Sichere Passwörter und was Sie darüber wissen müssen

#
Informationssicherheit

[Geschrieben: 03. Mai 2023. Überarbeitet: 25. April 2024]

Mit einem sicheren Passwort leisten Sie und Ihre Mitarbeitenden einen wichtigen Beitrag zur Sicherheit Ihres Unternehmens. Sie schützen sich damit vor Angriffen, die auf schwache Passwörter abzielen. Es ist wichtig, dass Sie stets eindeutige und komplexe Passwörter für jedes Benutzerkonto verwenden und diese regelmässig aktualisieren, um Ihre Sicherheit zu erhöhen. Wenn Sie und Ihre Mitarbeitenden dies nicht tun, gehen Sie ein hohes Risiko ein.

Der Welt-Passwort-Tag wird am ersten Donnerstag im Mai jeden Jahres gefeiert. Es ist ein jährlicher Anlass, um das Bewusstsein für die Bedeutung von sicheren Passwörtern und den Schutz unserer Benutzerkonten zu erhöhen. Am 2. Mai 2024, ist es wieder soweit. Nutzen wir also diesen Tag, um euch alles Wissenswerte und Wichtige über Passwörter zu erzählen.

Einführung in die Welt der sicheren Passwörter

Ein sicheres Passwort ist unerlässlich, um Ihre Sicherheit, den Datenschutz und die Einhaltung von Vorschriften zu gewährleisten. Es schützt Sie vor verschiedenen Arten von Angriffen, die auf schwache Passwörter abzielen. Es ist wichtig, dass Sie stets eindeutige und komplexe Passwörter für jedes Benutzerkonto verwenden und diese regelmässig aktualisieren, um Ihre Sicherheit zu erhöhen.

Ein paar interessante Fakten über Passwörter:

  1. Nach wie vor sind die Passwörter «123456» und «password» an der Spitze der meist verwendeten und schwächsten Passwörter. Auch die Namen von fiktiven Figuren wie Superman oder Batman, der eigene Name oder sogar Schimpfwörter sind alles andere als starke Passwörter.
  2. Für die meisten dieser unsicheren Passwörter benötigen Hacker einen Bruchteil von wenigen Sekunden, um diese herauszufinden.
  3. Weltweit verwendet ein Drittel aller Menschen ein und dasselbe Passwort für etwa fünf bis zehn Benutzerkonten. Zu dem verwendet etwa die Hälfte davon dieselben Passwörter für private und berufliche Konten.

Diese drei Fakten zeigen uns, wieso es wichtig ist, dass wir «sichere» Passwörter verwenden. Doch was sind sichere Passwörter? Und welche Hilfsmittel gibt es, um sich diese einfach zu merken? Lesen Sie mehr darüber in diesem Blogbeitrag.

Die Risiken von unsicheren Passwörtern

Die Risiken von unsicheren Passwörtern können fatal sein.

  • Datendiebstahl: Wenn ein Angreifer Ihr Passwort knackt, kann er Zugriff auf das betreffende Benutzerkonto erlangen und persönliche Informationen stehlen, Daten manipulieren oder das Konto missbrauchen.
  • Identitätsdiebstahl: Angreifer können mit gestohlenen oder geknackten Passwörtern auf persönliche Informationen zugreifen und Identitätsdiebstahl begehen. Die Angreifer geben vor, Sie zu sein, und greifen auf Ihre Benutzerkonten oder Daten zu.
  • Datenlecks: Wenn Sie ein Passwort für mehrere Benutzerkonten verwenden und eines dieser Benutzerkonten gehackt wird, erhalten Angreifer Zugriff auf alle anderen Konten mit demselben Passwort! Dies kann zu umfangreichen Datenlecks führen, bei denen persönliche Informationen oder sensible Daten in die falschen Hände geraten.
  • Verlust von Vertraulichkeit und Privatsphäre: Unsichere Passwörter können private Informationen oder Kommunikationen in E-Mail-Konten, sozialen Medien oder anderen Online-Diensten kompromittieren, was zu einem Verlust an Vertraulichkeit und Privatsphäre führen kann.
  • Finanzielle Verluste: Wird ein Bankkonto oder ein Online-Zahlungsdienst gehackt, können Angreifer Geld stehlen oder unbefugte Überweisungen vornehmen. Der finanzielle Schaden kann beträchtlich sein.

