DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Ein kom­plexes Passwort muss nicht schwer zu merken sein, wenn man schach-begeistert ist.

Was hat Pass­wort­qua­lität mit einer Schacher­öffnung gemeinsam?

Der Zugang zu Anwen­dungen und IT-Kom­­po­­nenten ist unter anderem nur so sicher, wie das Passwort, welches man zum Schutz ver­wendet. Doch kom­plexe Pass­wörter müssen nicht schwer sein.

Iden­ti­täts­ma­nagement
Der Zugang zu schüt­zens­werten Res­sourcen ist auf berech­tigte Benutzer und berech­tigte IT-Kom­­po­­nenten ein­zu­schränken. Benutzer und IT-Kom­­po­­nenten müssen zwei­felsfrei iden­ti­fi­ziert und authen­ti­siert werden. Die Ver­waltung der dafür not­wen­digen Infor­ma­tionen wird als Iden­ti­täts­ma­nagement bezeichnet.
Im Rahmen des Iden­ti­täts­ma­nage­ments defi­niert das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) unter anderem die Punkte „Rege­lungen für die Ein­richtung und Löschung von Benutzern und Benut­zer­gruppen“, „Rege­lungen für Ein­richtung, Änderung und Entzug von Berech­ti­gungen“, „Vergabe von Zugangs­be­rech­ti­gungen“ und die „Regelung des Passwortgebrauchs“.

Pass­wort­ge­brauch und Passwortqualität
Die Rege­lungen des BSI in diesem Zusam­menhang sind, dass der Pass­wort­ge­brauch im Unter­nehmen ver­bindlich geregelt werden muss und dabei die Anfor­de­rungen an die Pass­wort­qua­lität zu berück­sich­tigen sind. Die Pass­wort­qua­lität besagt dabei aus, dass abhängig vom Ein­satz­zweck und Schutz­bedarf sichere Pass­wörter geeig­neter Qua­lität gewählt werden müssen. Das Passwort muss auf der einen Seite dabei so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort darf auf der anderen Seite nicht zu komplex sein, damit der Benutzer in der Lage ist, dass Passwort mit ver­tret­barem Aufwand regel­mäßig zu verwenden.

Für die Praxis bedeutet dies:
1. Pass­wörter dürfen nicht notiert werden
Es gibt Aus­nah­me­fälle, wenn Pass­wörter notiert werden sollten. So z.B. für Not­falluser oder Ähn­liches. Diese Kenn­wörter sollten dann in einem sicheren Ort wie in einem Tresor auf­be­wahrt werden und nicht neben dem PC.
2. Pass­wörter dürfen nie­manden mit­ge­teilt werden
Das Passwort darf nur dem Benutzer bekannt sein.
3. Pass­wörter müssen eine Min­dest­länge von acht Zeichen haben
Dabei muss das Passwort min­destens zwei der fol­genden drei Anfor­de­rungen erfüllen: Buch­staben [A–Z, a–z], Zahlen [0–9], Sonderzeichen.
4. Pass­wörter dürfen nicht leicht zu erraten sein
Namen, Geburtstage oder Tri­vi­al­pass­worte (wie z.B. „qay123“ oder „qwert“) sind als Pass­worte nicht zu gebrauchen.
Bildung von Passwörtern
Um sehr kom­plexe und doch gleich­zeitig leicht zu mer­kende Pass­wörter zu gene­rieren, hat sich als effi­ziente Methode die Ver­wendung der Anfangs­buch­staben aus einem Satz ergänzt um Son­der­zeichen und/oder Zahlen her­aus­ge­stellt. So kann man aus dem Satz „Der Urlaub auf Hawaii im Jahre 2011 war traumhaft“ das Passwort „DUaHiJ2011wt“ gene­rieren. Da dieses Passwort kein Son­der­zeichen auf­weist, kann man das Jahr als „#“ und nur die letzten zwei Ziffern der Jah­reszahl ver­wenden. Dann ent­steht ein sehr kom­plexes Passwort „DUaHi#11wt“.

UNIX-Pro­­­minenz wählte Schach-Eröffnung
Vor dem Problem der Pass­wort­qua­lität stehen Anwender und Admi­nis­tra­toren seit Anbeginn der Nutzung von IT. Nur waren die Mög­lich­keiten zu dieser Zeit recht bescheiden; nach heu­tigen Maß­stäben. Ein Passwort durfte zu jener Zeit maximal acht Zeichen auf­weisen und die Ver­schlüs­selung erfolgte mit Ver­fahren, die mitt­ler­weile gebrochen bzw. als zu schwach ein­zu­stufen sind.
Schon vor ein paar Jahren wurde durch Zufall eine ver­schlüs­selte Datei mit den alten Pass­wörtern der Com­­puter-Dinos Ken Thompson, Dennis Ritchie, Stephen R. Bourne und Eric Schmidt gefunden. Das Kennwort von Ken Thompson stellt sich hierbei als besonders hart­näckig heraus, um es zu knacken. Bei Ken Thompson handelt es sich um keinen gerin­geren als den Mit­er­finder des Betriebs­systems „Unix“. Doch es wurde geknackt.
Es lautet: p/q2-q4
Was auf den ersten Blick nach einer mathe­ma­ti­schen Formel aus­sieht, ist bei genauerer Betrachtung viel simpler, wenn man Schach­spieler ist. Denn die Zei­chen­folge ist eine bekannte Eröff­nungs­va­riante im Schach. Es bedeutet: Pawn (Bauer) Queen 2 — Queen 4 (d2-d4).

Aber Achtung: Bitte inter­pre­tieren Sie die Nutzung von Schach­zügen nicht als die ideale Lösung für Pass­wörter. Denn über Social Engi­neering kann man Ihre Vor­liebe zu Schach her­aus­finden und dieses dann gezielt für Brute Force Angriffe verwenden.

4 Kommentare zu Was hat Passwortqualität mit einer Schacheröffnung gemeinsam?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.