Sichere Passwörter

Strategien zur Passwortsicherheit

Sichere Passwörter sind nicht kurz, bestehen nicht aus nur Buchstaben, stehen in keinem Buch und werden sicher aufbewahrt. Diese Vorgehensweise ist Pflicht (für das Unternehmen und für alle Mitarbeiter).

Wie kommen wir zu einem sicheren Passwort? Und wie verwalten wir unsere Passwörter?

Zunächst muss klar definiert sein, was ein sicheres Passwort ausmacht. Passwörter werden angegriffen, üblicherweise durch social engineering (Vorname der Ehefrau oder …) oder brute-force-Attacken (Try & Error unter Zuhilfenahme von „Wörterbüchern“. Spätestens hier wird eine Regel klar: je kürzer, desto schlechter. Und die zweite Regel: je nachvollziehbarer, desto schlechter.

Bei in unserem Unternehmen verwendeten Passwörtern gilt:

  • mindestens zwölf Zeichen Länge
  • Sonderzeichen sind enthalten
  • Zahlen sind enthalten
  • Groß-Klein-Schreibung

Soweit zur Struktur von sicheren Passwörtern. Wie kommen wir  an solche? Die Methode: flache Hand auf Tastatur ist schlecht, u.a. weil die Wahrscheinlichkeit von Häufungen bestimmter Zeichen groß ist.

Wir setzen einen lokalen Passwort-Generator ein, dessen Arbeitsweise an unsere Vorstellungen anpassbar ist. Wir verwenden natürlich keinen öffentlichen, web-basierten Gratis-Service dafür.

Links zu einem solchen Werkzeug finden Sie am Ende dieser Seite.

Verwaltung der Passwörter

Sichere Passwörter sind unbeliebt. Anwender (neudeutsch: User) mögen sie nicht, weil sie nicht aus drei bis vier Zeichen bestehen und auch nicht einfach identisch sind mit ihrem Namen. Die „bösen Buben“ mögen sie nicht, weil sie ihnen das Leben schwer machen. Warum also, wenn niemand sie mag?

Passworte werden als Zugangsschlüssel zu Mail-Boxen, PC, Servern, Telefonen und all den Geräten und Dienstleistungen verwendet, mit den wir uns umgeben, die teilweise für uns und/oder unsere Firma lebenswichtig sind. Da sollten diese Schlüssel schon eine gewisse Qualität haben. Es geht hierbei NICHT um Bequemlichkeit, sondern um Sicherheit. Und da hört das Vergnügen auf.

Wie also wollen wir das Problem lösen?

In grösseren Organisationen löst das der/die hausinterne Datenschutzbeauftragte in Zusammenarbeit mit der IT-Abteilung. Da werden dann (leider auch nicht immer!) ernst zu nehmende Passwörter vergeben und im Idealfall auch regelmässig erneuert. Diese ernst zu nehmenden Passwörter sind dann meist nicht „merkbar“. Der alte Witz mit dem kleinen gelben Zettel unter der Tastatur oder gar am Bildschirm ist immer noch aktuell und gar nicht lustig.

Nun bin ich zwar Geschäftsführer eines IT-getriebenen Unternehmens, glaube aber auch daran, dass Technik mich unterstützen soll und nicht ich mich der Technik unterwerfen müsse. Beim Stichwort Passwort gibt es für kleine und mittelständische Unternehmen mehrere Möglichkeiten, um komfortabel und sicher damit umzugehen. Aus meiner Sicht gibt es zwei Ansätze:

  • Verzicht auf Passworte (ernst gemeint)
  • Werkzeugeinsatz (Software)

Schlüssel statt Passwort

Beginnen wir mit dem provokanten Ansatz „Verzicht“. Wir setzen diese Methode seit Jahren zunehmend im Bereich Wartung & Administration ein. Ein Verfahren, das auf zwei Schlüssseln, genauer einem Paar Schlüssel beruht, ist in der Anwendung komfortabel und sicher in der Handhabung. Und das geht so:

Jeder Server, Router oder Switch hat eine Schlüssel-Verwaltung. Jeder zulässige Benutzer hat einen privaten Schlüssel (private key) und einen öffentlichen Schlüssel (public key). Der öffentliche Teil-Schlüssel wird auf dem Server hinterlegt. Will der Techniker nun auf diesen Server zugreifen, identifiziert er sich mit seinem privaten Schlüssel, der vom Server geprüft wird. Passen die beiden Teil-Schlüssel, wird der Zugang gewährt.

Das Verfahren der Private-Public-Key wird an vielen Stellen, so auch beim Verschlüsseln von eMail eingesetzt und ist anerkannt und bewährt. Die Schlüssel bestehen aus ASCII-Dateien. Der jeweilige private key muss natürlich entsprechend geschützt werden. Wie geht das am besten?

Unsere Techniker verfügen über hard- UND softwareverschüsselnde USB-Sticks, auf denen sowohl die Schlüssel-Sammlung als auch die Werkzeuge wie SSH-Client (für den Kommandozeilen-Zugriff auf Server), SCP-Client (zur gesicherten Datenübertragung) und weitere gespeichert sind. Die Daten selbst sind durch ein mehrstufiges Sicherheitskonzept geschützt.

Dieses Verfahren hat seine praktischen Grenzen. Wo diese jeweils liegen, hängt vom Unternehmen und seinen Arbeitsabläufen ab.

Werkzeugeinsatz (Software)

In vielen Szenarien kommen wir um Passwörter nicht herum. Und da wir viele Passwörter benutzen (nämlich für jeden Zugang ein anderes!), brauchen wir eine „Zettelsammlung“ für unsere Passwörter. Hier bieten sich kleine Datenbanken an, die selbst passwort-geschützt sind und idealerweise auf einem USB-Stick laufen. Die darin gespeicherten Passwörter können dann per Mausklick, durch Kopieren oder ganz simpel durch Abschreiben verwendet werden.

Einige dieser Datenbanken können auch Zusatzinformationen zu den Geräten speichern, sodass sich hier ein weiterer Mehrwert ergibt. Dieser Ansatz ist billig (das heisst: er kostet wenig Geld), sehr leicht zu handhaben und daher als Lösung immer dann zu empfehlen, wenn nicht unternehmensweit eine andere Art der Authentifizierung verwendet wird. Aber selbst dann ist diese Methode noch gut bei allen Zugängen, die eben nicht der unternehmens-IT zugehören.

Links

  • https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2011/Passwortsicherheit_27012011.html
  • https://www.sicher-im-netz.de/dsin-muster-passwortkarte
  • http://www.sicherespasswort.com/
  • https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
  • https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html;jsessionid=AEDA0D3BB24D90B0EFA17FC2FF8854F6.2_cid341
  • http://www.chip.de/artikel/Passwort-aendern-Kostenlos-sichere-Passwoerter-erstellen-2_62307381.html
  • http://www.chip.de/downloads/Password-Safe_17477253.html
  • http://keepass.info/download.html