Sichere Passwörter

Strategien zur Passwortsicherheit

Sichere Passwörter sind nicht kurz, bestehen nicht aus nur Buchstaben, stehen in keinem Buch und werden sicher aufbewahrt. Diese Vorgehensweise ist Pflicht (für das Unternehmen und für alle Mitarbeiter).

Wie kommen wir zu einem sicheren Passwort? Und wie verwalten wir unsere Passwörter?

Zunächst muss klar definiert sein, was ein sicheres Passwort ausmacht. Passwörter werden angegriffen, üblicherweise durch social engineering (Vorname der Ehefrau oder …) oder brute-force-Attacken (Try & Error unter Zuhilfenahme von „Wörterbüchern“. Spätestens hier wird eine Regel klar: je kürzer, desto schlechter. Und die zweite Regel: je nachvollziehbarer, desto schlechter.

Bei in unserem Unternehmen verwendeten Passwörtern gilt:

  • mindestens zwölf Zeichen Länge
  • Sonderzeichen sind enthalten
  • Zahlen sind enthalten
  • Groß-Klein-Schreibung

Soweit zur Struktur von sicheren Passwörtern. Wie kommen wir  an solche? Die Methode: flache Hand auf Tastatur ist schlecht, u.a. weil die Wahrscheinlichkeit von Häufungen bestimmter Zeichen groß ist.

Wir setzen einen lokalen Passwort-Generator ein, dessen Arbeitsweise an unsere Vorstellungen anpassbar ist. Wir verwenden natürlich keinen öffentlichen, web-basierten Gratis-Service dafür.

Links zu einem solchen Werkzeug finden Sie am Ende dieser Seite.

Verwaltung der Passwörter

Sichere Passwörter sind unbeliebt. Anwender (neudeutsch: User) mögen sie nicht, weil sie nicht aus drei bis vier Zeichen bestehen und auch nicht einfach identisch sind mit ihrem Namen. Die „bösen Buben“ mögen sie nicht, weil sie ihnen das Leben schwer machen. Warum also, wenn niemand sie mag?

Passworte werden als Zugangsschlüssel zu Mail-Boxen, PC, Servern, Telefonen und all den Geräten und Dienstleistungen verwendet, mit den wir uns umgeben, die teilweise für uns und/oder unsere Firma lebenswichtig sind. Da sollten diese Schlüssel schon eine gewisse Qualität haben. Es geht hierbei NICHT um Bequemlichkeit, sondern um Sicherheit. Und da hört das Vergnügen auf.

Wie also wollen wir das Problem lösen?

In grösseren Organisationen löst das der/die hausinterne Datenschutzbeauftragte in Zusammenarbeit mit der IT-Abteilung. Da werden dann (leider auch nicht immer!) ernst zu nehmende Passwörter vergeben und im Idealfall auch regelmässig erneuert. Diese ernst zu nehmenden Passwörter sind dann meist nicht „merkbar“. Der alte Witz mit dem kleinen gelben Zettel unter der Tastatur oder gar am Bildschirm ist immer noch aktuell und gar nicht lustig.