Passwortsicherheit
Sichere Passwörter sind ein ungeliebtes aber nichtsdestotrotz absolut essentielles Thema um die Sicherheit Ihrer Daten zu erhöhen. Doch was soll man tun, führt wirklich kein Weg daran vorbei, sich ein Dutzend Passwörter vom Typ „Qo8Pfr-12klPx45“ zu merken?
Unternehmen investieren oft erhebliche Beträge in Datensicherheitssysteme wie zum Beispiel Verschlüsselung, und das ist auch ein guter Ansatz und notwendig. Oft wird das erwünschte Ziel aber nicht erreicht, einfach durch zu sorglosen Umgang mit Passwörtern. In sicherheitsbewußten Unternehmen gibt es bereits Regeln und Vorgaben wie zum Beispiel:
Passwörter sollen zumindest aus x Zeichen bestehen, Groß -und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und am besten jedes Monat gewechselt werden. Außerdem sollen sie am besten noch nie verwendet worden sein. Diese Vorgaben kennen die meisten, doch was passiert – die Passwörter werden notiert, da sie zu zahlreich und komplex geworden sind. Ein weiterer „Workaround“, den viele Anwender benutzen ist, für mehrere Logins das gleiche Passwort zu verwenden. Wenn schon ein komplexes Passwort, dann wenigstens nur eines!
Auf Heise.de wird diese Problematik sehr ausführlich behandelt. Eine kurze Zusammenfassung des Artikels: Das gleiche Passwort bei verschiedenen Logins zu verwenden, kann sehr problematisch sein, da es viel wahrscheinlicher ist, dass eine Social Media Plattform von einem Phishingangriff getroffen wird als Ihr System. Viele Dienste verfügen auch nur über zumindest fragwürdige Sicherheitsmaßnahmen. Wenn nun Ihre Logindaten von einem harmlosen Onlineforum gestohlen werden, könnten kriminelle Organisationen versuchen mit Ihren Daten in kritische Bereiche einzudringen. Wenn Sie zum Beispiel bei einem Versandhaus wie Amazon oder einem Bezahlservice wie Paypal den gleichen Login verwenden, kann ein finanzieller Schaden für Sie entstehen. Wenn man diesen Gedanken weitergeht könnte somit auch die Kundendatenbank, ihre Buchhaltung usw. nur dadurch in Gefahr geraten, dass ein Mitarbeiter privat und im Unternehmen das gleiche Passwort verwendet.
Die Passwortrichtlinien, die in dem Artikel vorgeschlagen werden, sind prinzipiell sicherlich sinnvoll, vielleicht aber ein bisschen überzogen. Doch einige Denkanstöße sollte man zumindest überdenken. Das gleiche Passwort mit unterschiedlichem Mittelteil, stellt schon eine Verbesserung dar. z.B.:
Ah6____k3L, die Leerzeichen mit einem Kürzel (z.B.: Buchstaben 2-4) der jeweiligen Plattform füllen.
Ah6mazk3L (Amazon)
Ah6xpek3L (Expedia)
usw.
Passwörter in einem unscheinbaren Textdokument (z.B. Einkaufsliste.doc) zu verstecken, könnte auch ein annehmbarer Kompromiss sein. Natürlich ist es sicherer, wenn schon notieren, dann eher auf Papier und an einem sicheren Ort für den Notfall aufbewahren. Es ist eher unwahrscheinlich das Facebook – Hacker bei Ihnen zuhause einbrechen um mögliche Notizen mit Passwörtern zu suchen.
Grundsätzlich empfehlen wir Passwortsicherheit in Ihrem Unternehmen zum Thema zu machen, Richtlinien vielleicht mit Ihrem IT-Consulter zu erarbeiten und Ihre Mitarbeiter zu schulen. Auch andere Punkte zum Thema Sicherheit sollten überdacht werden. Muss denn wirklich jeder Mitarbeiter von zuhause auf das gesamte System zugreifen können?
Zum Abschluss nur noch die Empfehlung das Thema Datensicherheit gesamtheitlich zu betrachten, nur die Kombination von Hardware, Software, professioneller Konfiguration, Wartung und Verhaltensrichtlinien kann einen gewissen Sicherheitsstandard gewährleisten.
