it-sicherheit:passwoerter
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
it-sicherheit:passwoerter [12:02 10. August 2023 ] – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1 | it-sicherheit:passwoerter [08:40 26. July 2024 ] (aktuell) – Link Korrektur Manuel Lüning | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Empfehlungen zum Umgang mit Passwörtern ====== | ||
+ | Die Frage des Umgangs mit Passwörtern ist auch aber keinesfalls ausschließlich eine technische Frage zu Länge und Komplexität von Passwörtern. | ||
+ | |||
+ | Insbesondere ist der Umgang mit Passwörtern eine Frage der so genannten „user awareness“. Erkennt der Benutzer den Wert der Dienste und Daten die über Benutzerkennung und Passwort geschützt sind, so wird er aus Eigeninteresse eher dazu bereit sein, sinnvolle und sichere Passwörter auszuwählen. Neben der auf der [[https:// | ||
+ | |||
+ | * Menschen neigen dazu, sich an Mustern zu orientieren. Ähnliche Dienste/ | ||
+ | * Es ist menschlich, dass Benutzer sich insbesondere dann an der minimalen Passwortlänge orientieren, | ||
+ | * Je länger ein Passwort ist, desto stärker schützt es vor „brute force“ Angriffen bei denen Passwörter systematisch automatisch ausprobiert werden. Es ist daher wichtig, dass insbesondere ins Internet angebotene Systeme so konfiguriert sind, dass sie „brute force“ Angriffen entgegenwirken (z.B. durch eine Maximalzahl erfolgloser Versuche oder die Verlangsamung der erneuten Eingabe nach wiederholt erfolglosen Versuchen). Da nicht jedes System derartige Konfigurationen unterstützt und aufgrund der Dezentralität und Heterogenität der IT-Angebote wird hier ein gleichmäßig hohes Niveau nur schwer umsetzbar sein. Desto wichtiger ist es daher, unsere Benutzer von einer Präferenz für längere Passwörter zu überzeugen. | ||
+ | * Da nicht immer für jeden abschätzbar ist, wie gut ein Passwort wirklich ist, sollte man sich nicht an dem vom System vorgegebenen maximalen Gültigkeitszeitraum halten und daher nach Möglichkeit Passwörter früher als vom System vorgegeben wechseln. | ||
+ | * Die sicherste Methode zum Aufbewahren von Passwörtern ist und bleibt es, sich die Passwörter zu merken. Wenn nicht schon unsere Benutzer durch den Einsatz von verschiedensten Systemen/ | ||
+ | * Um dem Nutzer die Notwendigkeit sicherer Passwörter besser zu veranschaulichen, | ||
+ | |||
+ | |||
+ | Denkbare und unter der vorgenannten Abwägung zu betrachtende Speichermöglichkeiten sind insbesondere | ||
+ | * Aufschreiben von Passwörtern und versiegelte Ablage in einem Tresor, ggf. zusätzliches Auftrennen von Passwörtern und Ablage an zwei verschiedenen Orten. | ||
+ | * Einsatz von Software: Passwort-Manager können bei geeigneter Auswahl und richtigem Einsatz in der o.a. Bewertung als geeignet erscheinen. | ||
+ | |||
+ | Beim Einsatz von eigenständigen Programmen als Passwort-Safe bzw. verschlüsselnden Passwort-Managern soll beachtet werden, dass | ||
+ | * wenige, besonders bedeutsame Passwörter nicht dort gespeichert werden dürfen und weiterhin gemerkt werden müssen (z.B. „Finanzdaten“ wie Bankkonten-Login, | ||
+ | * das Passwort zum Passwort-Manager muss zur Gruppe der besonders bedeutsamen Passwörter gehören. Es muss durch seine Länge und Komplexität „brute-force-Angriffen“ voraussichtlich länger standhalten als der für andere Passwörter im Passwort-Manager definierte Wechselrhythmus. | ||
+ | * aufgrund des Passwortmanagers für jeden dort gespeicherten Login ein eigenes Passwort verwendet wird und kein Passwort-Recycling stattfindet. | ||
+ | * alle im Passwort Manager gespeicherten Logins bei Abhandenkommen keinen großen Schaden anrichten und einfach neu zu beschaffen sind. | ||
+ | * in den Fällen bei denen eine E-Mail zum Passwort-Recovery bei einem Dienst hinterlegt ist und das Passwort zu diesem Dienst im Passwort-Manager hinterlegt ist, besondere Maßnahmen zum Schutz der Identität notwendig sind. In diesen Fällen darf dann das E-Mail-Passwort zur hinterlegten E-Mail Adresse nicht im Passwort-Manager gespeichert werden. Dieses E-Mail Passwort muss ebenfalls zu den wenigen besonders bedeutsamen Passwörtern gehören und gemerkt werden. Hintergrund ist, dass bei Offenlegung des Inhaltes des Passwort-Managers die Angreifer den berechtigten Benutzer aussperren werden, wenn die kompromittierten Kennungen für weiteren Missbrauch verwendet werden. | ||
+ | * Ein möglicher Passwortmanager ist das Produkt KeePass [[http:// | ||
+ | * Das Produkt zeichnet sich nicht nur dadurch aus, dass es kostenfrei verfügbar ist und u.a. durch eine große Anzahl an Portierungen für unterschiedliche Plattformen aus, wobei allerdings eine belastbare Bewertung von Qualität und Sicherheit des Originals und seiner Portierungen nicht möglich ist. | ||
+ | * Produkte, die cloud-basiert Passwörter managen, sind aufgrund der Speicher- und Datenschutzproblematik trotz der scheinbar einfachen Verwendung definitiv nicht zu empfehlen. Hierzu gehört auch die Option „XXXXX“ bei deren Verwendung alle Zugangsdaten bei Google und damit im Zugriff von Google und Geheimdiensten sind. | ||
+ | Wenn es doch eine „Cloud-Lösung“ sein muss, dann ist der Cloud-Storage der TU Clausthal ganz sicher die bessere Lösung (z.B. um dies mit keepass zu kombinieren). | ||
+ | |||
+ | ====== Passwörter im Browser ====== | ||
+ | |||
+ | In fast allen Web-Browsern (Firefox, Internet-Explorer, | ||
+ | |||
+ | Die meisten Browser (Firefox, Chrome, IE, Opera) bieten entweder von Haus aus oder über ein in wenigen Augenblicken lokal installierbares Add-On die Möglichkeit an, gespeicherte Formulardaten in Passwort-Feldern innerhalb weniger Sekunden ohne besondere Vorkenntnisse auszulesen. | ||
+ | |||
+ | Es wird empfohlen, Funktionen zum automatischen Speichern von Formulardaten nur selektiv und das Speichern von Eingaben in Passwort-Feldern nicht zu benutzen. |