Die folgende Beispiel-Passwortrichtlinie berücksichtigt den Stand der Kenntnisse über die Leistung und die Möglichkeit verschiedener Arten von Angriffen auf kryptografische Systeme im Jahr 2020. Wenn möglich, werde ich versuchen, mich zu aktualisieren (wenn es sich herausstellt, dass es bereits zu schwach ist).
Statische Passwörter in IT-Systemen sollten:
- mindestens 12 Zeichen lang sein;
- mindestens drei der folgenden vier Kategorien enthalten:
- Zeichen groß von A bis Z
- kleine Zeichen von a bis z
- Ziffern 0 bis 9
- Sonderzeichen (z. B. !,.$^)
- andere als die in der Liste der 1000 beliebtesten Passwörter aufgeführten sein;
- keine Login-Wörter, keinen Firmennamen, keinen Anwendungsnamen, keine E-Mail-Adresse, keinen Benutzernamen enthalten;
- in sicherer Form mit Funktionen wie bcrypt oder PBKDF2 gespeichert werden;
Viele nützliche Informationen zur Passwortpolitik und zur korrekten und sicheren Implementierung des Authentizierungsprozesses finden Sie in OWASP – Authentication Cheat Sheet
In den meisten Fällen wissen Sie nicht, wie Ihre Passwörter auf Websites gespeichert werden. Möglicherweise hat der Administrator keine Mechanismen zum Schutz Ihrer Daten implementiert. Deshalb müssen Sie selbst für ihre Sicherheit sorgen. Um sich davor zu schützen, dass Ihr Passwort von einer Website durchgesickert ist und ein Angreifer dieses Passwort auf einem anderen Portal verwendet, auf dem Sie ein Konto haben, sollten Sie auf jeder Seite ein anderes Passwort verwenden. Angesichts der Vielzahl von Portalen, in denen wir uns heutzutage drehen, und des Grades der Komplexität der in der obigen Politik zitierten Passwörter ist es nicht möglich, sie alle zu finden. Hier kommt uns ein Passwort-Manager zu Hilfe. Sie merken sich ein kompliziertes Passwort, und der Rest wird sich bereits damit befassen. Einer der als sicher und empfohlenen Passwort-Manager gilt als KeePass.
Die Verwendung von Passwort-Managern bringt eine Reihe zusätzlicher Vorteile mit sich, wie z. B.:
- automatische Generierung komplexer, sicherer Kennwörter;
- automatische Sicherung;
- Zugriff auf Ihre Passwörter auf mehreren Geräten (z. B. über gdrive);
- die Möglichkeit der Datensynchronisierung zwischen Geräten;
- automatische Datenverschlüsselung;
- automatisches Ausfüllen von Formularen auf Websites;
Um die Sicherheit unserer Daten weiter zu erhöhen, lohnt es sich, wo immer möglich, die Zwei-Faktor-Authentifizierung auszuführen. Der Dienst ist seit vielen Jahren auf Websites wie Facebook, Gmail verfügbar, und in jüngerer Zeit sind Banken aufgrund gesetzlicher Anforderungen beigetreten. Ein zusätzlicher Autentifizierungsfaktor, z. B. in Form eines SMS-Codes, der auf Ihr Telefon kommt, erhöht die Sicherheit Ihres Kontos erheblich.
Passwörter umgeben uns von überall. Angesichts des ständig wachsenden Trends bei Internetangriffen lohnt es sich, die Sicherheit Ihrer Daten zu erhöhen. Die Einführung einer Passwortpolitik ist ein guter Weg.