Sichere Passwörter – wie Sie Hacker und Cyberkriminelle aussperren
Ende des Supports für Microsoft Office 2007 Flat Office Dokumente farbig ohne Schatten
Ende des Supports für Microsoft Office 2007
20. April 2017
USB Stick Sicherheitsrisiko gefährlich
USB Stick als Sicherheitsrisiko
22. April 2017

Hackers Liebling: ein und dasselbe unsichere, leicht zu knackende Passwort für zehn und mehr verschiedene Programme

Kaum zu glauben ist aus Sicht eines erfahrenen Systemadministrators die Liste der meistverwendeten Passwörter laut einer Studie
des Hasso Plattner-Instituts (Universität Potsdam).

Hackers Liebling

Ein und dasselbe unsichere, leicht zu knackende Passwort für zehn und mehr verschiedene Programme sowie Zugänge in einem Netzwerk und zugleich auf Online-Portalen. Immer noch neigen Computernutzer dazu, Geburtsdaten, gängige Vor- und Nachnamen und andere leicht zu erratende Begriffe zu verwenden zum sich einzuloggen. „Schließlich kann man sich ja nicht x verschiedene Wort-Zahlen-Zeichen-Kombinationen merken“, rechtfertigen sie ihren Leichtsinn. Doch das kann schwere Folgen haben. Obwohl Medien immer wieder über Cyberkriminalität berichten und obwohl bekannt ist, dass millionenfach gestohlene Datensätze im Darknet, dem nicht durch Google erschlossenen Teil des Internets, gehandelt werden, gibt es bei der IT-Passwort-Sicherheit bei vielen Anwendern immer noch viel Nachlässigkeit.

Kaum zu glauben ist aus Sicht eines erfahrenen Systemadministrators die Liste der meistverwendeten Passwörter laut einer Studie des Hasso Plattner-Instituts (Universität Potsdam). Die zehn Top-Passwörter treiben jedem versierten Netzwerkbetreuer Sorgenfalten in die Stirn: Sie lauten: hallo, passwort, hallo123, schalke04, passwort1, qwertz, arschloch, schatz, hallo1 und auf Platz 10 das nicht jugendfreie Wort mit „f“ am Anfang. Als langjährig erfahrenes Systemhaus in Darmstadt und dem Großraum Frankfurt/Main dürfen wir Ihnen versichern: Das kostet jeden Hacker gerade mal ein Lächeln – und schon ist er in Ihre IT- und Daten-Infrastruktur eingedrungen.

Rechtschaffene Surfer und Nutzer von IT-Anwendungen machen sich keine Vorstellung davon, wie fortgeschritten und leistungsfähig die virtuellen Maschinen sind, mit denen Hacker Passwörter knacken. In wenigen Minuten können sie zigtausende Passwortkombinationen testen. Sie verfügen über umfangreiche Wörterbücher für häufig genutzte Passwörter.

Sie fragen sich, ob Sie bereits Opfer einer Daten-Spionage-Attacke geworden sind und bereits Passwörter aus Ihrem Netzwerk oder Ihrer MS Office 365-Infrastruktur oder einer vorhandenen Cloud-Lösung im Umlauf sind?

Hier klicken:
https://sec.hpi.uni-potsdam.de/leak-checker/search?lang=de

E-Mail-Adresse eingeben und den Leak Checker arbeiten lassen. Er durchsucht Millionen gestohlener und von Cyberkriminellen ins Web gestellte Identitätssätze. Wenn der Checker etwas findet, ist es höchste Zeit, alle mit der E-Mailadresse im Internet verbundenen Passwörter durch Sichere zu ersetzen.

Die erfahrenen Netzwerkadministratoren der reinheimer systemloesungen gmbh helfen dabei gern.

