Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Bad Practices: Fehler und schlechte Gewohnheiten im Umgang mit Passwörtern
In den meisten Organisationen sind Passwörter noch immer das Fundament der Netzwerksicherheit. Sie schützen Systeme und geschäftskritische Daten vor unbefugtem Zugriff. Denn ein einziges zu schwaches Passwort kann einen erfolgreichen Cyberangriff mit unabsehbaren Folgen ermöglichen.
Dennoch zeigen Studien und alltägliche Erfahrungen, dass viele Menschen immer noch unzureichende Passwörter verwenden. Dieser Blogartikel benennt gängige Fehler und schlechte Gewohnheiten bei der Wahl und im Umgang mit Passwörtern, fragt nach den Ursachen und beleuchtet, welche Rolle Passwortrichtlinien dabei spielen können.
Häufige Fehler bei der Vergabe von Passwörtern
Es gibt Situationen, in denen ein einziger Fehler gravierende Folgen haben kann – etwa in der Medizin, im Straßenverkehr oder eben bei der Cybersicherheit. Die einzige Möglichkeit, solche Fehler zu verhindern, besteht darin, sie zu antizipieren. Bevor wir einige Fehler nennen, die wahrscheinlich auch Ihre Nutzer bei der Passwortwahl begehen, werfen wir einen kurzen Blick auf die Basics.
Grundsätzlich: Zu geringe Entropie
Passwörter müssen schwer zu erraten sein, das heißt eine hohe Entropie aufweisen (mehr Infos dazu lesen Sie in unserem Blogartikel Passwort-Entropie als Maß für die Passwortsicherheit). „Erraten“ meint heutzutage das systematische Durchprobieren von Zeichenkombinationen (Brute-Force-Angriff) – die Entropie gibt an, wie viele Versuche notwendig sind, um alle Kombinationsmöglichkeiten zu testen. Bei einem Passwort mit einer Entropie von 50 Bit wären das z. B. 1.125.899.906.842.624 Versuche, also ca. 1,125 Billiarden. Das klingt nach extrem viel, gilt allerdings heute nicht mehr als sonderlich sicher (es entspricht der Stärke eines Passworts mit lediglich zehn Zeichen, bestehend aus Groß- und Kleinbuchstaben). Lesen Sie hier wie sich die Hash-Methoden bcrypt und MD5 auf die Dauer von Brute-Force-Angriffen auswirkt.
Passwortangriffe finden heute oft unter Nutzung von Hochleistungscomputern, Wörterbüchern und Listen mit geleakten Passwörtern statt – bei gezielten Angriffen auch unter Einbeziehung persönlicher Informationen, die die Vorhersehbarkeit von Passwörtern erhöhen und damit die Entropie verringern können. All dies müssen Sie berücksichtigen, um die folgenden Fehler zu vermeiden.
Zu geringe Komplexität
Viele Passwörter sind schlicht zu einfach und bestehen beispielsweise nur aus Buchstaben oder Zahlen. Entsprechend leicht sind sie zu erraten – zumindest dann, wenn sie zudem auch noch kurz sind (siehe unseren nächsten Fehler). Wenn Passwörter einen größeren Zeichenvorrat nutzen können, etwa eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, erhöht das die Anzahl der möglichen Kombinationen, die Entropie und damit die Sicherheit.
Zu kurz
Sehr kurze Passwörter – mit weniger als acht Zeichen – bieten nur unzureichenden Schutz, selbst bei einem großen Zeichenvorrat. Denn je kürzer ein Passwort ist, desto leichter kann es durch Brute-Force-Angriffe geknackt werden. Die Länge eines Passworts ist für seine Sicherheit noch deutlich wichtiger als seine Komplexität; schon durch geringfügige Erhöhungen der Passwortlänge wird ein größerer Entropiezuwachs erreicht als durch erhebliche Vergrößerungen des Zeichenvorrats. Damit Benutzer sich ihre Passwörter gut merken können und diese trotzdem genügend Sicherheit bieten, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon für private Passwörter entweder kurze und komplexe Passwörter mit mindestens acht bis zwölf Zeichen Länge und vier Zeichenarten (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) oder aber lange und weniger komplexe Passwörter mit über 20, besser 25 Zeichen und nur zwei Zeichenarten (z. B. Folgen von Wörtern). Das suggeriert eine vergleichbare Sicherheit beider Varianten, aber der Eindruck täuscht: Bei den kürzeren Passwort-Konstrukten erreichen Sie eine Entropie von ca. 50 bis 80 Bit, bei den längeren von über 110 bis 140 Bit.
