Cybersicherheit: Praktische Tipps für starke Passwörter

Von Tim Franzke
Mai 3, 2023
Digital Solutions

Ist dein Passwort stark genug, um dich vor Cyber-Bedrohungen zu schützen? Am ersten Donnerstag im Mai feiern wir den International Password Day. Wir erklären, wo dieser Tag herkommt, was sichere Passwörter und Passwortverwaltung sind und wie die passwortlose Zukunft aussehen kann.

Read me later

Ein vergessenes Passwort ist oft Ärger genug, aber wenn ein Passwort erstmal gehackt wurde und Fremde Zugriff auf sensible Daten haben, ist es zu spät.
Der World Password Day soll daran erinnern, diesen Fall gar nicht erst aufkommen zu lassen. Er mahnt Unternehmen an, ihre Passwortrichtlinien zu prüfen und soll für Datensicherheit sensibilisieren. Der Tag fördert auch Alternativen zu Passwörtern, wie die Zwei-Faktor-Authentifizierung und biometrische Verifikation.

Was ist der World Password Day?

Der World Password Day ist ein jährliches Ereignis, das am ersten Donnerstag im Mai stattfindet. Er wurde 2013 ins Leben gerufen, um das Bewusstsein für die Bedeutung von sicheren Passwörtern zu erhöhen und bessere Passwort-Gewohnheiten zu fördern. Die Veranstaltung wird von einer Gruppe von Organisationen und Unternehmen unterstützt, die sich der Cybersicherheit verpflichtet haben.

Die Relevanz des World Password Day

Eine Business Insider Studie hat gezeigt, dass 10.000 der häufigsten Passwörter den Zugang zu 98% aller Konten ermöglichen. Mit anderen Worten: Die meisten Menschen verwenden dieselben Passwörter – und das oft jahrelang. Karriere-Hacker wissen das – und das ist einer der Gründe, warum sie in den letzten Jahren so erfolgreich waren. Der World Password Day ist daher ein Versuch, dem entgegenzuwirken. Ein Passwort, das Ihrem Geburtsdatum ähnelt oder Gott bewahre das Wort «Passwort» selbst sollte heutzutage niemand mehr verwenden. Passwörter sollten lang, komplex und ohne Ähnlichkeit mit existierenden Wörtern sein.

Cyber Security für Unternehmen

Der Welt-Passwort-Tag ist auch eine Gelegenheit für Organisationen und Unternehmen, ihre Passwortrichtlinien zu überprüfen und sicherzustellen, dass sie angemessene Massnahmen ergreifen, um ihre Daten und die Daten ihrer Kunden zu schützen. Dazu gehört die Implementierung von Zwei-Faktor-Authentifizierung, die Verwendung von Passwortmanagern und Schulungen für Mitarbeiter zur Passwortsicherheit.

Best Practises für mehr Cyber Security

Randall Munroe hat die Faustregel für einfache Passwortsicherheit sehr gut zusammengefasst:

Natürlich sollte man nicht nur Tipps von einem Comic zur privaten oder geschäftlichen Passwortsicherheit annehmen. Die best practises dafür lauten:

Stelle sicher, dass dein Passwort mindestens 8-12 Zeichen lang ist. Je länger das Passwort, desto schwerer ist es zu knacken.
Verwende eine (zufällige) Kombination aus Buchstaben, Zahlen und Symbolen, um ein komplexes Passwort zu erstellen. Vermeide leicht zu erratende Informationen wie deinen Namen oder Geburtsdatum.
Vermeide die Verwendung desselben oder ähnlicher Passwörter (FacebookPW, AmazonPW, GooglePW…) für mehrere Konten. Wenn ein Konto kompromittiert wird, könnten alle Ihre anderen Konten gefährdet sein. Geleakte Passwörter werden oft mit den zugehörigen E-Mail-Adressen veröffentlicht.
Ändere deine Passwörter regelmässig, idealerweise alle 3-6 Monate. Dies verringert die Wahrscheinlichkeit, dass jemand langfristig auf Ihre Konten zugreifen kann.
Erwäge die Verwendung eines Passwort-Managers, um starke Passwörter zu generieren und zu speichern. Dies erleichtert das Erstellen einzigartiger Passwörter für jedes Konto, und du musst dir nur ein Master-Passwort merken. In Unternehmen erlaubt dies auch das sichere Teilen von Passwörtern, z.B. von gemeinsam genutzten Onlinediensten.

Unser Partner, der Passwort Manager LastPass, bietet anlässlich des World Password Days einen 20% Discount auf sein Angebot.

