To Don’ts im Umgang mit Passwörtern


5. August 2013, von in IT

An vielen Stellen im Internet findet man Hinweise und Tipps zur Erstellung sicherer Kennwörter und den Umgang damit.

Heute möchte ich jedoch das Pferd vom Schwanz aufzäumen und die To Don’ts im Umgang mit Passwörtern beschreiben. Denn unabhängig davon, wie komplex und sicher ein Kennwort ist, kann unsachgemäße Handhabung die Sicherheit des Kennwortes nachhaltig schwächen.

Damit keine Verwirrung entsteht, sei noch gesagt, dass die Begriffe Passwort und Kennwort in diesem Artikel synonym verwendet werden.

Im Folgenden werde ich einige Dinge auflisten, die man mit seinen Passwörtern tunlichst nicht tun sollte. Dabei beginne ich mit absoluten No-Go’s, bei deren Nichtbeachtung man auch gleich auf ein Passwort verzichten kann. Die Liste setzt sich dann über optionale Maßnahmen fort, die eure Kennwörter zusätzlich schützen. Je mehr Punkte aus dieser Liste befolgt werden, desto sicherer ist ein Passwort aufgehoben.

Die To-Don’ts:

Man soll Passwörter nicht aufschreiben. Aber mal ehrlich, wer kann sich bei der Menge an Passwörtern, die man sich heutzutage merken muss, denn wirklich daran halten? Wer kennt das nicht:

  • Wird man im Internet oder am Arbeitsplatz zur Vergabe eines neuen Passworts aufgefordert, notiert man sich das neue irgendwo, um nochmal schnell nachsehen zu können, bis man es sich endlich gemerkt hat. Manchmal behält man diesen Notizzettel auch so lange, bis man wieder ein neues Kennwort vergeben muss und schreibt dieses einfach unter das alte.
  • Man bekommt von der IT eine Liste mit Initialkennwörtern, um Zugang zu allen erforderlichen Diensten und Applikationen zu erlangen. Auch wenn die Kollegen aus der IT darum bitten, alle Kennwörter sofort nach der ersten Anmeldung zu ändern, werden die Initialkennwörter meist noch Wochen, Monate oder Jahre weiterverwendet.

Wenn ihr Passwörter auf Papier notiert solltet ihr nicht

  • die Benutzeranmeldedaten zusammen mit dem Notebook aufbewahren (z.B. in der Notebooktasche). Wird euch das Notebook gestohlen, hat der Dieb gleich alle Informationen, um sich anzumelden und lokale Daten kopieren zu können. Befindet sich der Dieb im Empfangsbereich eures WLANs, kann er damit sogar auf für euch freigegebene Netzwerkressourcen zugreifen und Daten verfälschen, stehlen und vernichten.
  • den Passwortzettel am Arbeitsplatz liegen lassen. Hier kann er viel zu schnell gefunden und entwendet werden. Dies führt dazu, dass ihr euch nicht mehr anmelden könnt, der Dieb dafür aber schon. Es drohen die gleichen Folgen, die schon oben beschrieben wurden.

Bewahrt ihr die Zugangsdaten getrennt vom Gerät auf, ist schon viel gewonnen. Ausserdem hängt ja auch niemand seinen Haustürschlüssel außen neben die Tür, nachdem er sie abgeschlossen hat.

  • Passwort nicht mit dem Benutzernamen zusammen notieren!
  • Zugangsdaten nicht zusammen mit dazugehöriger Anwendung notieren!

Auch diese beiden Punkte leuchten schnell ein. Meist kann man sich den Benutzernamen noch leicht merken. Daher sollte man ihn nicht mit dem Passwort zusammen notieren. Ist der Passwortzettel abhanden gekommen, verfügt der Finder wenigstens nur über die Hälfte der benötigten Zugangsdaten.

Notiert ihr euch irgendwo die PIN eurer EC-Karte, schreibt nicht dazu, dass es sich bei dieser vierstelligen Zahl um die PIN für’s Online-Banking handelt. Tipp: Wenn ihr euch die PIN nicht merken könnt, baut sie in eine Telefonnummer im Adressbuch eures Handys ein. Nun ist auf den ersten Blick nicht mehr ersichtlich, dass es sich dabei um eine Online-Banking PIN handelt.

Nächster Punkt:

  • Schreibt eure Passwörter nicht auf einen Notizzettel!

Mit diesem Schritt könnt ihr die Sicherheit eurer Passwörter weiter steigern. Was nicht auf einem Zettel steht, kann nicht ausgespäht und missbraucht werden. Verwendet statt der altbackenen Gedächtnisstütze auf Cellulosebasis lieber einen Passwort-Manager.

  • Benutzt keinen Passwort-Manager ohne Masterkennwort!

Denn sonst macht ihr es einem Dieb noch leichter. Wird euer Notebook gestohlen oder steht unbeaufsichtigt und entsperrt herum, kann man sich eure Passwörter ganz einfach anzeigen lassen und hat alle Informationen, die man zur missbräuchlichen Verwendung braucht.

Diese Aufzählung erhebt keinen Anspruch darauf, vollständig zu sein. Doch wenn ihr einige, am besten natürlich alle, der obigen Punkte befolgt, sind eure Passwörter schon deutlich besser geschützt, als sie es womöglich zur Zeit sind.

Für weite Informationen zu diesem Thema empfehle ich euch den Artikel Sichere Passwörter und wie man sie verwaltet.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert