Passwort-Paranoia! Dieses Phänomen greift um sich wie eine Seuche, und das nicht erst seit der DSGVO. Das Internet ist durchsetzt von Passwortdieben, Datenräubern und und anderen Unholden. Hast du den Mut, eine eigene Website zu betreiben, trägst du für deine Besucher und Kunden eine riesige Verantwortung und wirst auf die Frage stoßen: Wie richte ich einen sinnvollen Passwortschutz ein? Welche Passwortrichtlinien sind sinnvoll? Wir haben für dich recherchiert.
NIST räumt mit Irrtümern auf und berichtigt seine Empfehlungen
Hacker schaffen es immer und immer wieder, an Datensätze zu gelangen und verbreiten im Netz eine Atmosphäre der Unsicherheit. Nicht nur Prominente und Politiker sind immer wieder von Datendiebstahl betroffen, sondern auch private Seitenbetreiber. Das National Institute of Standards and Technology (NIST) gibt als US-Experte Empfehlungen für sichere Passwörter heraus, die als Standard für öffentliche Einrichtungen gelten. In Sachen IT-Sicherheit, Datenschutz und Anti-Überwachung sind wir stets den neuesten Erkenntnissen auf der Spur und geben sie an dich weiter. Wir raten dir, dich an die NIST-Grundlagen zu halten. Diese Behörde hinterfragt nämlich selbstkritisch den Nutzen der eigenen Tipps und gibt Denkfehler zu. Die Richtlinien wurden vor kurzer Zeit auf den neuesten Stand gebracht und helfen dir, deinen Internetauftritt sicher zu machen.
Tipp 1: Und die Länge zählt doch!
Manche Gegner dieser These ziehen den Vergleich zur PIN auf einer Bankkarte, die immerhin nur aus 4 Ziffern besteht und begrenzen deshalb ihre Passwortvorgaben auf 6 oder 7 Zeichen. Fataler Fehler, denn dabei wird oft vergessen, dass die Bankkarte bei falscher PIN-Eingabe spätestens beim 4. Fehlversuch einkassiert und gesperrt wird. 64 Zeichen und mehr solltest du getrost erlauben, denn es hat sich herausgestellt, dass die Barriere zum Entschlüsseln sehr langer Kreationen viel höher ist. Optimal wäre es, sogar Leerzeichen zu ermöglichen, aber bitte lege die Untergrenze für ein sicheres Passwort niemals unter 16, 12 oder wenigstens 8 Zeichen fest.
Tipp 2: Nicht denken, dass der Computer denkt
Wie ist das gemeint? Wir als Menschen empfinden die Aneinanderreihung von Sonderzeichen als Hyroglyphen. Schreiben wir P@$$wORT! anstatt Passwort, halten wir uns für clever. Vor ein paar Monaten wurde auch von NIST noch empfohlen, möglichst viele Sonderzeichen zu verwenden. Das Problem dabei ist aber, dass ein Algorythmus kein Mensch ist. Er erkennt diese Tricks kinderleicht und knackt das P@$$wORT! Genauso kinderleicht wie das stinknormale Passwort123. Deshalb: Erlaube möglichst alle Sonderzeichen, aber verlange sie nicht. Auch hier, siehe Tipp 1: Auf die Länge kommt es an.
Tipp 3: Never change a running system
Das bedeutet in dem Zusammenhang, dass du bitte nicht von deinen Gästen verlangen sollst, nach einem festgelegten Zeitraum ein neues Passwort festzulegen. Der ursprüngliche Sicherheitstipp des NIST, die Login-Daten alle 90 Tage zu wechseln, war ein Irrtum. Der Grund ist ein völlig menschlicher: Es nervt! Und was tun Menschen, die genervt sind oder vielleicht gerade nichts zum Schreiben zur Hand haben? Sie denken sich ein leicht zu merkendes und damit leicht zu knackendes Passwort aus. Du erweist deinen Besuchern oder Kunden einen größeren Dienst, indem du ihnen diesen Schlamassel ersparst und ihnen die funktionierende Errungenschaft des Pass-Satzes (wieder siehe Tipp 1) lässt. Warne sie lieber nur, wenn du tatsächlich ein Zugriffsversuch festgestellt hast. Ein Passwortwechsel ist immer angebracht, wenn Grund zur Annahme besteht, dass ihr Geheimwort in die falschen Hände geraten sein könnte. Lasse das die Leute wissen!