Zu vorhersehbar
Ein weiterer häufiger Fehler bei der Passwortwahl ist die Nutzung besonders vorhersehbarer Passwörter, die einem erkennbaren Muster folgen. Beispiele hierfür sind etwa existierende Wörter (vor allem solche, die im gegebenen Kontext besonders wahrscheinlich sind, z. B. „password“ oder Default-Passwörter wie „admin“), einfache Zahlenreihen („123456“) oder Zeichen, die auf Tastaturen beieinander liegen („qwerty“, „qwertz“). Solche Passwörter bieten erkennbar kaum Schutz gegen Angriffe. Trotzdem verwenden sie viele Anwender: Seit Jahren sind „123456“ und „password“ die am häufigsten verwendeten Passwörter – also welche, die alle genannten Fehler vereinen: zu einfach, zu kurz, zu vorhersehbar. Und das gilt leider auch für IT-Profis. Die fünf häufigsten unter rund 1,8 Millionen Admin-Passwörtern waren 2023 laut Threat-Intelligence-Spezialist Outpost24:
- admin
- 123456
- 12345678
- 1234
- Password
Kombinationen sind ebenfalls beliebt: „admin123“ liegt auf Platz 8, „admin@123“ auf Platz 14. Auch diese Varianten werden einem professionellen Passwortangriff kaum standhalten.
Zu persönlich
Viele Menschen verwenden bei der Wahl ihres Passworts spontan und ohne großes Nachdenken Begriffe, die persönliche Informationen widerspiegeln, zum Beispiel Geburtsdaten, Namen von Familienmitgliedern, Lieblingssportarten oder Haustieren. Solche Informationen sind aber für Angreifer oft leicht zu beschaffen, etwa aus Bestandteilen von E-Mail-Adressen, über soziale Medien, öffentliche Datenbanken oder einen simplen Anruf. Zudem ist die Varianz meist begrenzt – Geburtsjahre haben zwei oder vier Ziffern und beginnen im letzteren Fall mit „19“ oder „20“. Solche Annahmen erlauben es Angreifern, mit weniger Versuchen zum Ziel zu kommen; die effektive Entropie des Passworts ist also erheblich niedriger als bei der Verwendung von Zufallskombinationen.
Schlechte Angewohnheiten im Umgang mit Passwörtern
Ein Hauptgrund für die Verwendung schwacher Passwörter ist ihre Handhabbarkeit: Wer sich ein einigermaßen sicheres und damit komplexes Passwort zusammengestellt hat, steht vor der Schwierigkeit, sich dieses auch zu merken – und das meist bei einer Vielzahl von zu schützenden Accounts (laut dem Passwortmanager-Anbieter LastPass verwalteten dessen Nutzer im Jahr 2017 bereits durchschnittlich 191 Passwörter). Aus dem gleichen Grund sind einige schlechte Angewohnheiten im Umgang mit Passwörtern weit verbreitet:
Passwörter wiederverwenden: Es scheint bequem und naheliegend, das gleiche Passwort für mehrere Konten zu verwenden. Allerdings stellt die Wiederverwendung von Passwörtern auch ein erhebliches Sicherheitsrisiko dar. Denn es kann sehr schnell vorkommen, dass Zugangsdaten eines Kontos kompromittiert (erraten, gestohlen oder sogar freiwillig an Kriminelle weitergegeben) werden. Angreifer können dann leicht auch auf andere Konten zugreifen, die dasselbe Passwort verwenden.
Passwörter aufschreiben: Viele Menschen neigen dazu, ihre Passwörter aufzuschreiben, sei es auf einem Post-it am Monitor, einem Zettel unter der Tastatur, in einem gut zugänglichen Notizbuch oder in (unverschlüsselten) Dateien auf ihren Computern. Es soll in manchen Unternehmen sogar „Team-Passwordlisten“ in Excel-Tabellen geben. Diese Praktiken sind äußerst unsicher, da solche Notizen leicht in die falschen Hände geraten können. Die einzige sichere Alternative ist die Verwendung eines Passwortmanagers, der Passwörter sicher verschlüsselt.
Passwörter nie ändern: Die meisten Nutzer ändern ihre Passwörter selten oder gar nicht, solange sie nicht dazu gezwungen werden. Allerdings wächst damit die Wahrscheinlichkeit, dass ein kompromittiertes Passwort längere Zeit unentdeckt missbraucht wird. Es ist daher empfehlenswert, Passwörter regelmäßig zu ändern, insbesondere nach einem Sicherheitsvorfall oder Datenleck, und kontinuierlich auf Kompromittierungen zu überprüfen. Erfahren Sie in diesem Blogpost mehr darüber, warum man die Ablaufdaten für Passwörter nicht zu schnell abschaffen sollte.
Einfachere Passwörter für unkritische Konten: Viele Nutzer und auch Sicherheitsverantwortliche denken, dass für weniger wichtige Konten einfachere Passwörter verwendet werden können. Es muss allerdings stets mitbedacht werden, dass ein kompromittiertes Konto als Einfallstor ins System dienen und per Rechteausweitung (Privilege Escalation) für Angriffe auf wichtigere Konten genutzt werden kann. Jedes Konto sollte daher ein starkes Passwort haben, um die Sicherheit insgesamt zu erhöhen. Auch große Organisationen wie Microsoft können dadurch infiltriert werden.
Fehlende Multi-Faktor-Authentifizierung: Für viele Unternehmen ist eine Abschaffung von Passwörtern als primäre Authentifizierungsmethode undenkbar. Gleichzeitig ist die Kompromittierung des Kontenschutzes für Cyberkriminelle ein bevorzugter Angriffsvektor. Deshalb sollten Sie zusätzliche Schutzmaßnahmen für Ihre wichtigen Konten in Betracht ziehen, insbesondere die Zwei- oder Multi-Faktor-Authentifizierung (2FA, MFA), die auch bei kompromittierten Passwörtern noch Schutz bieten.
