• RUNWAY36

Passwortsicherheit

Aktualisiert: Juli 21



Die Sicherheit eines Kennwortes basiert schlicht und einfach auf seiner Geheimhaltung. Das komplexeste Kennwort ist zwecklos, wenn es auf einem Notizzettel am Bildschirm klebt. 

Für die meisten Kennwörter kann ein Passwortmanager verwendet werden - allerdings funktioniert dieser erst nach der Anmeldung am Computer. Die Ausnahme bei der Verwendung des Passwortmanager macht hier somit das Kennwort welches für die Anmeldung am Computer benötigt wird, sowie das direkte Hauptkennwort für den Passwortmanager, damit dieser überhaupt entsperrt werden kann.


Im optimalen Fall werden Kennwörter nirgends aufgeschrieben, sondern nur im Gedächtnis aufbewahrt. Um dies zu erreichen, ist es erforderlich, dass diese sich einfach merken lassen. Ein paar Stichpunkte hierzu:

• Zufällige Zeichenkombinationen (z.B. $f386xJg!*GUvA) mögen auf den ersten Blick kompliziert und sicher aussehen, sind jedoch schwierig zu merken.


• Einzelne Wörter sind einfach zu merken, lassen sich aber ohne großen Aufwand mittels einer Wörterbuchattacke ermitteln.


• Regelmäßige Änderungen von Kennwörtern erhöhen nicht die Sicherheit, erschweren aber das Merken. Eine Änderung ist daher nur erforderlich, wenn das Kennwort unberechtigten Personen bekannt wurde.


• Komplexitätsrichtlinien für Kennwörter sollten sinnvoll gesetzt werden. Ein Kennwort, welches mindestens 30 Zeichen lang sein muss, Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben enthalten soll und keine Wörter aus dem Wörterbuch beinhalten darf, ist nur sehr schwer zu merken. Die Nutzer werden dadurch dazu verleitet das Kennwort zu notieren.


Das Merken eines normalen Satzes, oder alternativ mehrere hintereinander gesetzte Wörter, ist für einen Menschen einfach. Da Computer das Kennwort als Ganzes interpretieren, ist das Erraten eines deutschen Satzes eine sehr komplexe Aufgabe. 

Beispiel: wort1-wort2-wort3-wort4


Grundsätzlich gilt für Kennwörter:

• Ein Kennwort nicht mehrfach verwenden, sondern für jedes System immer ein separates Kennwort.

• Sollten von einem System durch eine Sicherheitslücke Kennwörter bekannt geworden sein, so muss nur dieses eine Kennwort geändert werden.


• Das Kennwort eines personenbezogenen Benutzerkontos sollte nur die Person selbst kennen, nicht einmal der IT-Administrator - es ist zu behandeln wie die PIN einer Bankkarte.


• Sicherheitsfragen sollten nicht mit echten Antworten beantwortet werden, da diese in Zeiten von sozialen Medien sehr leicht ermittelbar sind, beispielsweise Name von Haustieren, Mädchenname der Mutter, Geburtstage etc. und somit das Kennwort unberechtigt zurückgesetzt werden kann. Besser sind hier zufällige Zeichenkombinationen, die dann im Passwortmanager dokumentiert werden.


• Wenn möglich Zwei-Faktor-Authentifizierung verwenden. Auf diese Weise ist der Zugang auch bei Verlust des Kennwortes gesichert, solange der Angreifer keinen Zugriff auf den zweiten Faktor (Smartphone-App, USB-Token, SMS) hat.

34 Ansichten

©2020 RUNWAY36 GmbH | Impressum | Datenschutz

  • Weiß LinkedIn Icon