Wenn eins Ihrer Passwörter schon einmal gehackt wurde, sieht das so aus:

Passwörter schon einmal gehackt

Warnung eines erfahrenen Netzwerk-Betreuers

Im Fall eines solchen Passwort-Lecks können hochsensible Geschäftsgeheimnisse, vertrauliche Kunden- und Produkt- sowie Konten- und Kreditkartendaten in kriminelle Hände geraten. Wenn in ihrem Netzwerk Tür und Tor für Kriminelle offenstehen, ist auch gezielte Sabotage Ihres ERP-Systems oder Ihrer Produktionssteuerung möglich. Klug gewählte Passwörter und eine durch ein IT-Systemhaus professionell aufgesetzte Passwortverwaltung beziehungsweise -beratung sind die zuverlässigen Sicherheitsschlösser Ihrer IT-Infrastruktur.

Sie verfügen über keinen eigenen Netzwerk-Administrator und sind nicht sicher, ob zum Beispiel Ihre Office 365-Bürosoftware Passwort-technisch optimal vor unerwünschten Eindringlingen, Spy-Ware, Schadprogrammen, Würmern oder Trojanern geschützt ist? Als langjährig aktive EDV-Firma in Darmstadt beraten wir Sie gern und übernehmen ebenso gern einen Rundum-Sorglos-Service als Systemadministratoren Ihres Praxis-, Kanzlei- oder Unternehmensnetzwerks. Wir helfen Ihnen dann auch umfassend dabei, Ihre Passwörter sicher zu machen und bieten Ihnen dabei genau auf Ihre Anforderungen zugeschnittene Lösungen. Lesen Sie darüber mehr in den Referenzen des IT Systemhaus reinheimer systemloesungen gmbh im Raum Darmstadt/Frankfurt und darüber hinaus. Hier gelangen Sie zu den Referenzen.

Sehr riskant ist es zudem, Netzwerk-intern genutzte Passwörter auch zum Einloggen auf Internetportalen zu verwenden. Denn immer wieder kommt es vor, dass Hacker umfangreiche Nutzerdateien von Webportalen stehlen. Wer hier Wort-Zeichen-Kombinationen nutzt, die er auch privat sowie beruflich im Unternehmens-Netzwerk verwendet, kann plötzlich ungebetenen Hacker-Besuch erhalten. In einem solchen Fall hilft es Ihnen auch nicht, dass Ihr gewähltes Passwort für sich genommen schon recht sicher ist, weil es zum Beispiel 20 Stellen hat, aus Buchstaben in willkürlicher Groß- und Kleinschreibung sowie Zeichen und Zahlen besteht.

Tipp eines professionellen Netzwerkbetreuers

Auch das beste Passwort nützt nichts, wenn man es in identischer Zusammenstellung für alles vom E-Mail-Account über Web-Logins bis zur Cloud-Lösung nutzt.

Steht ein solcher Code irgendwann in Beutelisten im Internet, so ist das gleichbedeutend damit, die Geldbörse auf dem Autodach liegenzulassen, um ein Beispiel aus der analogen Welt zu wählen. Plötzlich schreiben Internet-Kriminelle in Ihrem Namen E-Mails oder kaufen auf Ihre Kosten teure Produkte online. Sehr problematisch ist es, wenn Kriminelle das Postfach Ihres E-Mail-Postfach knacken. Sie können dann damit in allen Portalen, bei denen Sie Ihre E-Mail als Login benutzen, über die Funktion „Passwort vergessen“ neue Passwörter bestellen und zum Beispiel über Ihre Online-Accounts Waren bestellen.

Eine gefährliche offene Flanke öffnet sich auch, wenn man sich versehentlich über ein fremdes Wlan auf einer unverschlüsselten Seite anmeldet. Denn dahinter kann ein Hacker stecken, der Passwörter im Klartext mitlesen und diese später in Ihrem Namen verwenden will.

Frage an den Netzwerkbetreuer: Was kann ich tun, um zu einem sicheren Passwort zu kommen?