Sichere Passwörter und PINs sind somit von zentraler Bedeutung bei der Authentifizierung, also dem Schutzmechanismus, um Informationen vor unberechtigtem Zugriff zu schützen. Denn Passwörter können, wenn sie nicht nach bestimmten Regeln aufgebaut sind, mit speziellen Werkzeugen einfach herausgefunden werden. Wenn Passwörter nicht sicher verwahrt oder sogar weitergegeben werden, verlieren sie ihre Schutzwirkung.

Wie sieht ein sicheres Passwort aus?

Es gibt eine Reihe an Merkmalen, an denen Sie ein sicheres Passwort erkennen. Achten Sie bei der Erstellung eines neuen Passworts immer darauf, dass Sie diese Regeln einhalten.

Ein sicheres Passwort ...

  • steht nicht mit Ihnen persönlich im Zusammenhang (z. B. Geburtsdatum, Namen, Kfz-Kennzeichen) oder Ihrem Login-Namen.
  • ist mindestens 12 Zeichen lang und enthält vorzugsweise Zahlen, Grossbuchstaben, Kleinbuchstaben sowie Sonderzeichen. Jelänger, desto besser.
  • ist nicht trivial, das heisst, es enthält nicht mehr als zwei gleiche aufeinanderfolgende Zeichen oder einfache Zahlenfolgen (z. B. AAA, 888, abcd, QWERT, 9876 etc.).
  • ist nicht in einem Wörterbuch zu finden, ausser es ist eine Aneinanderreihung von mindestens 4 unterschiedlichen Wörtern. Verwenden Sie zudem erfundene Wörter, um den Schutzweiter zu erhöhen.
  • ist nicht identisch mit einem anderen Passwort, speziell welches für private Zwecke oder fürs Internet genutzt wird. Grundsätzlich gilt, für jede Anwendung sollte ein eigenes Passwort gewählt werden.
  • ist nicht vom System generiert worden. Voreingestellte Passwörter müssen vor der ersten Verwendung des Systems durch individuelle, sicher gewählte Passwörter ersetzt werden.

Eine sichere PIN ...

  • besteht aus mindestens 6 Zahlen, sofern dies technisch möglich ist. Achtung bei PIN für Bank- und Kreditkarten. Je nach Land und Automat können nur 4 Zeichen für die PIN eingegeben werden. Hat man eine 6-stellige PIN, kann man kein Geld abheben oder bezahlen.

Seien Sie zudem vorsichtig mit der Verwendung von ...

  • Entsperrmustern: Dieser sogenannte «Wischcode» ist nur vermeintlich sicher. Bei entsprechendem Lichteinfall wird das eingegebene Muster durch mögliche Fettspuren von den Fingern sichtbar. Verwenden Sie deshalb keine Entsperrmuster.
  • Biometrischen Verfahren: Auch hier gibt es Schwachstellen, da Angreifer ständig nach Möglichkeiten suchen, die biometrische Abwehr zu überwinden. Biometrische Daten, wie Fingerabdrücke oder Gesichtsmerkmale, können gestohlen werden. Wenn biometrische Daten einmal kompromittiert sind, können sie nur schwer geändert oder widerrufen werden. Ein sicheres Passwort hat hier einen grossen Vorteil, da der Benutzer bei gestohlenen Passwörtern sein Passwort einfach ändern kann. Bei gestohlenen biometrischen Daten ist dies jedoch nicht so einfach möglich. Ausserdem unterliegen biometrische Daten dem Datenschutzgesetz. Es besteht die Gefahr, dass biometrische Daten unrechtmässig erhoben, gespeichert oder verwendet werden, was zu einer Verletzung der Privatsphäre führen kann.

Trotz dieser Risiken tragen biometrische Verfahren zur Verbesserung der Sicherheit bei, wenn sie mit anderen Sicherheitsmassnahmen kombiniert werden, wie beispielsweise der Verwendung von sicheren Passwörtern und der Anwendung von Multi-Faktor-Authentifizierung (MFA).

