12.10.2011 | Kanzleitipps

Passwortanforderungen: Was ist zu beachten, damit ein Passwort seinen Zweck erfüllt?

Passwords sind aus dem privaten und beruflichen Alltag kaum noch wegzudenken. Auch wer extrem vertrauensvoll oder risikofreudig ist, wird bei Bestellungen etc. zu ihnen gezwungen, vom Datenschutz dazu verpflichtet bzw. durch das Internet dazu erzogen. Doch Passwort ist nicht gleich Passwort, es gibt sichere Passworte und reine Placebos.

Um sicherzustellen, dass die Passwörter einem möglichst hohen Sicherheitsstand genügen, sind bei der Bildung von Passwörtern sowie bei deren Anwendung die folgenden Rahmenparameter zu beachten:

 

Tipp 1: Passwörter dürfen nicht notiert werden

Lediglich in Ausnahmefällen besteht die Möglichkeit, diese aufzuschreiben. Passwörter sind mit der gleichen Sensibilität wie z.B. EC-Karten oder wertvolle Geldscheine aufzubewahren. Auf keinen Fall dürfen sie in der Nähe des IT-Systems gelagert werden.

 

Tipp 2: Passwörter dürfen niemandem mitgeteilt werden

Das heißt, das Passwort darf nur dem Benutzer bekannt sein. (Hinweis: Auch Administratoren oder Support-Personal benötigen Ihr Passwort nicht!!!)

 

Tipp 3: Passwörter müssen eine Mindestlänge von acht Zeichen haben

Das Passwort muss mindestens zwei der folgenden drei Anforderungen erfüllen:

  • Buchstaben [A–Z, a–z],
  • Zahlen [0–9],
  • Sonderzeichen [ „!", „§", „$", „%", „&", „(", „)", „=", „?", „#", „+", „*", „-", etc.]

 

Tipp 4: Passwörter dürfen nicht leicht zu erraten sein

Vor- und Familiennamen oder Geburtstage sind beispielsweise nicht zur Bildung von Passwörtern geeignet. Es dürfen niemals Trivialpasswörter verwendet werden (z. B. 4711; 12345 oder andere nebeneinanderliegende Tasten wie „asdfölkj“).

 

Tipp 5: Passwörter sind spätestens alle 90 Tage zu wechseln

  • Sofern Passwörter nicht autorisierten Personen bekannt geworden sind, sind diese sofort zu ändern.
  • Passwörter, die über einen längeren Zeitraum verwendet wurden, sind nicht wieder zu verwenden.
  • Sofern Initial-Passwörter vergeben werden, ist der Empfang durch den Benutzer zu bestätigen. Initial-Passwörter müssen bei der ersten Anmeldung am System sofort geändert werden.
  • Passwörter dürfen nicht als Teil eines automatischen Anmeldeprozesses verwendet werden, dies bedeutet z.B., dass Passwörter nicht in Internetbrowsern oder mit Hilfe einer Makro- oder Funktionstaste gespeichert werden dürfen.
  • Sofern Gruppenpasswörter zwingend erforderlich sind, gilt: Gruppenpasswörter sind umgehend zu ändern, wenn die Zusammensetzung der Gruppe sich verändert.

 

Bildung von Passwörtern

Hinweis: Die in den folgenden Beispielen aufgeführten Passwörter sollten nicht im Alltag gewählt werden.

Eine sehr effiziente Methode zur Bildung von Passwörtern stellt die Verwendung der Anfangsbuchstaben aus Sätzen dar. Nehmen Sie hierzu einfach eine Textpassage aus einem Gedicht oder einem Musikstück oder denken Sie sich einen eigenen Satz aus. Aus den Anfangsbuchstaben und Satzzeichen lässt sich nun ein sehr kryptisch anmutendes Passwort zusammensetzen, das sich jedoch leicht merken lässt.

Beispielsatz:

„Sein oder nicht sein, das ist hier die Frage“ ergibt folgendes Passwort: SonsdihdF.

Hinweis: Dieses Passwort ist nicht sicher, da das Passwort lediglich Buchstaben und keinerlei Zahlen oder Sonderzeichen enthält.

Beispiele für Passwörter, die die Passwortrichtlinie einhalten, wären:

  • SonsdihdF254
  • SonsdihdF^

Selbstverständlich können auch Satz- und Sonderzeichen berücksichtigt werden. Ein Beispiel hierfür wäre:

„Kannst du was, dann bist du was. Bist du was, dann hast du was!“

Das zugehörige Passwort würde wie folgt lauten: Kdw,dbdw.Bdw,dhdw!

 

Zahlen und Sonderzeichen:

Eine einfache Methode um Passwörter, die potenziell unsicher sind, in starke Passwörter umzuwandeln, ist das Ersetzen von Buchstaben mit Sonderzeichen, welche ein ähnliches Erscheinungsbild haben.

 

Beispiele hierfür sind:

Selbstverständlich können auch beliebig Sonderzeichen oder Zahlen in das Passwort eingestreut werden.

Bei Anwendung dieser Regel sowie durch Einbauen beliebiger Sonderzeichen oder Zahlen sind z.B. auch die folgenden Beispiele denkbar:

  • AEsBhglaD = A3$Bhgl@D
  • EdfRTInx = 3dfRTInx

Quellen:

1. http://www.uni-siegen.de/it-sicherheit/downloads/passwortgebrauch.pdf

2. Bundesamt für Sicherheit in der Informationstechnik (BSI)

3. http://www.arstechnica.de/index.html?name=http://www.arstechnica.de/computer/passwort.html

4. https://www.sicher-im-netz.de/downloads/sicherespasswort.aspx

Aktuell

Meistgelesen