a password a day keeps the sys admin away?
Wenn ich nur das Passwort wüsste!
Wer kennt es nicht: neues Monat – neues Passwort. Mit dem 1. Februar rückt der „change-your-password-day“ näher – spätestens dann sollten auch die letzten Passwörter mal wieder aktualisiert worden sein … oder?
Direkt nach einem Passwort-Wechsel kommt zunächst einmal der vergebliche Versuch, sich mit dem alten Passwort anzumelden. Darauf die Erkenntnis, dass ein Wechsel vorgenommen wurde, und im Anschluss daran folgen noch ein paar Fehlversuche, bis man das neue Passwort mehr durch Zufall richtig erwischt.
Dazu eine kleine Anekdote aus unserem Arbeitsalltag:
Drei Monate nach Arbeitsantritt bei eguana stand ein neuer Kollege beim Systemadministrator mit den Worten: „Das klingt jetzt blöd, aber ich bin schon eine Weile hier und musste noch nie mein Passwort wechseln …“
Die Antwort des Systemadministrators lautete wie folgt: „Eh – ich geb‘ dir lieber einmal ein vernünftiges, als dass du es alle paar Wochen wechseln musst und dir einen Zettel neben den Bildschirm klebst!“
meinP@sswort2020
So ähnlich kann es gehen, wenn man ein neues Passwort generieren möchte – und zwar für jeden Dienst ein anderes! Hurra! Da hast du nun also endlich ein technisch einwandfreies Passwort – und brauchst noch zehn weitere von den Dingern, damit du auch wirklich jeden Dienst entsprechend absichern kannst.
Kurz gesagt: unmöglich!
Wie also wähle ich nun das eine, sichere Passwort?
Schnelle Lösung: Ein eigener, passwortgeschützter PC ohne Internetanschluss, auf dem eine Liste all deiner Passwörter liegt. Tja …
Alternativ gibt es auch einige Tools, die mehr oder weniger das gleiche versprechen: Virtuelle, passwortgeschützte Kästen, in denen man alle Passwörter ablegen und bei Bedarf raussuchen kann. Aber was, wenn jemand das Passwort knackt, mit dem das Tool gesichert ist, in dem sich die restlichen Passwörter befinden?
Eine kniffelige Frage, die ich an unseren jetzigen System-Administrator Cesare Schwabl und seinen Vorgänger Bernhard Rieder weitergebe:
*****
Meine Herren, wie oft soll man denn nun ein Passwort tatsächlich wechseln?
Cesare: Darüber kann man streiten. Eigentlich nie, wenn man berücksichtigt, dass das Passwort lang genug und nicht einfach zu erraten ist, nicht auf irgendeiner Passwortliste steht und nicht bei jedem Account das gleiche verwendet wurde.
Bernhard: Das Passwort sollte man immer dann wechseln, wenn der Verdacht besteht, dass es jemand anderer erlangen konnte. Sonst sind Passwort-Wechsel unnötig.
Ist das Geburtsdatum oder der Name des Haustieres wirklich so leicht zu erraten?
Bernhard: Kommt auf die Präsenz in den sozialen Medien an. Prinzipiell ja, weil diese Dinge sehr einschränkend sind.
Cesare: Wenn jemand echt nur dich hackt, ist das Schema leicht erkennbar.
Je mehr Stellen, desto besser?
Bernhard: Nicht unbedingt: 1234567890 ist unsicherer als ahj6Tks.
Cesare: Ein gutes Passwort hat acht Stellen oder mehr. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt dafür zum Beispiel den Passwortmanager „KeyPass“. Wer wissen will, ob seine persönlichen Daten von einer Datenpanne betroffen sind, kann das unter haveibeenpwned.com überprüfen.
Bernhard: Das perfekte Passwort ist eine „zufällige“ Kombination aus Zahlen, Buchstaben und Sonderzeichen, die Länge richtet sich danach, was man schützen will. Bankzugangsdaten würde ich mit einem längeren Passwort (>=12 Zeichen) schützen als meinen Zugang zu einer Diskussionsplattform (>= 6-8 Zeichen). Am besten verwendet man unterschiedliche Passwörter legt diese in einem Passwortsafe mit sehr starkem Passwort ab. Von reinen Passwortgeneratoren halte ich nicht viel.
Wie unsicher ist es, das Passwort auf einem Post-it neben dem PC hinzukleben? Ist das nicht sicherer, als es am Handy abzuspeichern?
Bernhard: Wer würde seinen Bankomat-Code direkt auf die Karte schreiben? Das Handy muss man zumindest entsperren oder mit Viren verseuchen. Wenn der PC in einem Safe steht, ist es aber voll in Ordnung, das Passwort auf ein Post-it am Monitor zu kleben.
Cesare: Ich finde, es kommt immer drauf an, vor wem ich das Passwort verstecken will. Ein Handy ist sicher nicht hackproof.
Lieber sinnlose Zahlen- und Buchstaben-Kombinationen wie HrtZ34D? Oder lange Sätze wie „dasistdashausvomnikolaus“?
Bernhard: Lieber „sinnlose“ Kombinationen. Aber besser nicht komplett sinnlose, sondern welche mit Merksprüchen. Zum Beispiel „Fdh1Gg,gswh!“, stellvertretend für ‚Fuchs du hast eine Gans gestohlen, gib sie wieder her!‘
Cesare: Eine Zahlen-Buchstaben-Kombination ist sinnvoller als ein langer Satz, der nur aus lower case Buchstaben besteht, weil Computer zuerst Buchstaben durchchecken und danach erst Großbuchstaben, Zahlen und Sonderzeichen.
*****
Wir von eguana schreiben zwar unseren Firmennamen klein, Datensicherheit aber groß. Mit den Tipps unserer beiden Sicherheitsexperten gelingt Ihnen mit Sicherheit auch persönlich ein sicherer Start ins neue Jahr, gefeit gegen Hackangriffe und Datenlecks. Sicher ist halt einfach sicher.
Credit Titelbild: cocoparisienne auf Pixabay