Passwortregeln, Schutz oder Risiko?

Gerne werden Mitarbeitern Wechselintervalle als auch Länge und Komplexität der Passwörter vorgeschrieben oder nahegelegt. Das kommt – dank zusätzlichem Aufwand – bei diesen eher mäßig an und immer häufiger fragen sich Sicherheitsexperten: „Sind derartige Richtlinien überhaupt wirksam?“ Wir sagen ganz klar: „Jein!“ Warum es einerseits ratsam und andererseits sogar gefährlich sein kann, sich beim Passwortschutz an fest definierte Regeln zu halten …

Wenn Regeln mehr schaden als nützen

Längst herrscht nicht nur unter Anwendern Unklarheit darüber, was ein starkes Passwort ausmacht und wie dieses zu pflegen ist. Nun hat das Bundesinnenministerium für Sicherheit (BSI) die Textpassage gestrichen, in der zu einem regelmäßigen Passwortwechsel aufgerufen wurde. Auch der Absatz zu Komplexität und Länge ist verschwunden. Sicherheitsexperten raten dazu, sich langfristig lieber ein wirklich sicheres Passwort zu merken und sich dabei nicht mit Mindestangaben aufzuhalten.

„Passwort, wechsel dich!“ Oder doch nicht?

Aber warum Passwortwechsel auch Sinn machen, obwohl schon ein starkes Passwort verwendet wird? Grund ist: In Unternehmen können sich bereits Angreifer befinden, die noch nicht aufgespürt wurden. Häufige Passwortwechsel sperren diese erfolgreich aus. Wenn der Austausch des Passworts aber auf Kosten der Qualität durchgeführt wird, kann sich das Sicherheitsrisiko sogar erhöhen. Dazu kommt: Je länger ein Passwort unverändert genutzt wird – im Zweifel sogar für mehrere Anwendungen oder Dienste – umso größer wird das Risiko einer Kompromittierung.

„Nicht ohne mein altes Passwort!“

Trotzdem empfinden Mitarbeiter oft zu großen Trennungsschmerz, um sich ganz von ihren mühsam einstudierten Eselsbrücken und Zeichenfolgen zu trennen. Man kann es ihnen nicht verübeln – gleicht es doch einer extremen Mammutaufgabe, sich für jeden Account ein einzigartiges Passwort zu merken – und dieses dann auch noch alle x Wochen auszutauschen. Kein Wunder also, dass Mitarbeiter zu unsicheren Taktiken greifen, um auch noch die letzte Regel ihrer Password Policies zu erfüllen. Sie tauschen das Passwort also nicht aus, sondern verändern es nur teilweise, um es sich weiterhin merken zu können. Beliebt hierbei sind …

Sonderzeichen anhängen oder austauschen: Passw0rd!
Zahlen anhängen: Password1
Groß- und Kleinschreibung ändern: PaSSword
Ziffern ersetzen: Passw9rd

Diese gängigen Muster kennen aber auch Hacker und können auf Basis von Algorithmen derartige Veränderungen leicht vorhersagen und das neu gesetzte Passwort sogar noch schneller knacken. In der Folge sind vorgeschriebene Passwortänderungen für Unternehmen eher ineffektiv und sogar kontraproduktiv.

Password Manager als Lösung

Dass Passwort-Richtlinien passé wären, ist also eine falsche Schlussfolgerung, die aus unsicheren Methoden zur Passwort-Erstellung resultiert. Unternehmen zu empfehlen, auch starke Passwörter bestehen zu lassen, kann deshalb ein fataler Ratschlag sein, der nicht wirklich die Ursache des Problems bekämpft.

Geben Sie Ihren Mitarbeitern lieber nützliche Tipps mit auf den Weg, wie ein sicheres Passwort aussehen sollte und lassen Sie diese beim Austauschen nicht alleine! Bestenfalls entkoppeln Sie den Prozess des Passwortwechsels komplett von Ihren Mitarbeitern, indem sie diese mit einem Password Manager automatisiert vornehmen lassen. Mithilfe eines Password Generators können Zeichenanzahl, Sonderzeichen und Co. vorab eingestellt werden und der Anwender muss sich beim Erstellen des Passworts gar nicht mehr damit befassen.

Mit Password Safe können unternehmensweit Passwortrichtlinien vorgegeben sowie selbst erstellt und geändert werden. Passwörter werden sowohl automatisch als auch manuell nach selbst definierten Auslösern auf einen neuen, unbekannten Wert gesetzt – Ihren Passwort-Richtlinien entsprechend. Wenn ein Mitarbeiter etwa ein Passwort aufdeckt oder herauskopiert, reagiert Password Safe sofort, indem es ein neues Passwort setzt und Ihre Zugänge bleiben geschützt.

Klicke hier, um mehr über die Passwortrichtlinien und mehr Passwort Sicherheit in Password Safe zu erfahren.

Lese unser Whiterpaper „Passwort Richtlinien„, darin kannst du nachlesen, wie du sichere Richtlinien im Unternehmen nachhaltig festlegen kannst.

Wenn Regeln mehr schaden als nützen

„Passwort, wechsel dich!“ Oder doch nicht?

„Nicht ohne mein altes Passwort!“

Password Manager als Lösung

MATESO Blog

Netwrix erwirbt MATESO, um Kunden einen besseren Schutz von Identitäten zu ermöglichen

Datenschutztag 2022 bei MATESO

Browser-Erweiterungen

Logge dich überall ein

Mobile Apps

Hast du schon einmal mit einem Teammitglied ein Passwort in verschlüsselter Form geteilt, ohne es selbst zu kennen?

Schau dir an, wie wir das bei Password Safe machen

Wie funktioniert Password Safe?

Wie oft änderst du deine Passwörter?

Hast du eine eigene IT-Verwaltung, die sich um Lösungen wie Password Safe kümmern kann?

Wie viele Benutzerlizenzen benötigst du?

Wer soll Password Safe verwenden?

Hast du ein AD / LDAP, aus dem du Benutzer importieren möchtest? / Möchtest du mehrere Server verbinden?

Wie groß ist dein Unternehmen?

Ist das Outsourcing von IT-Dienstleistungen eine Option für dich?

Wie viele Benutzerlizenzen benötigst du?

Passwortregeln, Schutz oder Risiko?

Wenn Regeln mehr schaden als nützen

„Passwort, wechsel dich!“ Oder doch nicht?

„Nicht ohne mein altes Passwort!“

Password Manager als Lösung

Teilen Sie diesen Artikel!

MATESO Blog

Netwrix erwirbt MATESO, um Kunden einen besseren Schutz von Identitäten zu ermöglichen

Datenschutztag 2022 bei MATESO

Browser-Erweiterungen

Logge dich überall ein

Mobile Apps