Tipp 4: Verschone deine Gäste mit Sicherheitsfragen
Dass der Geburtsnamen der Mutter Meier ist, das erste Haustier Mauzi, Bello, Hasso oder Waldi hieß, die Lieblingsfarbe Pink oder das Lieblingsessen Spaghetti, macht natürlich einen Login für Unbefugte unwahrscheinlicher. Aber auch die Idee mit den Sicherheitsfragen ist nicht unbedingt wasserdicht. Wer Böses im Sinn hat und sich bei seinem Opfer im Account einloggen will, wird unter Umständen auch anderswo recherchieren, und sei es bei Facebook. Wenn es dann richtig unglücklich läuft, findet er die entscheidende Information oder hat am Ende sogar Glück bei dem kleinen Quiz. Wenn du diese Art der Sicherheitvorkehrung schon als zusätzliche Hürde einbaust, dann sei bitte kreativ oder sage deinen Webseitenbesuchern, dass sie am besten flunkern sollen, dass sich die Balken biegen. Es sei ihnen vergeben, der Sicherheit zuliebe!
Tipp 5: Schütze Konten doppelt
Wenn du ganz auf Nummer Sicher gehen willst, erkundige dich, ob du eine Zwei-Faktor Authentifizierung (2 FA) integrieren kannst. Das stellt einen größeren Aufwand dar, da deine Kunden zum Beispiel einen Code per SMS erhalten, wenn sie sich auf deiner Seite registrieren. Diesen Code müssen sie wiederum in deine Eingabemaske eintippen. Damit sind deine Gäste verifiziert und du kannst bei Verdacht auf Fremdzugriff prüfen, ob sich ein ungebetener Gast am Loginfenster zu schaffen macht. Dieser bräuchte nämlich sowohl das Passwort, als auch die Telefonnummer des möglichen Opfers. Bitte sei aber nicht wie Facebook. Treibe keinen Unfug mit den Handynummern, die du bei dieser Methode sammelst, okay?
Tipp 6: Rate deinen Gästen zu Passwort-Managern
Setzt du die Mindestanzahl der Zeichen für deine Passwort-Richtlinien zu gering an, werden deine Besucher dazu neigen, sich ein leicht zu merkendes Wort auszudenken. Ein Notizzettel ist auch schnell mal weg und stellt eine gewisse Gefahr dar, ausgespäht zu werden. Deshalb macht ein Passwort-Manager absolut Sinn. Er ermöglicht auch den Überblick über alle Geräte hinweg, weil sich die Daten synchronisieren lassen. Somit können sich die Menschen auf deiner Seite beispielsweise auch von unterwegs per Smartphone einloggen, obwohl sie ein kompliziertes und somit sicheres Geheimwort ausgesucht haben. Ein weiterer Vorteil ist die Möglichkeit, über das Managerprogramm ein sicheres Passwort per Zufall zu generieren. Nicht jeder hat eine tolle Idee für das ultimative Passwort zur Hand. Natürlich sollte nur ein sicherer Passwort-Manager benutzt werden, der die Daten inklusive Masterkennwort gut verschlüsselt. Gib ruhig auch noch einmal den Hinweis, dass eine Textdatei unter gar keinen Umständen eine Alternative ist!
Tipp 7: Gib Passwortmuffeltum keine Chance!
Doppelte oder mehrfach vergebene Passwörter sind das Verderben der Online-Privatsphäre. Immer wieder wird festgestellt, dass Internetnutzer dieser völlig menschlichen Bequemlichkeit fröhnen und ein und dasselbe Wort für all ihre Accounts nutzen. 87 % der Leute recyclen ihre Lieblingspasswörter und gehen damit ein erhebliches Sicherheitsrisiko ein, einem Hacker Tür und Tor zu allen Konten zu öffnen. Bedenke, dass der Durchschnittsmensch durchaus über 90mal irgendwo im Internet angemeldet ist. Du kannst deine Nutzer schützen, indem du die Passwörter automatisch mit einschlägigen Datenbanken wie Haveibeenpwned.com oder Wörterbucheinträgen abgleichen lässt. Schlägt der Algorythmus Alarm, lasse das Passwort lieber gar nicht zu.
Tipp 8: Vergiss nicht deine eigene Sicherheit!
Checke deine eigene Homepage auf Sicherheitsmängel. Wenn du deine Seite mit WordPress erstellt hast, sei dir darüber bewusst, dass zumindest Bots irgendwann einmal ihr Glück versuchen könnten. Lasse im Zweifel einen Profi schauen, wo du vielleicht Angriffsfläche bietest. Nimm Updates und Sicherheits-Plugins wie Limit Login Attempts immer in Anspruch und halte sie aktuell.
Zu guter Letzt möchten wir dir den nett gemeinten Hinweis geben, dass du bei aller Fürsorge für deine Website-Gäste auch an dich privat denken solltest. Sind deine eigenen Passwörter sicher und lang genug? Nichts doppelt verwendet? VPN installiert? Virenschutz aktiv?
Betrachte generell deine Privatsphäre als dein Heiligtum, wenn du im Internet unterwegs bist!
Quelle: Golem.de
Erstellt am: 19. April 2019