Kennwörter sind immer ein leidiges Thema.
Sind Sie zu schwach, öffnet man das Tor für “Brut-Force-“ und “Dictonary-Attacken”, sind sie zu komplex, landen sie als Zettel unter der Tatstatur Ihrer Mitarbeiter.
Kennwörter müssen den Komplexitäts-Voraussetzungen entsprechen und leicht zu merken sein.
Schauen wir uns die Komplexitäts- und sonstigen Voraussetzungen an:
- Das Kennwort sollte mindestens 8 Zeichen lang sein.
- Das Kennwort sollte Zeichen aus mindestens 3 der folgenden 6 Kategorien enthalten:
- Großbuchstaben (A – Z)
- Kleinbuchstaben (a – z)
- Zahlen (0 – 9)
- Symbole (z.B.: !, $, #, oder %)
- Unicode Zeichen
- ein oder mehrere Leerstellen
- Das Kennwort sollte keinen Teil Ihres Namens, Benutzernamens oder Ihrer E-Mail-Adresse enthalten.
- Das Kennwort darf kein einziges sein, was in irgendeinem Wörterbuch gefunden werden kann.
- Benutzen Sie nicht die letzten 24 Kennwörter.
- Das Kennwort sollte mindestens 8-12 mal im Jahr geändert werden (alle 42-90 Tage).
- Es ist empfehlenswert das minimale Kennwortalter auf 2 Tage fest zu setzen.
Es gibt zwei Möglichkeiten diesem Dilemma zu entrinnen.
Eine gute Idee sind Password-Manager. Sie müssen sich nur noch das Master-Kennwort für Ihre Kennwort-Datenbank merken.
Wir setzen RoboForm von Siber Systems auf unseren devices ein und können dies guten Gewissens empfehlen.
Das hat primär die folgenden Gründe:
- starke Verschlüsslung der Daten (AES 256)
- gutes Preis-/Leistungs-Verhältnis
- integriertes Generieren sicherer Passwörter, die gleich gespeichert werden können
- sehr gute Erkennung von Logins und Formularen
- geringer Overhead als Menüleiste im Internet Explorer (Normalerweise sind wir Gegner jeglicher Arten von Menüleisten von Software im IE)
- sehr gute Erkennung von Eingabefeldern in Applikationen
Eine weitere – auch oft empfohlene – Methode ist der Einsatz von Kennwortphrasen (Passphrasen).
Sätze oder Gebilde aus mindestens 2 Wörtern, die man sich leicht merkt, in die man weitere Merkmale einbauen kann, wie das Ersetzen von Buchstaben durch Symbole (“P@ulP@ulsen„ ), Phonetik („Run for the hills“ =“R0n4dHiLLs!“ ).
Nutzen Sie einprägsame Personen oder Ereignisse, die Sie mit Symbolen (“ P@ul$$chul@bschlu$$” ) ersetzen, oder nutzen Sie nur die jeweils ersten Buchstaben jedes Worts eines Satzes („Meine Tochter Sabine geht auf die internationale Schule.“ =“MtSgadiS.“ ), zusätzlich mit Symbolen („MtSgadiS.“ = “MtSgadi$.” ).
Passphrasen sollten mindestens 2 persönlich einprägsame Dinge sein, die Sie mit o.g. Elementen miteinander verbinden (“Katze + * + Maus“ = „Katze*Maus“ oder “k@tze*M@u$”).
Weitere Beispiele für Passphrasen:
- D@$ ist eine P@ssphr@$e?
- Jetzt 1l0ggen…
- Smiling 2004 ;-
Wir alle haben eine schier riesige Masse an Kennwörtern und je digitaler die Welt, umso mehr Kennwörter. – und alle wollen regelmäßig geändert und gemerkt werden.
Abgesehen von Unternehmensumgebungen, wo Kennwort-Richtlinien umgesetzt werden, lohnt es sich vielleicht die benutzten Konten in Kategorien zu unterteilen:
- niedrig (das gleiche Kennwort kann 1x-5x genutzt werden, geringe Komplexität, geringe Anzahl von Kennwortänderungen): Alle Konten, die keine sensiblen Daten speichern (Kreditkarten), die Zahlinformationen jedes Mal neu anfordern, oder bei denen es erst gar nicht um Geld geht. Nur geringer Schaden ist zu befürchten, z.B. Online-Spiele oder ein Blumenversand.
- hoch (hohe Komplexität, regelmäßige Änderungen, geringe Kennwortwiederholung): Alle Konten, deren Kompromittierung einen finanziellen Schaden verursacht (gespeicherte Kreditkartendaten, etc.), z.B. Amazon und andere Onlineshops.
- kritisch (hohe Komplexität, Änderung alle 30 Tage, keine Kennwortwiederholung): Alle Konten, die einen großen wirtschaftlichen und finanziellen Schaden verursachen können und deren Kompromittierung unter Umständen auch ein Verstoß gegen gesetzliche oder standesrechtliche Vertrauensvorschriften bedeutet. Hierzu gehören beispielsweise alle Arten geschäftlich genutzter Cloudservices, z.B. Lohnabrechnungen, etc.