Einfallstor Passwort: 80% der Daten-Breaches durch unsichere Passwörter

Laut dem „Data Breach Investigations Report“ von Verizon entstehen über 80% der Datenpannen durch das einfache Erraten oder Stehlen von Passwörtern. Ein aktuelles Beispiel: Als ich versuchte, mich auf einer längst vergessenen Website anzumelden, erhielt ich bei der Passwort-Wiederherstellung mein Passwort im Klartext – eine gefährliche Praxis. Passwörter sollten niemals unverschlüsselt gesendet oder gespeichert werden. Stattdessen sollten sie in einer sicheren Form, z.B. gehasht, gespeichert werden.

Dieser Vorfall motivierte mich, die fünf goldenen Regeln für sicheres Passwortmanagement zu teilen.

1. Verwenden Sie starke, einzigartige Passwörter

Ein starkes Passwort ist mehr als nur ein komplexer Mix aus Zahlen, Buchstaben und Sonderzeichen. Es muss auch lang genug sein. Sicherheitsstandards wie der OWASP ASVS empfehlen mindestens 12 Zeichen. Verwenden Sie keine häufigen Passwörter wie „Passwort1!“ – solche können durch „Dictionary-Attacks“ leicht erraten werden. Ein Beispiel für ein sicheres Passwort: MeinAutoHat120PS! (mit Sonderzeichen am Ende).

Verwenden Sie für jede Anwendung ein einzigartiges Passwort, um das Risiko eines kompromittierten Kontos zu minimieren. Passwort-Manager helfen dabei, den Überblick zu behalten.

2. Speichern Sie Passwörter niemals im Klartext

Passwörter sollten nie im Klartext gespeichert werden. Verwenden Sie stattdessen eine Einweg-Verschlüsselung (Hashing), um Passwörter zu schützen. Mit einer sicheren Hash-Funktion, wie z.B. bcrypt, wird das Passwort unkenntlich gemacht. Weitere Sicherheit bieten Salting-Techniken, bei denen zufällige Werte zu den Passwörtern hinzugefügt werden, um Brute-Force-Angriffe zu erschweren.

3. Aktivieren Sie Multifaktor-Authentifizierung (MFA)

MFA ist ein unverzichtbarer Sicherheitsmechanismus. Er verlangt mehr als nur ein Passwort, um sich anzumelden. Weitere Faktoren können sein:

  • Wissensfaktoren (Passwort, PIN)
  • Besitzfaktoren (Smartphone, Token)
  • Biometrie (Fingerabdruck, Gesichtserkennung)

MFA schützt auch dann, wenn ein Passwort gestohlen wurde. Der zweite Faktor erschwert den Zugriff erheblich.

4. Berücksichtigen Sie die Benutzerfreundlichkeit

Sicherheit sollte niemals auf Kosten der Benutzerfreundlichkeit gehen. Ein Beispiel: Häufige Passwortänderungen führten in der Vergangenheit zu Mustern, die leicht erraten werden können. Stattdessen ist es besser, Passwörter nur dann zu ändern, wenn ein Sicherheitsvorfall vorliegt, und nicht regelmäßig. Dienste wie Credenital Leak Monitoring oder HaveIBeenPwned können Ihnen helfen, vergangene Datenlecks zu überprüfen.

5. Aktivieren Sie Sicherheitsbenachrichtigungen

Benachrichtigungen sind eine wertvolle Sicherheitsmaßnahme. Benutzer sollten informiert werden, wenn z.B. ihr Passwort geändert oder zurückgesetzt wurde, oder wenn ungewöhnliche Aktivitäten wie fehlerhafte Login-Versuche auftreten. Besonders bei Login-Versuchen aus anderen Ländern kann dies entscheidend sein, um einen potenziellen Angriff zu erkennen.

Fazit: ein solider Grundstein für Passwortsicherheit

Wenn Sie diese fünf Regeln befolgen, legen Sie bereits eine gute Passwort für Passwortsicherheit. Für genauere und tiefere Empfehlungen können Sie sich an bewährte Standards wie den OWASP ASVS halten. 
Weitere Beiträge: 

Zum Autor

Bernd Koberwein leitet bei BearingPoint den Bereich „Security Services“ und unterstützt Organisationen mit Sicherheitslösungen gegen Cyberbedrohungen. Mit über 20 Jahren Erfahrung bei BearingPoint ist er ein Experte für offensive und defensive Security-Dienstleistungen.

Es beginnt immer mit einem Gespräch

Kontaktieren Sie uns, um mehr über IT-Security Services zu erfahren. Unser Cybersecurity-Team steht für Sie bereit.
Kontaktieren Sie uns