In 10 Schritten zu mehr Passwortsicherheit

Dass „123456“ kein sicheres Passwort ist, sollte mittlerweile jedem klar sein, dennoch war es im Jahr 2022 das beliebteste Passwort in Deutschland. Dicht gefolgt von „password“ und „123456789“. Nichts davon hält Hacker auch nur eine Sekunde auf, an Ihre E-Mails zu gelangen, Ihren Laptop zu entsperren oder über Ihr W-LAN Malware in Ihr System einzuschleusen.

Passwörter werden heute nicht mehr nur gestohlen, sondern von Cyberkriminellen in einer sogenannten „Brute-Force-Attacke“ auch erraten. Dabei werden gängige Passwörter automatisiert ausprobiert, bis das richtige gefunden ist. Ein sicheres Passwort sorgt dafür, dass dieser Prozess stark verlängert wird, bis es sich für den Angreifenden nicht mehr lohnt. Ein kurzes, zahlenbasiertes Passwort wird in der Regel sofort geknackt, während Groß- und Kleinbuchstaben sowie Sonderzeichen schnell dafür sorgen, dass es Wochen, Monate oder gar Jahrhunderte dauern würde, das richtige Passwort zu finden.

Die meisten Menschen und Unternehmen wissen das – zumindest grob – aber aus Bequemlichkeit und vor allem aus Angst ein Passwort zu vergessen, wird oft leichtsinnig darauf verzichtet. Dabei ist es relativ einfach, starke und sichere Passwörter zu verwenden. Mit unseren 10 Schritten erstellen Sie nicht nur für sich selbst schwer zu erratende Passwörter, sondern erhöhen die IT-Sicherheit in Ihrem gesamten Unternehmen.

1. Einmaligkeit

Sie sollten für jedes Gerät und jedes Programm ein eigenes Passwort verwenden – auch wenn es unbequem und schwer zu merken ist. So vermeiden Sie, dass Hacker sofort auf alle Ihre Systeme und Daten zugreifen können, wenn sie nur eines Ihrer Passwörter gestohlen oder erraten haben.

2. Länge

Bei Passwörtern gilt ganz klar: je länger, desto besser. Um ein 12-stelliges Passwort zu knacken, das nur aus Zahlen besteht, braucht ein Computer etwa 25 Sekunden. Hat das Passwort aber 18 Stellen aus zufälligen Zahlen, dauert es schon 10 Monate.

3. Komplexität

Auch hier gilt: je komplexer, desto besser. Braucht ein Computer 25 Sekunden für einen 12-stelligen Zahlencode, sind es schon 3 Wochen, wenn das Passwort aus kleinen Buchstaben besteht. Kommen noch Großbuchstaben hinzu, braucht ein Computer rund 289 Jahre, um ein 12-stelliges Passwort zu erraten. Am besten ist eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen: Schon ein 7-stelliges Passwort kann so erst innerhalb von 2 Wochen geknackt werden. Ein Computer braucht etwa 2 Wochen, um ein 7-stelliges Passwort aus Zahlen, Buchstaben und Sonderzeichen zu knacken.

4. Keine persönlichen Informationen

Vermeiden Sie persönliche Informationen wie Geburtsdaten oder Vor- und Nachnamen in Ihren Passwörtern. Cyberkriminelle können über soziale Medien oder Phishing-Attacken leicht an diese Informationen gelangen und sich so Zugriff auf Ihre Daten und Systeme verschaffen.

5. (Scheinbare) Zufälligkeit

Vermeiden Sie vollständige Wörter in Ihren Passwörtern. „Sommer2023!“ ist zwar unpersönlich, aber kein sicheres Passwort. Besser ist es, einen Satz zu verkürzen, der sowohl Zahlen als auch Sonderzeichen enthält: Aus „Am liebsten gehe ich mit 4 Freunden ins Freibad in Oldenburg“ wird „Algim4FiF@OL“. Bei diesem 12-stelligen Passwort braucht ein Computer bei einer Brute-Force-Attacke etwa 30.000 Jahre, um es zu erraten.

6. Aktualisierung

Generell gilt: Je sicherer und stärker ein Passwort ist, desto seltener muss es geändert werden. Dennoch sollten alle Passwörter, die im Unternehmen verwendet werden, regelmäßig aktualisiert werden.

7. Passwort-Manager

Handy, Laptop, WLAN, VPN, Software usw. – da kommen schon einige Passwörter zusammen. Da kann schnell der Überblick verloren gehen, welches sichere Passwort wofür verwendet wird. Deshalb empfiehlt sich der Einsatz eines Passwort-Manager-Programms. So müssen sich die Mitarbeitende nur noch ein Passwort merken: das des Passwort-Managers.

8. Zwei-Faktor-Authentifizierung

Neben der Verwendung von starken Passwörtern sollten sensible Daten auch durch eine Zwei-Faktor-Authentifizierung geschützt werden. Dabei erhalten die Mitarbeitenden nach der Eingabe des Passworts zum Beispiel noch einen Code per SMS oder auf eine Authenticator-App, um den Login zu bestätigen.

9. Vorsicht vor Phishing-Attacken

Das beste Passwort nützt Ihnen nichts, wenn Sie es bei einer Phishing-Attacke preisgeben. Verraten Sie Ihr Passwort niemals in einer E-Mail oder auf unsicheren Seiten. Vergewissern Sie sich immer, dass Sie Ihr Passwort wirklich nur dort eingeben, wo es auch hingehört. Mehr dazu, wie Sie eine Phishing-Attacke erkennen, lesen Sie hier: https://business.ewe.de/magazin/it-security/phishing

10. Mitarbeitende schulen

Um die IT-Sicherheit im gesamten Unternehmen zu erhöhen, ist es wichtig, dass sich alle Mitarbeitenden an die Passwortstrategie halten, konsequent starke Passwörter verwenden und Phishing-Mails etc. erkennen können. Deshalb bieten wir auf unserer eLearning-Plattform für Geschäftskunden ein umfangreiches Trainingsangebot zur Security Awareness am Arbeitsplatz an, das individuell auf Ihr Unternehmen zugeschnitten werden kann.