Wie Sie sich Ihre komplexen Passwörter gut merken können

Sie vergessen immer wieder Ihre Passwörter? Kein Problem. Mit diesen einfachen Tricks schaffen Sie es, sich die schwierigsten Passwörter zu merken. In der Regel brauchen Sie mindestens zwei starke Passwörter. Diese benötigen Sie für Ihren Passwort-Manager und für die Anmeldung am Windows-System. Jedoch ist es für uns alle schwierig, sich komplizierte Passwörter zu merken. Daher haben wir zwei Tipps für Sie zusammengestellt, wie Sie Passwörter bilden und sich einfach merken können:

Akronyme

Bilden Sie ein Passwort aus einem Satz, indem Sie von jedem Wort den ersten Buchstaben verwenden:

Beispiel: «Von meinem Wohnzimmer zu Hause kann ich 2 hohe Berge sehen!»
Passwort:
VmWzki2hBs!

Mehrfachwörter

Kombinieren Sie mindestens vier zufällige Wörter miteinander und ersetzen Sie einzelne Buchstaben eines Wortes durch ähnlich aussehende Zahlen bzw. Zeichen. Achtung: Ein oder zwei Wörter sind nicht sicher genug, weil Hacker diesen Trick kennen. Wählen Sie neben realenWörtern auch 1-2 erfundene Wörter, um die Sicherheit zusätzlich zu erhöhen.

Beispiel: Falsch Haifisch Akku Blau
Passwort:
FalschHaifischAkkuBlau oder Fal$chHa!fischAkk0B1au

Passwort-Management leicht gemacht

Für die Verwaltung von Passwörtern verwenden Sie vorzugsweise einen digitalen Passwort-Manager. Bestenfalls erstellen Sie ein neues Passwort immer mithilfe Ihres Passwort-Managers.

Ein Passwort-Manager hilft Ihnen dabei:

  • sichere Passwörter zu erstellen und
  • Passwörter nicht zu vergessen, indem sie sicher abgelegt werden.

Verwenden Sie dieses wichtige Hilfsmittel! Es vereinfacht Ihren Arbeitsalltag und erhöht Ihre Sicherheit bedeutend.

Wichtig: Ihr Passwort-Manager muss mit einem sicheren Passwort geschützt sein, das Sie sich merken können!

Multi-Faktor-Authentifizierung: Eine zusätzliche Sicherheitsebene für Ihre Passwörter

Einige Internetseiten unterstützen eine Multi-Faktor-Authentifizierung (MFA). Bei einer Multi-Faktor-Authentifizierung wird eine mehrstufige Überprüfung des Nutzers durchgeführt. Aktivieren Sie diese, wenn immer möglich, um die Sicherheit zu erhöhen. Dafür müssen Sie Ihre Mobiltelefonnummer oder eine E-Mail-Adresse beim Dienstleister hinterlegen. Konkret heisst das, dass Sie nach der Passwortabfrage einen Bestätigungscode erhalten. Meistens ist das ein numerischer Code, den Sie per E-Mail, SMS oder App zugestellt bekommen.

Der Dienstleister sendet Ihnen dann jedes Mal, wenn Sie sich einloggen wollen, einen numerischen Code, den Sie zusätzlich zu Ihrem Passwort noch eingeben müssen. Somit können Dritte, auch wenn sie das Passwort kennen, sich nicht anmelden.

Doch Vorsicht ist geboten; eine MFA schützt Sie heutzutage nicht zu 100 %! Es gibt einige potenzielle Gefahren oder Herausforderungen:

