtsdatum, Autokennzeichen), die einen Bezug zum Benutzer erkennen lassen.
- Namen und Worte die in Wörterbüchern vorkommen.
- Passwörter mit mehreren gleichen Zeichen hintereinander, wie z.B. aaaaaaaa.
- Buchstaben-, Ziffern oder Zeichenfolgen der Tastatur, wie z.B. ertzuiop, 12345678.
Passwörter sollen möglichst aus einer Kombination von Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. In den meisten Programmen/Systemen sind alle Groß- und Kleinbuchstaben, die Ziffern von 0 bis 9 sowie auch einige Sonderzeichen, z.B. ! $ % & ( ) = ? * + # - . / : , ; < > erlaubt.
Ein gutes Passwort wäre z.B. M2KgdB-A.. Doch wie kann man sich ein so kompliziertes Passwort merken?
Eine einfache Möglichkeit besteht darin, sich einen Satz auszudenken, von dem z.B. der 1. Buchstabe eines Wortes sowie Ziffern und Sonderzeichen für das Passwort genutzt werden. Obiges Beispielpasswort könnte z.B. aus dem Satz Meinen 2 Kindern gefiel die Bionic-Ausstellung. abgeleitet werden.
Noch ein Beispiel: Aus dem Satz Datensicherheit ist für Alle im Leben wichtig. wird Di4AiLw. Dabei wurde an Stelle des Buchstabens f des Wortes „für“ eine 4 eingesetzt.
Geheimhaltung
Jedes Passwort sollte geheim gehalten werden. Die Eingabe sollte unbeobachtet erfolgen und das Passwort immer geändert werden, wenn es Unbefugten zur Kenntnis genommen haben könnten. Passwörter sollten nach Möglichkeit nicht notiert werden; falls dies in Ausnahmefällen erforderlich ist sollten die Aufzeichnungen sicher aufbewahrt werden.
An dienstlichen Rechnern ist es grundsätzlich nicht zulässig, dass sich mehrere Benutzer eine Zugangskennung (User-ID) teilen bzw. das Passwort einem anderen Benutzer mitteilen.
Regelmäßige Änderung
Es könnte sein, dass Passwörter im Laufe der Zeit anderen Personen bekannt werden. Deshalb sollten Passwörter regelmäßig geändert werden. Außerdem ist es unter bestimmten Umständen möglich, mit Computerunterstützung Passwörter zu „knacken“. Das ist bei einem guten Passwort zeitaufwendig, aber nicht unmöglich. Wenn ein Passwort regelmäßig geändert wird, sinkt die Wahrscheinlichkeit, dass es ermittelt werden kann.
Keine einheitlichen Passwörter verwenden
Weil wir heute eine Vielzahl von Passwörtern benötigen (für den dienstlichen Rechner, für den Zugang zu Fachverfahren, für den privaten PC, Zugang zum E-Mail-Provider, sozialen Netzwerken usw.), neigen wir dazu, für alles ein einheitliches Passwort benutzen zu wollen. Leider ist es so, dass, wenn das Passwort an einer Stelle bekannt wird, es gleich für mehrere Zwecke missbraucht werden kann. So kann möglicherweise ein Web-Mail-Administrator auf das dort gespeicherte Passwort zugreifen und dieses für den facebook- oder ebay-Zugang nutzen. Auch können, wenn ein Web-Anbieter „gehackt“ wird, Passwörter erbeutet und für andere Zwecke genutzt werden.
Deshalb gilt: Niemals dieselben Passwörter für unterschiedliche Systeme oder Anwendungen verwenden!
Eine Möglichkeit ist, sich ein gutes Passwort (s.o.) auszudenken, und für verschiedene Anbieter zu modifizieren.
Beispiel:
Gh_a7m2l. Passwort für den PC
Gh_b7m2l. Passwort für den E-Mail-Anbieter
Gh_c7m2l. Passwort für facebook
Gh_d7m2l. Passwort für ebay
Technische Unterstützung
Eine weitere Möglichkeit zur Verwaltung vieler Passwörter sind Passwort-Verwaltungsprogramme (z.B. keepass [1]). Diese speichern die Passwörter in einer Datei verschlüsselt ab und können auf Wunsch auch automatisch sichere Passwörter generieren. Als Nutzerin bzw. Nutzer muss man sich lediglich ein Passwort merken; dieses sollte dann ein besonders gutes Passwort sein.
Für technisch Interessierte
...
[1] Die kostenlose freie Software Keepass kann auf http://Keepass.info heruntergeladen werden.
Quelle:
Merkblatt zur Informationssicherheit
Sicherer Umgang mit Passworten
Michael Loddenkemper V 1.0 vom 07.03.2012
Informationssicherheitsbeauftragter des LWL
Download des gesamten Dokumentes für Mitarbeiter im Intranet unter http://intranet.itz.lwl.org/LWL/Anbieter/Informationssicherheit/1319470209/