Jeder erfahrene Netzwerkbetreuer wird Ihnen zunächst folgendes raten: Ein sicheres Passwort sollte einmalig sein und so in keinem (Online-)Wörterbuch vorkommen. Die Do-it-yourself-Methode, um an Passwörter zu kommen, die solche Kriterien erfüllen, ist im Prinzip einfach. Greifen Sie sich zum Beispiel die nächste Zeitung und suchen sich einen längeren Satz aus; schreiben Sie die Anfangsbuchstaben aller Wörter  hintereinan. Aus „Vor vollem Haus boten die Künstler eine virtuose Vorstellung“ wird: VvHbdKevV. Kombinieren Sie diese Kombination mit einem „!“ vorn und hinten mit einem langen Gedankenstrich sowie einer Ziffernkombination – bitte nicht „123456“ und auch keine Geburtsdaten! So entsteht dann ein recht sicheres Passwort: !VvHbdKevV–41286 zum Beispiel. Variiert werden kann dieses Passwort beispielsweise durch den Wechsel der Nummernkombination. Sie können sich die Zeichenkombination auch aus einer Gedichtzeile zusammenstellen, die fest in Ihrem Kopf ist und Ihnen im Zweifel als Eselsbrücke dienen kann.

Man kann dieses kryptische Passwort übrigens auch leicht für unterschiedliche Nutzerkonten konfigurieren – zum Beispiel:

Amazon: aM!VvHbdKevV–41286

Ebay: eB!VvHbdKevV–41286

Facebook: fB!VvHbdKevV–41286

Laut Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sollte man für Onlinezugänge Passwörter mit mindestens zwölf Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern verwenden, für WLAN-Zugänge hingegen Passwörter mit mindestens zwanzig Zeichen.

Der IT-Branchen-Verband BitKom rät, alle drei Monate die Passwörter zu wechseln. Wer das beschriebene System hat, wechselt einfach für alle die Zahlenkombination am Ende. Die Zahlenreihe kann natürlich auch in der Mitte stehen.

Do-it-yourself ist Ihnen zu kompliziert – sind Passwortmanager eine bequeme Alternative?

Passwortmanager versprechen einen bequemen Weg, viele verschiedene sichere Passwörter unter einem einzigen Master-Passwort verschlüsselt verwalten zu können. Sie atmen auf: „Endlich muss ich diese kryptischen Zeichenketten nicht mehr auswendig lernen und kann problemlos kompliziertere Passwörter auswählen, um noch sicherer unterwegs zu sein!“ Systemadministratoren betonen zwar einerseits, dass dies ein unbestreitbarer Vorteil ist. Sie warnen aber andererseits, dass der Komfort seine Schattenseiten hat: Haben Datenräuber das Master-Passwort zum Beispiel über einen Trojaner erst einmal ausspioniert, so erhalten sie Zugriff auf alle dahinter gespeicherten Passwörter. Wer seine Passwörter wirklich wirksam vor fremdem Zugriff schützen will, ist deshalb gut beraten, auch seinen Viren- und Spyware-Schutz zum Beispiel für die eigene Office 365-Infrastruktur ständig aktuell zu halten. Unsere Netzwerkadministratoren beraten sie gern. (Link zu Kontaktfeld)

Wer den Begriff „Passwort“ googelt, stößt schnell auf kostenlose Online-Passwortmanager im Internet. Diese locken damit, dass hier bequem sichere Passwörter generiert werden können. Nachteil: Man muss sich bewusst sein, dass die Betreiber dieser Internetplattformen im Prinzip mitschneiden können, was Nutzer auf ihren Seiten machen. Wer es sicherer will, sollte lokal gehostete Programme wie Keepass ins Auge fassen. Komfortabel: KeePass speichert generierte Passwörter automatisch ab. Nachteil: Die Passwörter stehen damit nicht automatisch für alle benutzten Geräte zur Verfügung – zum Beispiel auch nicht für Smartphones oder Tablets. Plugins können hier Abhilfe schaffen. Sie werden mit Browsern anderer genutzter Geräte verknüpft und können bei einmaliger Eingabe des Master-Passwortes dafür sorgen, dass die jeweiligen Online-Passwörter bei Anmeldung auf einem Onlineportal automatisch ausgefüllt werden. Ein weiterer empfehlenswerter Passwortgenerator ist PWgen.