  • Prompt Bombing: Ein mögliches Risiko ist z. B. «Prompt Bombing». Dabei handelt es sich um eine Methode des Phishings. Zunächst beschafft sich der Angreifer die Zugangsdaten seines Opfers. Mit diesen meldet sich der Angreifer immer und immer wieder auf einer Internetseite an, die MFA unterstützt. Wenn das Opfer eine MFA verwendet, erhält es auf diese Weise immer wieder Anmeldeaufforderungen. Irgendwann ist das Opfer so gestresst, dass es unvorsichtigerweise den zusätzlichen Faktor bestätigt und der Angreifer so Zugriff auf alle Informationen erhält.
  • Abhängigkeit vom zusätzlichen Faktor: Wie bereits beschrieben, wird bei der MFA ein zusätzlicher Faktor verwendet, z. B. das Smartphone. Wenn dieses verloren geht, gestohlen oder beschädigt wird, können Sie nicht mehr auf Ihr Benutzerkonto zugreifen. Es kann auch aufgrund von Softwarefehlern, Batterieproblemen oder Netzwerkausfällen nicht verfügbar sein.
  • Social Engineering-Angriffe: Angreifer wollen den Benutzer dazu bringen, den zusätzlichen Faktor preiszugeben, z. B. durch Phishing oder Social Engineering. Benutzer sollten vorsichtig sein und niemals den zusätzlichen Faktor an unbekannte Personen oder Internetseiten weitergeben.
  • Komplexität und Benutzerfreundlichkeit: Die Verwendung von MFA kann umständlich sein und zusätzlichen Aufwand erfordern, insbesondere wenn mehrere Konten mit unterschiedlichen MFA-Methoden verwendet werden. Dies kann für den Benutzer die Benutzerfreundlichkeit beeinträchtigen und sie dazu veranlassen, den Aufwand minimieren zu wollen. Dadurch greifen sie auf unsichere Gewohnheiten zurück, wie z. B. die Verwendung von schwachen Passwörtern oder das Wiederverwenden von MFA-Codes.

Trotz dieser potenziellen Gefahren ist die Verwendung von MFA in der Regel eine sinnvolle Sicherheitsmassnahme, um die Sicherheit zu verbessern und das Risiko vor unbefugtem Zugriff zu minimieren.

Passkey als neue Authentifizierungsmethode

Passkey ist eine neue Authentifizierungsmethode, die darauf abzielt, Passwörter durch eine sicherere und benutzerfreundlichere Lösung zu ersetzen. Dabei handelt es sich um eine Art digitaler Schlüssel, der auf dem Gerät des Benutzers gespeichert wird und die Verwendung biometrischer Daten oder eines Sicherheitscodes zur Bestätigung der Identität ermöglicht.

Passkeys verwenden die so genannte Public-Key-Kryptografie. Bei der Registrierung auf einer Website oder in einer App erzeugt das Gerät des Benutzers ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel bleibt sicher auf dem Gerät gespeichert, während der öffentliche Schlüssel an den Server übertragen wird. Zur Authentifizierung muss der Nutzer sein Gerät entsperren (z.B. per Fingerabdruck, Gesichtserkennung oder PIN-Code), woraufhin das Gerät mit dem privaten Schlüssel eine digitale Signatur erzeugt, die vom Server verifiziert wird.

Durch den Verzicht auf herkömmliche Passwörter sollen Passkeys das Risiko von Phishing-Angriffen und Datenlecks verringern und gleichzeitig eine einfachere und schnellere Anmeldung ermöglichen.

Der sichere Umgang mit Passwörtern

Sie wissen nun, wie Sie sichere Passwörter erstellen. Doch damit ist es nicht getan! Denn was nützt Ihnen ein sicheres Passwort, wenn damit nicht sicher umgegangen wird? Hier drei wichtige Regeln:

  1. Schreiben Sie ein Passwort nicht auf – ausser Sie bewahren es sicher auf: im Passwort-Manager oder schriftlich in einem verschlossenen Umschlag an einem verschliessbaren Ort (z. B. Tresor oder verschlossenes Büromöbel).
  2. Geben Sie Ihr Passwort und den Benutzernamen niemals weiter. Diese Informationen werden auch niemals von internen Stellen (z. B.IT Service Desk), Ihrer Bank oder von Telekommunikationsanbietern benötigt. Achten Sie darauf, wem Sie Zugriff auf Ihre Konten gewähren, und verwenden Sie Funktionen wie «Kontenverknüpfungen» oder «delegierter Zugriff» mit Vorsicht.
  3. Wählen Sie für jede Anwendung ein eigenes Passwort, da sonst alle Informationen sofort preisgegeben werden, wenn Ihr Passwort herausgefunden wird.

Passwörter und Phishing – was haben diese beiden Dinge miteinander zu tun?

Passwörter und Phishing haben viele Gemeinsamkeiten. Phishing-Angriffe zielen häufig darauf ab, Passwörter von ahnungslosen Benutzern zu ergaunern. Mit dieser betrügerischen Methode versuchen Angreifer, an sensible Informationen wie Benutzernamen, Passwörter und persönliche Daten zu gelangen, indem sie sich als vertrauenswürdige Organisationen oder Personen ausgeben.