Der Einfluss von Passwortrichtlinien auf die Sicherheit
Passwortrichtlinien sind festgelegte Regeln und Empfehlungen, die Benutzer dazu anleiten sollen, sichere Passwörter zu erstellen und zu verwenden. Diese Richtlinien können von Unternehmen, Organisationen oder Plattformen vorgegeben werden und umfassen oft Anforderungen an die Länge, Komplexität und Häufigkeit der Änderung von Passwörtern. Ziel ist es, ein hohes Maß an Sicherheit zu gewährleisten und Benutzer dabei zu unterstützen, starke, aber praktikable Passwörter zu wählen.
Wie es scheint, können Sie damit auch die oben genannten Fehler verhindern (sprich: verbieten). Aber Obacht: Passwortrichtlinien können, wenn sie schlecht durchdacht sind, auch das Gegenteil bewirken.
Zu komplexe Anforderungen
Zu hohe Anforderungen an die Komplexität von Passwörtern, etwa die Forderung, eine bestimmte Mindestanzahl von Sonderzeichen, Zahlen und Großbuchstaben zu verwenden, können Ihre Nutzer dazu bringen, sich das Leben auf kreative Weise einfacher zu machen. Sie variieren dann einfache Muster, die sie sich leichter merken können: ein einfaches Wort, beginnend mit dem geforderten Großbuchstaben, dahinter Zahlen und/oder Sonderzeichen – gern „1!“, die gleich links auf einer Taste liegen (Beispiel „Passwort1!“). Ein solches Passwort erfüllt dann die Vorgaben, ist aber trotzdem leicht vorhersehbar – und wird womöglich trotzdem noch auf dem Zettel am Monitor notiert.
Einschränkungen bei erlaubten Zeichen und Längen
Zu strenge Vorgaben für die Passwortkomplexität sind benutzerunfreundlich und erreichen dann das Gegenteil des Gewollten. Aber auch Passwortrichtlinien, die die erlaubten Zeichen eines Passworts und vor allem seine Länge zu stark einschränken, sind kontraproduktiv – sie reduzieren die Entropie und damit die Sicherheit von Passwörtern. Wie die US-Standardisierungsbehörde NIST (National Institute of Standards and Technology) empfehlen wir, insbesondere die Passwortlänge nicht zu beschränken.
Schlecht durchdachte Änderungsvorgaben
Sind Nutzer gezwungen, ihre Passwörter häufig zu ändern, kann das dazu führen, dass die Änderungen nur geringfügig und leicht vorhersehbar ausfallen. Das ist besonders problematisch bei schwachen Initialkennwörtern wie „welcome“ oder „temp“, die bei der ersten Anmeldung geändert werden sollen. Außerdem tendieren viele dazu, zum ursprünglichen Passwort zurückkehren zu wollen. Darf das geänderte Passwort dann beispielsweise nicht mit einem der vorhergehenden drei identisch sein, werden drei kleine Änderungen vorgenommen und dann wieder das Ausgangspasswort verwendet – das aber womöglich schon kompromittiert ist. Das BSI spricht sich in seinem IT-Grundschutz-Kompendium gegen zeitbasierte Passwortwechsel aus – Kennwortänderungen sollten nur erzwungen werden, wenn ein Kennwort kompromittiert ist oder sein könnte. Wir empfehlen dagegen, einen großzügig terminierten Wechselturnus zu installieren und die Gültigkeitsdauer an die Länge eines Passworts zu koppeln (z. B. 3, 6 oder 12 Monate bei über 8, 15 oder 25 Zeichen).
Benutzerfreundlichkeit ist entscheidend
Starke Passwörter sind essenziell für den wirksamen Schutz vor Cyberangriffen, aber Menschen neigen dazu, sich das Leben durch einfache, vorhersehbare und mehrfach wiederverwendete Kennwörter leichter zu machen. Passwortrichtlinien sollten daher so gestaltet sein, dass sie die Nutzer zur Erstellung sicherer Passwörter anregen, ohne sie durch übermäßige Komplexität oder Einschränkungen zu überfordern. Eine Balance zwischen Sicherheit und Benutzerfreundlichkeit ist entscheidend, um effektive Passwörter zu fördern und die Gefahr von Sicherheitsvorfällen zu minimieren. Mehr Informationen finden Sie hier: Vier Möglichkeiten, um Passwortsicherheit benutzerfreundlicher zu gestalten.
Autor
Micha Richter
Dr. Michael Richter ist seit 20+ Jahren Leiter Text der B2B-Content-Marketing-Agentur ucm. Er schreibt zu IT-Themen für diverse Branchen, darunter Public Services, Medizin/Pharma und Maschinenbau, mit besonderem Fokus auf Sicherheit (Security & Safety), Cloud und Automatisierung.
(Zuletzt aktualisiert am 03/12/2024)