13.05.2022 Doppelt hält besser – der 2. Faktor beim Passwort
Um das Thema Passwörter gibt es immer wieder Beiträge im Netz, am 01. Februar eines jeden Jahres ist sogar der offizielle „ändere dein Passwort Tag“.
Wir werden Ihnen heute ebenfalls ein paar Tipps an die Hand geben und Ihnen Wege zeigen, wie wir die Problematik in unserem Unternehmen umsetzen und wie Sie das Thema einfach und sicher dauerhaft lösen können.
Vor einigen Jahren war es in Unternehmen üblich, dass man sein Passwort alle 6 – 12 Wochen ändern sollte. Das hatte zur Folge, dass sich keiner mehr das Passwort merken konnte oder wollte und daher das Passwort irgendwo notiert wurde. Alternativ waren die Änderungen am Passwort so marginal, dass die Änderung relativ sinnlos war.
In meinem Passwort war grundsätzlich die Jahreszahl enthalten und eine weitere Zahl, welche ich immer eines höher gesetzt habe – aus heutiger Sicht ein Witz, damals hielt man es für extrem sicher. Das Passwort sollte so häufig geändert werden, weil man davon ausgegangen ist, dass man ein Passwort relativ leicht knacken kann und man durch die Änderung dem Dieb die Tour wieder vermasseln wollte.
Wir erachten dieses Konzept bereits seit Jahren für nicht sinnvoll und beraten und schulen immer, sich lieber ein sicheres und komplexes Passwort auszudenken. Dadurch sinkt die Wahrscheinlichkeit dass es geknackt wird und folglich muss man das Passwort nicht regelmäßig ändern.
Aktuell halten wir alle Passwörter ab 12 Stellen für angemessen. Diese sollten einen Mix aus Groß– und Kleinbuchstaben, Zahlen und Sonderzeichen erhalten. Zusätzlich sollten keine ganzen Wörter vorhanden sein, welche sich im Duden wiederfinden. Passwort123! ist also keine tolle Lösung – das wissen zwar die Meisten, dennoch zählt es immer noch zu einem der häufig verwendeten Passwörter. Vielmehr raten wir zu einer Methode, welche auf einem Satz basiert und von dessen Wörtern die jeweiligen Anfangsbuchstaben genutzt werden.
Hier ein Beispiel: Urlaub mit Tante Renate auf Rügen war 1965!
Daraus entsteht das Passwort: UmtRaRw1965!
Solche Sätze lassen sich leicht merken und sich das Passwort daher leicht ableiten.
Eine mögliche zusätzliche Variante empfehlen wir ebenfalls sehr gerne: Setzen Sie vor das Passwort noch ein # und davor den ersten Buchstaben des benutzen Dienstes. Beispiel für einen möglichen Account bei Amazon wäre dann: a#UmtRaw1965! Somit nutzen Sie überall ein unterschiedliches Passwort, aber dennoch ist es einfach zu merken.
Passwort-Manager
Wem dies zu kompliziert ist und wer seine Sicherheit an dieser Stelle weiter erhöhen möchte, ist bei einem Passwort-Manager gut aufgehoben. Hier erzeugt der Passwort-Manager ein Passwort für Sie und verwaltet es auch gleichzeitig. Sie geben beim Starten der Software lediglich 1x ein Hauptpasswort ein und haben dann Zugriff auf Ihre Zugänge. Wir nutzen einen solchen Manager seit 2 Jahren und bei aktuell über 230 Logins wäre es sonst nicht möglich überall ein sicheres und einzigartiges Passwort einzusetzen.
Hier können Sie im Internet gerne nach entsprechender Software Ausschau halten, auch hier gilt wieder: lieber ein paar Euro im Monat in eine sinnvolle und sichere Software investieren, statt sich mit Freeware einzuschränken. Gerade in Unternehmen sollte eine solche Einführung überlegt umgesetzt werden. Sollten Sie sich für einen Passwortmanager entscheiden wollen, berücksichtigen Sie bitte die Größe Ihres Unternehmens und den Einsatzzweck.
2-Faktor-Authentifizierung
Parallel zu einem sicheren Passwort, setzt sich in der IT-Welt immer mehr die 2-Faktor-Authentifizierung durch. Microsoft plant im Moment ab Oktober 2022 den Login nur noch mit einem zweiten Faktor möglich zu machen.
Viele von Ihnen nutzen diese Möglichkeit ohnehin seit Jahren, ohne sich darüber bewusst zu sein. Bei Banken und online-Banking ist diese Umsetzung schon lange Standard. Früher gab es dort TAN-Listen. Heute nutzen Banken TAN-Generatoren, SMS, Apps oder Ähnliches, um z.B. Überweisungen zu legitimieren. Banken verlassen sich also nicht nur auf Ihre PIN beim Einloggen, sondern fordern eine weitere Bestätigung um sicherzustellen, dass es sich auch wirklich um den legitimierten Kunden handelt.
Genau dies nennt man eine 2-Faktor-Authentifizierung. Denn es gibt ein weiteres „zweites“ Merkmal, außer Ihrem Passwort, welches nur Ihnen zur Verfügung steht. Somit kann, falls das Passwort gehackt werden sollte, keiner auf Ihrem Account zugreifen, da dem Hacker das zweite Merkmal nicht zur Verfügung steht. Dieses Merkmal kann eine SMS, eine App, ein Generator oder ähnliches abbilden.
Diese Methode kann im Alltag und bei häufiger Nutzung recht zeitintensiv sein, von daher empfehlen und nutzen wir selbst eine andere Methode – den sogenannten Hardware-Authentication-Key (YubiKey), welcher an den PC mittel USB oder NFC gekoppelt wird. YubiKeys werden entweder verwendet, um die Software zu entsperren, welche die Sicherheitscodes generiert oder die Anmeldung direkt durchzuführen. Bedeutet im Umkehrschluss: kein Schlüssel = kein Zugriff.
Da inzwischen fast alle unsere Partner und Dienste die Option der 2-Faktor-Authentifizierung anbieten, haben wir uns intern vollständig auf 2-Faktor-Authentifizierung eingestellt und bieten all unseren Kunden, welche Zugriff auf unsere Systeme wie z.B. preeco oder unsere QS365-Cloud haben, ebenfalls gerne die Möglichkeit die 2-Faktor-Authentifizierung zu nutzen. Sprechen Sie uns diesbezüglich gerne an.
Haben Sie Interesse an der Nutzung dieser Methode? Dann wenden Sie sich in diesem Falle gerne an unseren Partner servecom.de