Manche Nutzer behelfen sich mit einem USB-Stick, auf dem sie ihre Passwort-Daten dabei haben, um auch auswärts wie gewohnt weiterarbeiten zu können. Das kann ins Auge gehen, wenn ein fremder Computer zum Beispiel auf einer Dienstreise im Hotel mit einem Trojaner infiziert ist. Und plötzlich sind Ihre vertraulichen Daten im World Wide Web unterwegs.

Die Initiative „Deutschland sicher im Netz“ empfiehlt darüber hinaus Passwortkarten, über die sich verschlüsselte Passwörter immer wieder rekonstruieren lassen. Auch darüber informieren wir Sie als erfahrene EDV-Firma in Darmstadt gern.

Eine weitere – wenngleich unkomfortable – Methode ist die Zweifaktorauthentifizierung. Apple, der Bezahldienst Paypal und auch Facebook bieten sie an. Und das funktioniert so: Wenn Sie sich in ein Konto einloggen, geht ein temporärer Code an ein anderes Gerät – zum Beispiel Ihr Handy. Den müssen Sie dann zusätzlich zum sicheren Passwort eintippen. Die Zweifaktorauthentifizierung funktioniert auch mit Hadware-gestützten TAN-Generatoren. All das ist schwer knackbar, aber nicht für jeden Geschmack.

Zettelwirtschaft zur Trojaner-Abwehr?

Es gibt viele Ratschläge im Netz, wie man seine vertraulichen Passwörter schützen und sich merken soll. Nicht alle sind wirklich hilfreich, manche auch interessengeleitet sowie aus dubiosen Quellen. Vertrauen Sie sich bei diesem wichtigen Thema lieber erfahrenen Ansprechpartnern eines IT-Unternehmens und Systemhauses in Darmstadt sowie im Großraum Frankfurt an, das sich die Anliegen der Kunden zu Eigen macht. Eine zuverlässige Methode zur Erstellung recht sicherer Passwörter haben wir Ihnen bereits mit dem Do-it-yourself-Passwort auf Basis eines Satzes, den Sie sich gut merken können, beschrieben. Eine andere stammt aus der analogen und von Trojanern nicht auslesbaren Welt. Schreiben Sie Ihre Passwörter einfach auf einem Zettel auf und packen Sie sich diesen in Ihren Safe. Passwörter auf einem Post-it am Computer sind übrigens ein absolutes „No-go“!

Passwort-Anfragen-Chaos am Helpdesk? Auf ein Wort unter Systemadministratoren

IT-Abteilungen und Systemadministratoren reagieren auf laxen Mitarbeiter-Umgang mit Passwörtern mit härteren Regeln und strengeren Auflagen. Das ist verständlich. Denn schließlich stehen sie dafür gerade, das das digitale Herz des Unternehmens zuverlässig schlägt – zum Beispiel fürs Büro und die Praxisverwaltung unverzichtbaren Office 365-Anwendungen, das ERP-System oder die Fertigungssteuerung. Um das Heft in der Hand zu behalten, verbieten die Netzwerkbetreuer vielfach bestimmte besonders unsichere Zeichen- und Zahlenkombinationen – dazu zählt zum Beispiel die Zeichenreihen „asdfjklö“ oder – fast noch schlimmer – „123456“. Weitere Restriktionen der Systembetreuer sind beispielsweise bestimmte Passwort-Mindestlängen oder auch die zwangsweise regelmäßige Erneuerung von Passwörtern. Komplizierte und regelmäßige Codes sind zwar schwerer knackbar. Doch sie führen zu einer Flut von Anfragen am Helpdesk, weil Anwender fortgesetzt Passwörter falsch eingeben, vergessen und so weiter. Das verursacht Reibungsverluste und erhebliche Kosten. Was tun?

