08
August
2022

Doppelt hält besser – der 2. Faktor beim Passwort

Um das Thema Passwörter gibt es immer wieder Beiträge im Netz, am 01. Februar eines jeden Jahres ist sogar der offizielle „ändere dein Passwort Tag“. 

13.05.2022   Doppelt hält besser – der 2. Faktor beim Passwort

Um das Thema Passwörter gibt es immer wieder Beiträge im Netz, am 01. Februar eines jeden Jahres ist sogar der offizielle „ändere dein Passwort Tag“. 

Wir werden Ihnen heute ebenfalls ein paar Tipps an die Hand geben und Ihnen Wege zeigen, wie wir die Proble­matik in unserem Unter­nehmen umsetzen und wie Sie das Thema einfach und sicher dauerhaft lösen können.

Vor einigen Jahren war es in Unter­nehmen üblich, dass man sein Passwort alle 6 – 12 Wochen ändern sollte.  Das hatte zur Folge, dass sich keiner mehr das Passwort merken konnte oder wollte und daher das Passwort irgendwo notiert wurde. Alter­nativ waren die Änderungen am Passwort so marginal, dass die Änderung relativ sinnlos war. 

In meinem Passwort war grund­sätzlich die Jahreszahl enthalten und eine weitere Zahl, welche ich immer eines höher gesetzt habe – aus heutiger Sicht ein Witz, damals hielt man es für extrem sicher. Das Passwort sollte so häufig geändert werden, weil man davon ausge­gangen ist, dass man ein Passwort relativ leicht knacken kann und man durch die Änderung dem Dieb die Tour wieder vermasseln wollte. 

Wir erachten dieses Konzept bereits seit Jahren für nicht sinnvoll und beraten und schulen immer, sich lieber ein sicheres und komplexes Passwort auszu­denken. Dadurch sinkt die Wahrschein­lichkeit dass es geknackt wird und folglich muss man das Passwort nicht regel­mäßig ändern. 

Aktuell halten wir alle Passwörter ab 12 Stellen für angemessen. Diese sollten einen Mix aus Groß– und Klein­buch­staben, Zahlen und Sonder­zeichen erhalten. Zusätzlich sollten keine ganzen Wörter vorhanden sein, welche sich im Duden wieder­finden. Passwort123! ist also keine tolle Lösung – das wissen zwar die Meisten, dennoch zählt es immer noch zu einem der häufig verwen­deten Passwörter. Vielmehr raten wir zu einer Methode, welche auf einem Satz basiert und von dessen Wörtern die jewei­ligen Anfangs­buch­staben genutzt werden. 

 

Hier ein Beispiel:  Urlaub mit Tante Renate auf Rügen war 1965!

Daraus entsteht das Passwort: UmtRaRw1965!

Solche Sätze lassen sich leicht merken und sich das Passwort daher leicht ableiten.  

Eine mögliche zusätz­liche Variante empfehlen wir ebenfalls sehr gerne: Setzen Sie vor das Passwort noch ein #  und davor den ersten Buchstaben des benutzen Dienstes. Beispiel für einen möglichen Account bei Amazon wäre dann: a#UmtRaw1965! Somit nutzen Sie überall ein unter­schied­liches Passwort, aber dennoch ist es einfach zu merken.

 

Passwort-​​Manager

Wem dies zu kompli­ziert ist und wer seine Sicherheit an dieser Stelle weiter erhöhen möchte, ist bei einem Passwort-​​Manager gut aufge­hoben. Hier erzeugt der Passwort-​​Manager ein Passwort für Sie und verwaltet es auch gleich­zeitig. Sie geben beim Starten der Software lediglich 1x ein Haupt­passwort ein und haben dann Zugriff auf Ihre Zugänge. Wir nutzen einen solchen Manager seit 2 Jahren und bei aktuell über 230 Logins wäre es sonst nicht möglich überall ein sicheres und einzig­ar­tiges Passwort einzu­setzen. 

Hier können Sie im Internet gerne nach entspre­chender Software Ausschau halten, auch hier gilt wieder: lieber ein paar Euro im Monat in eine sinnvolle und sichere Software inves­tieren, statt sich mit Freeware einzu­schränken. Gerade in Unter­nehmen sollte eine solche Einführung überlegt umgesetzt werden. Sollten Sie sich für einen Passwort­ma­nager entscheiden wollen, berück­sich­tigen Sie bitte die Größe Ihres Unter­nehmens und den Einsatz­zweck. 

 

2-​​Faktor-​​Authentifizierung

Parallel zu einem sicheren Passwort, setzt sich in der IT-​​Welt immer mehr die 2-​​Faktor-​​Authentifizierung durch. Microsoft plant im Moment ab Oktober 2022 den Login nur noch mit einem zweiten Faktor möglich zu machen. 

Viele von Ihnen nutzen diese Möglichkeit ohnehin seit Jahren, ohne sich darüber bewusst zu sein. Bei Banken und online-​​Banking ist diese Umsetzung schon lange Standard. Früher gab es dort TAN-​​Listen. Heute nutzen Banken TAN-​​Generatoren, SMS, Apps oder Ähnliches, um z.B. Überwei­sungen zu legiti­mieren. Banken verlassen sich also nicht nur auf Ihre PIN beim Einloggen, sondern fordern eine weitere Bestä­tigung um sicher­zu­stellen, dass es sich auch wirklich um den legiti­mierten Kunden handelt.

Genau dies nennt man eine 2-​​Faktor-​​Authentifizierung. Denn es gibt ein weiteres „zweites“ Merkmal, außer Ihrem Passwort, welches nur Ihnen zur Verfügung steht. Somit kann, falls das Passwort gehackt werden sollte, keiner auf Ihrem Account zugreifen, da dem Hacker das zweite Merkmal nicht zur Verfügung steht. Dieses Merkmal kann eine SMS, eine App, ein Generator oder ähnliches abbilden. 

Diese Methode kann im Alltag und bei häufiger Nutzung recht zeitin­tensiv sein, von daher empfehlen und nutzen wir selbst eine andere Methode – den sogenannten Hardware-​​Authentication-​​Key (YubiKey), welcher an den PC mittel USB oder NFC gekoppelt wird. YubiKeys werden entweder verwendet, um die Software zu entsperren, welche die Sicher­heits­codes generiert oder die Anmeldung direkt durch­zu­führen. Bedeutet im Umkehr­schluss: kein Schlüssel = kein Zugriff. 

Da inzwi­schen fast alle unsere Partner und Dienste die Option der 2-​​Faktor-​​Authentifizierung anbieten, haben wir uns intern vollständig auf 2-​​Faktor-​​Authentifizierung einge­stellt und bieten all unseren Kunden, welche Zugriff auf unsere Systeme wie z.B. preeco oder unsere QS365-​​Cloud haben, ebenfalls gerne die Möglichkeit die 2-​​Faktor-​​Authentifizierung zu nutzen. Sprechen Sie uns diesbe­züglich gerne an. 

Haben Sie Interesse an der Nutzung dieser Methode? Dann wenden Sie sich in diesem Falle gerne an unseren Partner servecom​.de 

 

 

Copyright © 2023 QS-​​Kornmann