Tipps zum Kennwort

Für die zentral verwalteten Kennwörter gibt es eine eigene Policy, hier gibt es aber einige Tipps, auch zur Verwendung von Kennwörtern in externen Services.

Mehrfachnutzung (Passwort-Hygiene)

Es ist bekannt, dass User gerne auf verschiedenen Systemen gleiche Zugangsdaten verwenden, da sie sich dann nur 1 Kombination aus Username und Kennwort merken müssen („Password Recycling“ oder auch „Password Reuse“ genannt).

Davon ist dringend abzuraten bzw. ist es untersagt, das mit den TU Graz-Zugangsdaten zu machen, da wir nicht wissen, wie sicher andere Systeme (auch der TU Graz) sind!
Bei geleakten Kennwörtern kommt es auch sehr häufig zu sog. „Credential Stuffing Attacks“, bei denen automatisiert versucht wird mit diesen Kennwörtern in andere Accounts der betroffenen Personen einzudringen.
Lesen Sie dazu z. B. die Artikel „Gefahr durch Identitätsdiebstahl“ und „Passwörter wiederzuverwenden ist sehr gefährlich“.

Wenn Sie (viele) Kennwörter (nicht nur im Browser) speichern wollen: Verwenden Sie doch unseren Datentresor, der auch das sichere Teilen von Informationen erlaubt!

Wenn Sie überprüfen wollen, ob Ihr Kennwort bereits in Kennwort-Datenbanken aufscheint, dann gibt es dafür ein vertrauenswürdiges Service.

top

Tipps für ein sicheres Kennwort

Um ein einzelnes sicheres Kennwort zu erzeugen, kann man z. B. einen Kinderreim nehmen, davon nur die Anfangsbuchstaben verwenden und das Ergebnis mit Sonderzeichen und Zahlen garnieren, beispielsweise wird aus dem bekannten „Hänschen klein ging allein in die weite Welt hinein.“ dann Hk1ga1idwWh1. (Acronymisierungsmethode).
Eine andere Variante, die man sich leicht merkt, sind gereimte Kennwörter, Beispiel: K1-Bier-vor4!

Um sich viele Kennwörter merken zu können, empfiehlt es sich z. B. nach einem bestimmten Schema vorzugehen, das zufällig aussieht, es aber nicht ist, so könnte man einen Teil des Kennwortes fix wählen und einen Teil aus der Seite nehmen, auf der man sich anmelden möchte - Beispiel: 2. und vorletzter Buchstabe des Systems kombiniert mit fixen und variablen Elementen:

Amazon: „das ist mein neues Kennwort für Amazon 2013“ ergibt somit „dimnKfmo13“ und mit etwas l33t-Speakd!mnKfmol3“.
Leet-Speak alleine macht Kennwörter nicht sicherer, das wird von vielen Angriffstools inzwischen berücksichtigt!

Analog würde sich für Google das Kennwort „d!mnKfoll3“ ergeben.

Selbst ein vergessenes Kennwort läßt sich wieder rekonstruieren, wenn man sich an das verwendete Schema erinnert!

In c't 03/2013 wird eine andere Methode vorgeschlagen, wie man sich ein neues, wirklich zufällig (z. B. mit einem Kennwort-Generator) erstelltes Kennwort schnell merkt:
Setzen Sie dieses Kennwort für Ihren Bildschirmschoner, setzen Sie das Timeout der Bildschirmsperre auf 1 Minute und Sie müssen das neue Kennwort so oft eingeben, dass Sie es nach 2, 3 Tagen blind tippen können.
Dieses Kennwort sollten Sie dann als Master-Kennwort im Browser oder in Ihrem Kennwortsafe (bzw. unserem Datentresor) verwenden oder an andere Dienste anpassen, Beispiel (aus c't Security): das Master-Kennwort: „:xT9/qwB“ wird mit dem Dienst-Kennwortteil „3ae“ für eBay (Länge-1, 3. und 1. Buchstabe) zu „:3xT9/qawBe“ und mit dem Dienst-Kennwortteil „7nL“ für LinkedIn ergibt sich „:7xT9/qnwBL“.

top

Tipps zum Kennwort-Reset

Bei vielen Anbieter gibt es die Möglichkeit für das Zurücksetzen des Kennworts eine (voreingestellte) Frage zu beantworten.

Da die echten Antworten oft durch social engineering leicht herauszufinden sind, sollten Sie bei diesen Antworten lügen, Sie müssen sich nur merken, wie Sie gelogen haben - z. B. könnten Sie die Frage nach dem Mädchennamen Ihrer Mutter mit einer weiblichen Figur aus Ihrem Lieblingsroman beantworten, oder aus einem Film etc. - Beispiel: Der Mädchenname von Marjorie Jacqueline „Marge“ Simpson lautet Bouvier.

top

2-Faktor-Authentisierung

Besser als ein sicheres Passwort ist die Verwendung einer 2FA zumindest für Ihre Webmail-Zugänge. Viele Anbieter (Google, Microsoft, web.de, …) bieten inzwischen die Anmeldung mit einem 2. Faktor an.
Die sicherste Methode ist die Verwendung eines Hardware-Tokens nach dem FIDO2-Standard, die schwächste Variante sind SMS-TANs, dazwischen gibt es noch Soft-Token (Smartphone-Apps) wie z. B. Google Authenticator.
Beim Einsatz von 2-Faktor-Lösungen müssen Sie aber darauf achten, dass Sie sich nicht selbst aussperren, wenn sich Ihre Telefon-Nummer ändert (SMS-TANs) bzw. wenn Sie auf das Software-Token am Smartphone oder das Hardware-Token nicht mehr zugreifen können, weil das Smartphone oder das Hardware-Token defekt ist oder gestohlen wurde.
Bei Software-Token empfiehlt es sich, es z. B. noch auf einem 2. Gerät zu installieren, alternativ sollte man sich entweder den QR-Code bzw. das Geheimnis, über das die Zufallszahlen generiert werden, auszudrucken, damit ein neues Gerät wieder gleich initialisiert werden kann, einige Lösungen bieten auch Backups an, was aber die Sicherheit reduziert, denn wenn jemand Zugriff auf dieses Backup erhält, dann ist der 2. Faktor geknackt.

2-Faktor-Authentisierung an der TU Graz.

top