Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Ein komplexes Passwort muss nicht schwer zu merken sein, wenn man schach-begeistert ist.
Was hat Passwortqualität mit einer Schacheröffnung gemeinsam?
Der Zugang zu Anwendungen und IT-Komponenten ist unter anderem nur so sicher, wie das Passwort, welches man zum Schutz verwendet. Doch komplexe Passwörter müssen nicht schwer sein.
Identitätsmanagement
Der Zugang zu schützenswerten Ressourcen ist auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken. Benutzer und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden. Die Verwaltung der dafür notwendigen Informationen wird als Identitätsmanagement bezeichnet.
Im Rahmen des Identitätsmanagements definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter anderem die Punkte „Regelungen für die Einrichtung und Löschung von Benutzern und Benutzergruppen“, „Regelungen für Einrichtung, Änderung und Entzug von Berechtigungen“, „Vergabe von Zugangsberechtigungen“ und die „Regelung des Passwortgebrauchs“.
Passwortgebrauch und Passwortqualität
Die Regelungen des BSI in diesem Zusammenhang sind, dass der Passwortgebrauch im Unternehmen verbindlich geregelt werden muss und dabei die Anforderungen an die Passwortqualität zu berücksichtigen sind. Die Passwortqualität besagt dabei aus, dass abhängig vom Einsatzzweck und Schutzbedarf sichere Passwörter geeigneter Qualität gewählt werden müssen. Das Passwort muss auf der einen Seite dabei so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort darf auf der anderen Seite nicht zu komplex sein, damit der Benutzer in der Lage ist, dass Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.
Für die Praxis bedeutet dies:
1. Passwörter dürfen nicht notiert werden
Es gibt Ausnahmefälle, wenn Passwörter notiert werden sollten. So z.B. für Notfalluser oder Ähnliches. Diese Kennwörter sollten dann in einem sicheren Ort wie in einem Tresor aufbewahrt werden und nicht neben dem PC.
2. Passwörter dürfen niemanden mitgeteilt werden
Das Passwort darf nur dem Benutzer bekannt sein.
3. Passwörter müssen eine Mindestlänge von acht Zeichen haben
Dabei muss das Passwort mindestens zwei der folgenden drei Anforderungen erfüllen: Buchstaben [A–Z, a–z], Zahlen [0–9], Sonderzeichen.
4. Passwörter dürfen nicht leicht zu erraten sein
Namen, Geburtstage oder Trivialpassworte (wie z.B. „qay123“ oder „qwert“) sind als Passworte nicht zu gebrauchen.
Bildung von Passwörtern
Um sehr komplexe und doch gleichzeitig leicht zu merkende Passwörter zu generieren, hat sich als effiziente Methode die Verwendung der Anfangsbuchstaben aus einem Satz ergänzt um Sonderzeichen und/oder Zahlen herausgestellt. So kann man aus dem Satz „Der Urlaub auf Hawaii im Jahre 2011 war traumhaft“ das Passwort „DUaHiJ2011wt“ generieren. Da dieses Passwort kein Sonderzeichen aufweist, kann man das Jahr als „#“ und nur die letzten zwei Ziffern der Jahreszahl verwenden. Dann entsteht ein sehr komplexes Passwort „DUaHi#11wt“.
UNIX-Prominenz wählte Schach-Eröffnung
Vor dem Problem der Passwortqualität stehen Anwender und Administratoren seit Anbeginn der Nutzung von IT. Nur waren die Möglichkeiten zu dieser Zeit recht bescheiden; nach heutigen Maßstäben. Ein Passwort durfte zu jener Zeit maximal acht Zeichen aufweisen und die Verschlüsselung erfolgte mit Verfahren, die mittlerweile gebrochen bzw. als zu schwach einzustufen sind.
Schon vor ein paar Jahren wurde durch Zufall eine verschlüsselte Datei mit den alten Passwörtern der Computer-Dinos Ken Thompson, Dennis Ritchie, Stephen R. Bourne und Eric Schmidt gefunden. Das Kennwort von Ken Thompson stellt sich hierbei als besonders hartnäckig heraus, um es zu knacken. Bei Ken Thompson handelt es sich um keinen geringeren als den Miterfinder des Betriebssystems „Unix“. Doch es wurde geknackt.
Es lautet: p/q2-q4
Was auf den ersten Blick nach einer mathematischen Formel aussieht, ist bei genauerer Betrachtung viel simpler, wenn man Schachspieler ist. Denn die Zeichenfolge ist eine bekannte Eröffnungsvariante im Schach. Es bedeutet: Pawn (Bauer) Queen 2 — Queen 4 (d2-d4).
Aber Achtung: Bitte interpretieren Sie die Nutzung von Schachzügen nicht als die ideale Lösung für Passwörter. Denn über Social Engineering kann man Ihre Vorliebe zu Schach herausfinden und dieses dann gezielt für Brute Force Angriffe verwenden.
4 Kommentare zu Was hat Passwortqualität mit einer Schacheröffnung gemeinsam?
Schreiben Sie einen Kommentar
Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Und was halten Sie von Passwort-Managern?
Sicher oder nicht?
“Passwortmanager sind eine gute Möglichkeit, viele starke und sichere Passwörter für unterschiedlichen Zwecke zu speichern und zu verwalten. Zur Qualität von Passwortmanagern hat das Chip-Magazin einen Vergleichstest durchgeführt: https://www.chip.de/artikel/Test-Die-besten-Passwort-Manager_182620837.html
Auch wenn Passwortmanager eine sichere Verwaltung sicherstellen können, gilt zu bedenken, dass der Zugriff auf diesen Passwortmanager auch durch ein Passwort geschützt ist. Gerade bei cloudgestützten Managern ein nicht zu unterschätzendes Risiko. Daher bietet es sich bei diesen Managern an, einen zweiten Faktor zu nutzen.
Eine gute Übersicht und Empfehlungen bietet hier das BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Passwort_Manager/Passwort_Manager_node.html ”
anscheinend gibt es Verständnisprobleme. Ich habe nicht von einer Schacheröffnung geschrieben, sondern von Blockchain.
Solange die Blockchain- Technologie noch grundsätzlich abgelehnt wird, ist die Anwendung von Passwortmanagern die sicherste Methode zumal die Zahl der Accounts bei den Usern ständig steigt.