World Password(less) Day

Neben Passwörtern gibt es jedoch auch weitere Methoden der Verifizierung, die Passwörter entweder um eine weitere Sicherheitsstufe erweitern oder sie ganz ersetzen können. Der World Password(less) Day ist daher die klare Erweiterung der Idee eines Tages der Cybersecurity. Beispiele in diesem Bereich sind:

Die Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsverfahren, das die Identität eines Benutzers überprüft, indem es zwei unabhängige Faktoren verwendet. Diese Faktoren sind in der Regel etwas, das der Benutzer weiss (z.B. ein Passwort) und etwas, das der Benutzer besitzt (z.B. ein Smartphone oder eine Sicherheits-Token). Wenn ein Benutzer sich bei einem Konto anmelden möchte, das die 2FA verwendet, muss er zuerst sein Passwort eingeben. Anschliessend wird ihm ein Code über eine separate Methode zugesandt, z.B. eine SMS, eine Push-Benachrichtigung oder eine Authentifizierungs-App. Der Benutzer muss dann diesen Code innerhalb einer bestimmten Zeit eingeben, um sich zu authentifizieren und Zugang zum Konto zu erhalten.
Biometrische Authentifizierung erlaubt Sicherheit, die weniger anfällig für Cyberattacken ist. Beispiele dafür sind beispielsweise TouchID (2013) und FaceID(2017) auf dem iPhone. Daten sind damit nur noch für bestimmte Personen zugänglich. Die physischen Merkmale werden von einem Sensor gescannt, der das Merkmal aufzeichnet und eine digitale Vorlage erstellt. Diese Vorlage wird dann in der Datenbank der Anwendung oder des Geräts gespeichert und später zur Überprüfung der Identität des Benutzers verwendet.
Authentifizierung via Push-Benachrichtigungen ist eine Methode zur Benutzeridentifikation und -verifizierung, die häufig in mobilen Apps verwendet wird. Bei dieser Methode wird dem Benutzer eine Benachrichtigung auf sein Mobilgerät gesendet, die er dann bestätigen muss, um sich bei der App anzumelden oder eine Transaktion durchzuführen. Der Prozess beginnt, wenn der Benutzer versucht, sich anzumelden oder eine Transaktion durchzuführen. Die App sendet dann eine Push-Benachrichtigung an das Mobilgerät des Benutzers, die eine Bestätigungsanforderung enthält. Der Benutzer muss dann die Benachrichtigung öffnen und die Bestätigungsoption auswählen, um sich zu authentifizieren. Diese Methode bietet eine zusätzliche Sicherheitsschicht, da ein Angreifer nicht nur das Passwort des Benutzers kennen, sondern auch physischen Zugriff auf das Mobilgerät haben müsste, um die Push-Benachrichtigung zu bestätigen.
Authentifizierung via Zertifikat ist eine Methode, die z.B. beim deutschen online Finanzamt Elster genutzt wird. Für den Zugriff auf den Account wird neben dem Passwort der Upload einer Zertifikatsdatei benötigt. Diese Technik funktioniert hier als Zwei-Faktor-Authentifizierung, könnte jedoch auch alleinstehend eingesetzt werden.

Was man auf jeden Fall machen sollte

Der Umgang mit Passwörtern ist lästig, doch gutes Passwortmanagement spart langfristig Geld und Nerven. Wir raten dir daher, deine ältesten und einfachsten Passwörter auszutauschen und für alle wichtigen Services 2 Faktor Authentifizierung zu nutzen.
Browser wie Chrome geben eine Warnung, wenn genutzte Passwörter in grossen Dataleaks gefunden wurden. Ein Blick in diese Einstellungen lohnt sich also auf jeden Fall.

Um Passwörter in Zukunft einfacher erstellen und verwalten zu können, möchten wir dir noch mal unseren Partner LastPass empfehlen. Er erspart uns im Agenturalltag eine Menge Stress und schützt die Sicherheit unserer Kunden.

Links und Quellen

Tim Franzke

Social Media Marketing Manager, Brain & Heart Communication

Tim Franzke ist ein kompetenter Kommunikationsspezialist im Bereich Social Media Kommunikation, Community Management und Content Marketing. Er ist ergebnisorientiert und zuverlässig und zeichnet sich besonders durch sein schnelles Auffassungsvermögen und sein Verantwortungsbewusstsein aus. Seine Expertengebiete:

Social Media Kommunikation
Social Media Advertising
Content Marketing

Mehr zu Brain & Heart