Self-Reset-Funktionen können hier für Entlastung der Netzwerkbetreuer sorgen. Manuelle Eingriffe entfallen. Denn wenn ein Anwender seinen Code vergessen hat, erhält er nach Authentifizierung durch SelfReset automatisch ein Neues. Das kann über Sicherheitsfragen geschehen, die der Mitarbeiter zuvor für sich definiert hat. Oder auch durch PIN-Verfahren via E-Mail oder als Nachricht auf ein Smartphone. Das spart Zeit für alle Systemadministratoren, senkt Frustpotenziale und Reibungsverluste in der Mitarbeiterschaft und sorgt zugleich automatisch dafür, dass die Sicherheitsschwellen bei den automatisch zugewiesenen Passwörtern hoch bleiben. Dieses Konzept ist sehr interessant für den unternehmerischen Mittelstand, KMU rund um Darmstadt und im Großraum Frankfurt. Auf sie ist die reinheimer systemloesungen gmbh spezalisiert. Lesen Sie darüber mehr in unseren Referenzen.

Single Sign-on ist eine weitere interessante Option, um das Passwort-Chaos unter Anwendern zu kontrollieren. Wenn ein Passwort verändert wird, aktualisieren sich automatisch die Login-Informationen auf allen Konten des Users. Da es bei diesem Vorgehen kein zentrales Repository für Zugangsdaten, kann dieses auch nicht geknackt werden.

Die reinheimer-Check-Fragen für den sicheren Umgang mit Passwörtern

Besteht Ihr Passwort Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen? Sieht es beispielsweise so aus? aM!VvHbdKevV–41286 – dann haben sie schon recht viel Sicherheit. Ein kryptisches Passwort, wie Sie es hier sehen, sollte mindestens acht Zeichen haben – besser mehr!

  • Haben die Passwörter für Ihr Wlan (WPA und WPA2) mindestens 20 Stellen? So lang sollten sie mindestens sein, denn hier können Hacker auch offline angreifen, ohne dass eine Netzwerkverbindung steht.
  • Haben Sie Umlaute wie Ä oder Ü in Ihrem Passwort? Bedenken Sie, dass Sie sich damit im Ausland nicht einloggen können. Also Umlaute vermeiden.
  • Sie hatten bislang einen Namen als Passwort und wollen diesen nun durch Sonderzeichen wie #, $, ? oder ! sicherer machen? Vergessen Sie das bitte! So schlau sind Hacker schon lange.
  • Kommt Ihr Passwort in Wörterbüchern vor? Wer auf Nummer sicher gehen will: Einfach googeln und ändern, wenn man es so im Internet findet.
  • Entspricht die Reihenfolge von Zeichen oder Zahlen der auf Ihrer Computertastatur? Also zum Beispiel „asdf“ oder „12345“? Wenn ja, schnellstens ändern! Das sind Lieblingseinfalltore für Cyberkriminelle.
  • Enthält Ihr Passwort Ihre Namensinitialen, Namen von Familienangehörigen, Ihres Freundes, Lieblingsstars oder Haustiers? Finden sich darin Geburtsdaten? Wenn das so ist, schnell ändern. Denn so clever wie Sie sind versierte IT-System-Knacker schon lange!
  • Ändern Sie regelmäßig Ihre Passwörter? Alle drei bis sechs Monate sollten Sie das tun. Tipp: Ändern sie einfach die Zahlenkombination am Anfang, in der Mitte oder am Ende Ihres Passwortes und speichern Sie sich nur diese ab.

Haben Sie Verhaltensregeln für den Umgang mit Passwörtern in Ihrem Unternehmen?

Wenn nein, sollten Sie damit anfangen. Passwörter dürfen:

  • nicht unverschlüsselt in Cloud-Dokumenten abgelegt werden.
  • am besten gar nicht oder nur in Teilen per Mail verschickt werden – und wenn auch nur in verschlüsselten Mails.
  • nicht sichtbar auf Zettel geschrieben werden, die frei in der Wohnung oder im Büro herumliegen/-hängen.
  • nicht in Webseiten eingegeben werden, deren Herkunft unklar ist. Es ist eine beliebte Strategie von Pishing-Mail-Versendern, die so aussehen wie Bezahldienste oder Online-Stores. Wer zum Opfer eines solchen Pishing-Angriffs geworden ist: Sofort alle mit der Login-E-Mail-Adresse verbundenen Passwörter ändern und den Systemadministrator oder Netzwerkbetreuer informieren!