Hier sind einige wichtige Punkte, die Sie beachten sollten, um Phishing-Angriffen vorzubeugen und den Schutz Ihrer Passwörter zu gewährleisten:

  • Seien Sie vorsichtig bei verdächtigen E-Mails: Phishing-E-Mails enthalten in der Regel gefälschte Links, gefälschte Logos oder Täuschungen. Die Angreifer wollen Sie dazu bringen, auf einen Link zu klicken und Ihre Passwörter einzugeben. Seien Sie daher bei E-Mails vorsichtig, die Sie zur Eingabe von Passwörtern oder persönlichen Daten auffordern, insbesondere wenn sie unerwartet oder verdächtig erscheinen. Überprüfen Sie immer sorgfältig die Absenderadresse, den Inhalt der E-Mail und die darin enthaltenen Links, bevor Sie darauf klicken oder persönliche Informationen preisgeben.
  • Benutzen Sie sichere Internetseiten: Geben Sie Ihre Passwörter nur auf sicheren Internetseiten ein, die mit «https://» beginnen und ein geschlossenes Vorhängeschloss in der Adressleiste anzeigen. Überprüfen Sie immer sorgfältig die URL der Internetseite. So können Sie sicher sein, dass sie korrekt und legitim ist. Geben Sie niemals Passwörter auf verdächtigen Internetseiten ein und klicken Sie nicht auf Links in verdächtigen E-Mails, die Sie auf unbekannte Internetseiten weiterleiten.
  • Schulen und sensibilisieren Sie Ihre Mitarbeitenden: Informieren Sie sich und Ihre Mitarbeitenden über Phishing-Angriffe. Erklären Sie Ihren Mitarbeitenden, wie sie verdächtige E-Mails, Links oder Internetseiten erkennen können. Sensibilisierung und Wachsamkeit sind entscheidend, um Phishing-Angriffe zu verhindern. Dabei ist es wichtig zu wissen, dass es mit einer einmaligen Schulung nicht getan ist. Ihre Mitarbeitenden müssen regelmässig sensibilisiert werden.
  • Melden Sie verdächtige Aktivitäten: Wenn Sie vermuten, Opfer eines Phishing-Angriffs geworden zu sein, melden Sie dies umgehend dem betroffenen Unternehmen oder der Organisation. Je schneller Sie reagieren, desto schneller können Massnahmen ergriffen werden, um den möglichen Schaden zu minimieren.

Fazit: Sichere Passwörter sind heutzutage unverzichtbar. Es gibt einige Hilfsmittel und Tricks, die Ihnen helfen, sichere Passwörter zu erstellen und sich diese zu merken. Dennoch gibt es einige Regeln im Umgang mit Passwörtern, die Sie unbedingt beachten sollten. Nutzen Sie moderne Hilfsmittel wie Passwort-Manager, MFA oder Passkey. Auch wenn diese nicht zu 100 % sicher sind, sind Sie damit immer noch sicherer, als wenn Sie darauf verzichten.

Quellen:

Newsletter

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.
Suchen

Verwandte Artikel

#
Cybersicherheit
#
Informationssicherheit

5 Tipps zum Thema Cybersicherheit

#
Informationssicherheit
#
Awareness Strategie
#
Awareness Messung

Wie man eine Cybersicherheitskultur managen kann

#
Cybersicherheit
#
Informationssicherheit
#
Trends aus Praxis und Forschung

Allianz Risk Barometer Report 2024: Cybervorfälle als grösstes Risiko

#
Cybersicherheit
#
Informationssicherheit
#
Trends aus Praxis und Forschung

Neue NIS2-Richtlinie für erhöhten Schutz in der Cyber-Sicherheit

Formular, E-Mail, Telefon

Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.

Kostenlose Online-Beratung

Wenn Sie lieber einen bestimmten Termin buchen möchten, können Sie dies tun, indem Sie auf die blaue Schaltfläche unten klicken. Das Online-Buchungssystem öffnet sich in einem neuen Fenster und Sie können Ihren kostenlosen Beratungstermin vereinbaren.