Kennen Sie das auch?
Schon wieder kommt diese nervige Aufforderung, das Passwort zu ändern. Alle drei Monate ist das zumeist nötig und man muss sich wieder ein neues Kennwort merken. Da hilft am besten die bewährte Variation, bzw. das Weiterzählen: Wenn das alte Passwort „Personal18“ gelautet hat, so lautet das Neue: „Personal19“. Schnell erledigt und die Arbeit kann weitergehen.
Schnell erledigt, aber auch schnell gehackt. Studien zeigen, dass Menschen dazu neigen, einfache Passwörter zu nutzen oder alte wieder zu verwenden, wenn sie diese öfter ändern müssen. Cyberkriminelle wissen das auch und setzen auf die Dictionary Attack: Bei diesem sogenannten Wörterbuchangriff werden einfache Passwörter, die aus realen Worten bestehen – und das ist eben oft der Fall – durchprobiert. Wörterbuchangriffe funktionieren bei schwachen Passwörtern. Verwenden Nutzerinnen und Nutzer jedoch starke Passwörter, die aus Zahlen, Buchstaben und Sonderzeichen bestehen, sind sie weitaus besser geschützt.
Neue Empfehlungen der Sicherheits-Spezialisten
Internationale Sicherheitsgremien und Behörden beschäftigen sich laufend mit der Abwehr von Cybercrime, wie auch die NIST (National Institute of Standards and Technology), die regelmäßig Empfehlungen und Richtlinien zur Passwortsicherheit veröffentlicht. Ähnlich einem Katz-und-Mausspiel reagieren Security-Spezialisten auf Taktiken der Hacker und versuchen gleichzeitig, mit ihren Empfehlungen den Angriffen voraus zu sein. So folgten viele Unternehmen der bisher empfohlenen Vorgabe, dass Passwörter alle 90 Tage ablaufen und daher geändert werden müssen.
Das hat sich nun geändert. Laut aktueller Empfehlung der NIST sollen Passwörter unverändert bleiben, allerdings unter folgender Voraussetzung: Diese Kennwörter müssen bestimmte Sicherheitsmerkmale haben. Hintergrund für diese geänderte Empfehlung ist die Tatsache, dass viele Menschen, die häufig ihr Passwort ändern müssen, ein einfaches, schwaches Passwort wählen oder auch ein altes wiederverwenden, damit sie es sich merken. Oft nutzen sie auch auf verschiedenen Plattformen dasselbe Kennwort.
Passwort-Richtlinien in Sage DPW Cloud umgesetzt
Das Team von Sage beobachtet regelmäßig die Empfehlungen der NIST und setzt die aktuellen Erkenntnisse in DPW Cloud um. Unternehmen, die DPW Cloud nützen, haben daher die Möglichkeit, für die Sicherheit ihrer sensiblen Personaldaten nach aktuellem Stand zu sorgen: Sie können ab sofort auf das neue Passwortsystem umsteigen – was aus Sicherheitsgründen empfehlenswert ist. Wer das nicht möchte, kann das alte System behalten. Übrigens verwenden die Mitarbeitenden bei Sage intern bereits Passwörter, die den neuen Empfehlungen entsprechen.
Was ist ein starkes Passwort
Passwörter müssen bestimmte Anforderungen erfüllen, um sicher zu sein und um in der Folge unverändert bleiben zu können. Dazu zählen Kriterien, wie:
- Sie müssen eine Mindestanzahl von Zeichen enthalten, eine Mischung von Groß- und Kleinschreibung sein, Sonderzeichen und Zahlen enthalten.
- Sie dürfen in keiner Passwort-Blacklist vorkommen. Solche schwarzen Listen werden von Security Teams erstellt und enthalten Passwörter, von denen bekannt ist, dass sie von Angreifern leicht zu knacken sind.
- Leicht zu erratende Passwörter können u.a. Vor- oder Nachname oder Teile des Geburtsdatums enthalten – solche Informationen dürfen daher nicht Bestandteil eines starken Passworts sein.
Hier ein Beispiel für ein starkes Passwort:
- Lassen Sie sich drei zufällige Wörter einfallen (nichts, was mit Ihnen in Verbindung steht), z.B. Nilpferd, Rakete, Pizza.
- Schreiben Sie ein Wort groß.
- Fügen Sie eine Nummer hinzu.
- Verwende Sie ein Sonderzeichen in der Mitte (?!%*).
- Verwenden Sie mindestens 14 Zeichen.
- So entsteht z.B.: Nilpferd!RaketePizz?a100
Die aktuell geltenden Kriterien für Passwörter können Sie im Wartungsbrief nachlesen oder Sie sehen diese in Sage DPW. Zusätzlich wird die Sicherheit verstärkt, indem Sage DPW Cloud die Eingabeversuche einschränkt, sodass Hacker nicht automatisiert unzählige Varianten abfragen können.
Vorteile der starken, unveränderten Passwörter
Cyberangriffe nehmen zu und dabei spielt das Ausspionieren von Zugangsdaten eine entscheidende Rolle. Um dagegen möglichst gut gewappnet zu sein, braucht es die Unterstützung von Security-Spezialisten. Daher setzt Sage jeweils deren aktuelle Empfehlungen und Richtlinien um. Während bis vor kurzem die Empfehlung galt, dass Passwörter ablaufen müssen, hat sich dies nach jetzigen Erkenntnissen geändert. Wenn Sie auf starke Passwörter umsteigen, ergeben sich folgende Vorteile:
- Die sensiblen Personaldaten Ihres Unternehmens sind nach neuesten Empfehlungen der Passwortsicherheit geschützt.
- Der Alltag von Mitarbeiterinnen und Mitarbeiter wird erleichtert, weil sie ihre Passwörter nicht mehr nach einer bestimmten Periode (in der Regel 90 Tage) ändern müssen.
Abschließend scheinbar banale, jedoch wichtige Tipps
Auch mit dem neuen System bleibt der Faktor Mensch eine potenzielle Schwachstelle, die Hacker gerne ausnützen. Sensibilisieren Sie daher Ihre Belegschaft regelmäßig für das wichtige Thema Datensicherheit (Stichwort: Awareness). So hilft beispielsweise auch das komplexeste Passwort nichts, wenn es für andere sichtbar ist. Bekannt sind Fälle, wo das Passwort auf einem Post-It steht und dieses am Bildschirm klebt. Oder wenn das Kennwort auf der Pinwand hinter dem Arbeitsplatz notiert ist, sodass es jeder Vorbeikommende lesen kann, bzw. auch die Teilnehmenden an einer Videokonferenz es lesen können. Immer wieder versenden Beschäftigte ihre Passwörter auch per Mail. Passwörter dürfen nicht offen einsehbar sein, sonst sind das gleichsam Einladungen für Hacker.
Wichtig ist daher, sowohl den empfohlenen Sicherheitsstrategien zu folgen, als auch die Mitarbeiterinnen und Mitarbeiter über Datensicherheit zu informieren.