Flexible Security for Your Peace of Mind

Muster bei der Erstellung von Kennwörtern sind gefährlich und lassen sich vermeiden

Viele von uns regelmäßigen PC-, Cloud- und Internetnutzern müssen sich für verschiedene Konten mehrere Anmeldenamen und Kennwörter merken. Wenn die Änderung eines Kennwortes notwendig wird, müssen wir uns für einen Dienst wiederum ein neues Kennwort einfallen lassen, das wir nicht vergessen sollten. Natürlich resultiert das darin, dass wir bewusst oder unbewusst ähnliche Kennwörter nutzen und diese nach einem persönlichen Muster aufbauen, das uns passend scheint. Je mehr Dienste zum Einsatz kommen, desto unvermeidlicher ist es, dass sich Kennwörter ähneln oder sogar identisch sind. Hier sollte sich jeder von uns Gedanken machen, wie er seine Kennwörter abwechslungsreich, leicht zu merken und so sicher wie nur möglich aufbaut. Ansonsten droht die Gefahr, dass Angreifer sehr leicht gleich mehrere unserer genutzten Dienste übernehmen können.

Was ist die Gefahr, wenn Cyberkriminelle unsere Kennwörter einfach erraten oder errechnen?

Ein ähnlicher Aufbau unserer Kennwörter für verschiedene Dienste nach dem gleichen Muster kann gefährlich sein. Was ist, wenn jemand dieses Muster kennt, errechnet oder einfach nur gut rät? Wenn Cyberkriminelle oder unberechtigte Benutzer herausfinden, wie unsere Kennwörter aufgebaut sind, können Sie nicht nur einen unserer zahlreichen Dienste nutzen, sondern wahrscheinlich gleich mehrere. In Zeiten, in denen künstliche Intelligenz, Quantencomputer und andere Technologien immer schneller voranschreiten und in denen Cyberkriminelle immer häufiger Angriffe auf Privatanwender, Unternehmen und Organisationen starten, sind unsichere Kennwörter eines der Hauptrisiken für Datenverlust.

Laut dem Verizon Data Breach Incident Report sind Anmeldedaten eine der begehrtesten Datenkategorien bei Sicherheitsverletzungen . Den Angaben der Identity Defined Security Alliance zufolge haben 79 % der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten erlebt Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen (https://www.digitalshadows.com/blog-and-research/rise-of-initial-access-brokers). Diese drei Beispiele zeigen, dass wir alle mehr darauf achten sollten, unsere Kennwörter zu schützen und möglichst nicht ähnlich aufzubauen. Das macht es Angreifern unnötig leicht unsere Konten zu übernehmen. Nutzen Anwender einfach zu erratende Muster, ist ein Teil des Kennwortes schnell bekannt. Der Rest stellt dann oft kein Problem dar, vor allem wenn dieser weniger als 8 Zeichen Länge hat.

Passwort-Safes sind nicht unbedingt eine Hilfe

Auch das Speichern von Kennwörtern in Kennwort-Verwaltungstools ist in diesem Fall keine Hilfe. Wenn Kennwörter ähnlich aufgebaut sind, ändert das Speichern der Kennwörter an einem sicheren Ort nicht viel. Im Gegenteil, wenn das Kennwort für den Zugriff auf das Kennwort-Verwaltungsprogramm nach dem gleichen Muster aufgebaut ist wie die anderen Kennwörter des Benutzers, kann ein Angreifer auch hier Zugang erhalten. Das ist natürlich ein noch größeres Problem, das unbedingt vermieden werden sollte. Vor allem das Kennwort für solche Programme sollten keinem Muster entsprechen sondern besser einem Merksatz oder lange Passphrasen.

Specops Password Auditor
Überprüfen Sie Ihr Active Directory JETZT mit Specops Password Auditor auf kompromittierte, identische oder abgelaufene Passwörter!

In vielen Mustern kommen Zahlenreihen wie 123456 oder Abwandlungen daraus vor. Das Wort “passwort” ist ebenfalls häufig dabei und auch “hallo”, “schatz”, “basteln” oder die Tastenfolge “qwertz”. Diese Wörter sind natürlich auch in Abwandlungen häufig in Mustern enthalten, zum Beispiel “1q2w3e4r”, “1qaz2wsx”, “1qazxsw2”, “zaq12wsx”, “!qaz2wsx” oder “1qaz@wsx”. Kennwörter wie “iloveme”, “trustno1”, “beautiful”, “ihateyou”, “bullsh*t”, “lovelove” kommen in Abwandlungen ebenfalls oft vor und sollte daher nicht in eigenen Mustern vorkommen. Die regelmäßigen Analysen der Breached Password Protection Datenbank von Specops Software zeigt auch, dass folgende Inspirationen nicht für Passwörter geeignet sind:

Das alles verursacht Probleme, da dadurch Kennwörter für verschiedene Dienste schnell erraten werden können.

Städtenamen sind häufig in Kennwörtern dabei. Diese bekannten Kennwörter und Teile aus Kennwörtern, auch in Kombination zueinander, lassen sich schnell erraten. Da hilft es auch nichts, wenn der Rest des Kennwortes anders aufgebaut ist. Brute-Force-Angriffe können dadurch schnell Passwörter errechnen und dadurch oft gleich mehrere Dienste auf einmal angreifen. Durch Datenlecks passiert es immer wieder, dass Kennwörter öffentlich bekannt sind. Dadurch lassen sich Muster schnell erkennen. Erkennen Angreifer ein Muster in Ihrem Kennwort, besteht die Gefahr, dass Cyberkriminelle versuchen auch bei anderen Diensten Zugang zu erhalten. Wenn Ihr Kennwort für den Zugriff auf Web.de um Beispiel “thomas09101971webde” ist, wissen Angreifer, dass Sie ein Muster haben und versuchen dieses bei anderen Diensten zu nutzen. Generell sollten Wörter, die auch in Wörterbüchern zu finden sind, nicht im eigenen Kennwort vorkommen, und wenn dann nur in abgewandelter Form, indem Sie Buchstaben durch Zahlen ersetzen.

Muster erkennen, optimieren und Zugang zu Internet-Diensten und Programmen besser absichern

Jeder von uns kann sich selbst Gedanken darüber machen, ob unsere Kennwörter nach einem ähnlichen Muster aufgebaut sind, das sich leicht erraten lässt. Wenn das der Fall ist, wäre eine Änderung des Musters sinnvoll. Es geht in diesem Fall nicht darum gar kein Muster mehr zu verwenden. Vor allem, wenn viele Kennwörter zum Einsatz kommen, die auch noch häufiger verwendet werden sollen, ist ein Muster oft notwendig. Ist das Muster aber sicher, lässt sich dadurch sicherstellen, dass Kennwörter nicht nur leicht zu merken sind, sondern gleichzeigt auch sicher. Bei Änderungen von Passwörtern ist durch das Muster sichergestellt, dass auch das neue Passwort sicher und leicht zu merken ist. Besser sind in diesem Fall aber Merksätze oder Passphrasen.

So sollten sichere Kennwörter und deren Muster aussehen

Sichere Kennwörter sollten laut einhelliger Expertenmeinung, zum Beispiel laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html), aus mindestens 8 Zeichen bestehen, eher etwas mehr. Außerdem sollten Passwörter möglichst Buchstaben, Zahlen und Sonderzeichen enthalten. Wenn Sie sich ein Muster aufbauen wollen, sollte dieses daher aus diesen drei Bereichen bestehen und natürlich auf keinen Fall einfach zu erratende Begriffe enthalten.

Namen, Geburtsdatum, Telefonnummer oder Ortschaften sind meistens nicht geeignet. Achten Sie darauf Groß- und Kleinschreibung zu nutzen. Vermeiden Sie Zeichenwiederholungen. Das Kennwort “hallo” ist genauso unsicher wie “hallohallo”. Dieses Muster erkennen Angreifer sofort. Das Erweitern mit Sonderzeichen bringt in diesem Fall auch nichts mehr. Nutzen Sie keinerlei persönliche Daten, die andere Nutzer oder Angreifer erraten oder auf öffentlichen Profilen über Sie herausfinden können.

Wenn Sie ein Muster verwenden, sollte diese schwer zu erraten sein. Am sichersten sind natürlich einmalige Kennwörter, die Sie in sicheren Passwort-Safes ablegen und idealerweise noch mit 2-Faktor-Authentifizierung absichern. Überprüfen Sie regelmäßig, ob es bei Diensten, die Sie nutzen Datenlecks gab. Ist das der Fall, ändern Sie das Kennwort bei diesem Dienst sofort ab und überprüfen Sie auch die anderen Dienste, wenn das Kennwort nach einem Muster aufgebaut ist.

Merksätze sind oft besser geeignet als Muster

Nutzen Sie für sich Merksätze, um Kennwörter zu merken, ist das oft sicherer als herkömmliche Muster. Mit dem Satz “Meine Familie geht gerne nach Spanien in Urlaub”, können Sie das Kennwort aus den Anfangsbuchstaben zusammensetzen und dabei auf Groß- und Kleinschreibung achten. Nutzen Sie dazu noch an verschiedenen Stellen Zahlen und Sonderzeichen, wird das Kennwort noch sicherer, zum Beispiel “&MFggnSiU?1985..”. Die Zahl sollte dann natürlich möglichst kein Geburtsdatum sein, sondern eine Jahreszahl oder eine andere Zahl, die für Sie eine Bedeutung hat, die andere Personen nicht leicht erraten.

Sie können Muster, Zahlen und Merksätze miteinander vermischen. Sie können sich auch angewöhnen, dass Sie bei Kennwörtern aus Merksätzen bestimmte Zeichen automatisch ersetzen. Aus “S” wird dadurch ein “$” oder aus einem “O” wird eine “0”. Achten Sie darauf, dass die aufeinanderfolgenden Zeichen auf der Tastatur weit auseinander liegen. Nach Untersuchen, die Forscher bereits im Jahr 2018 durchgeführt haben (https://people.cs.vt.edu/gangwang/pass.pdf) nutzen viele Anwender Zeichen, die leicht zu erreichen sind und sich vor allem auf der linken Seite der Standardtastatur befinden, vor allem bei der US-Version.

Unterstützen Sie Ihre Mitarbeiter bei der Erstellung starker Kennwörter mit Specops Password Policy

Autor:

Als Freiberuflicher Journalist, Autor von über 100 Fachbüchern und tausenden Fachbeiträgen, Consultant und Trainer behandelt Thomas Joos eine Vielzahl an Themen rund um Trends, Entwicklungen und Innovationen in der Business-IT.

thomas-joos.com

(Zuletzt aktualisiert am 31/08/2023)

Zurück zum Blog