Video Screencast Help
Website Security Solutions

Unsichere Kennwörter sind kein Kavaliersdelikt

Created: 27 Feb 2013 • Translations available: English, Français, Español
Jimmy Edge's picture
0 0 Votes
Login to vote

Wissen Sie, wie viele Website-Kennwörter Ihre Kollegen im Durchschnitt haben? Sie werden es kaum glauben: 25. Beeindruckend, nicht wahr? Weniger beeindruckend ist, dass sich die meisten Internetnutzer mit nur 6,5 Kennwörtern schützen, die sie jeweils auf 3,9 Websites einsetzen. Die Zahlen stammen aus der wegweisenden Untersuchung A Large Scale Study of Web Password Habits (https://research.microsoft.com/pubs/74164/www2007.pdf). Die Beschränkung auf wenige Kennwörter ist praktisch, aber alles andere als sicher. Und überlegen Sie einmal, welche Folgen es für Ihr Geschäft haben kann, wenn Mitarbeiter diese laxe Einstellung in puncto Sicherheit auch bei Kennwörtern im Büro walten lassen.

Sie sollten also darauf achten, dass sie für jedes Konto ein eigenes Kennwort verwenden – ausnahmslos. Nur so können Sie den gefürchteten Dominoeffekt vermeiden, dass also mit den auf einer gehackten Website erfassten Zugangsdaten weitere Websites gehackt werden können. Wir alle wissen, dass dies nur zu oft geschieht.

 

Haben Sie damit genug getan? Nein. Ein eigenes Kennwort für jedes Konto schützt Sie nur oberflächlich. Ein entschlossener Hacker knackt früher oder später jedes nicht extrem ausgeklügelte Kennwort. Wie macht er das? Hacker arbeiten mit Listen bekannter Kennwörter, mit Wörterbüchern, personenbezogenen Informationen und ähnlichen Methoden.

Damit Ihre Kennwörter – und die Ihrer Mitarbeiter, falls Sie in leitender Position tätig sind – nicht leicht geknackt werden können, sollten sie aus einer zufälligen Folge von Groß- und Kleinbuchstaben, Ziffern, Satz- und Sonderzeichen bestehen (so zwingen Sie den Hacker zu einem Brute-Force-Angriff) und möglichst lang sein, weil die Zahl der möglichen Permutationen mit jedem Zeichen um ein Vielfaches steigt. Absolute Sicherheit gibt es natürlich nicht; mit Zeit und Geld kann alles geknackt werden. Sie können Ihre Kennwörter jedoch so sicher machen, dass sich der Aufwand für den Hacker nicht mehr lohnt. So enthält zum Beispiel ein 25-stelliges Kennwort mit Groß- und Kleinbuchstaben, Ziffern, Satz- und Sonderzeichen so viele Permutationen, dass selbst ein Supercomputer, der in einem Brute-Force-Angriff pro Sekunde mehrere Millionen Kombinationen ausprobiert, zum Durchlaufen aller Permutationen mehrere Millionen Jahre braucht. Solche Kennwörter sind das A und O solider Netzwerksicherheit.

Eine weitere beliebte, aber gefährliche Verhaltensweise, die Sie in Ihrem Unternehmen unterbinden sollten, ist das Aufschreiben der Kennwörter. Häufig werden komplexe Kennwörter in Arbeitsblätter oder Telefonnotizen geschrieben, per E-Mail verschickt oder im Browser gespeichert. Das alles ist zwar sehr praktisch, aber unweigerlich unsicher.

Die Frage ist also: Wie können Sie und Ihre Mitarbeiter mit wenig Aufwand für jede Website ein eigenes sicheres Kennwort erfinden und sich merken? Die herkömmlichen intern installierten Lösungen mit Zwei-Faktor-Authentifizierung (2FA) sind für die lückenlose unternehmensweite Implementierung meist zu teuer. Für die Anschaffung, Implementierung und Verwaltung einer 2FA-Lösung im eigenen Haus fallen so beträchtliche Kosten an, dass sich viele Unternehmen darauf beschränken, nur einzelne Bereiche zu schützen. Zum Glück gibt es jedoch noch eine Möglichkeit, die weder Ihr Budget noch Ihr Gedächtnis übermäßig strapaziert.

Der cloudgestützte Symantec Validation and ID Protection Service schützt vertrauliche Netzwerke, Anwendungen und Daten mit einer Zwei-Faktor-Authentifizierung vor unbefugtem Zugriff, wobei er verschiedene 2FA-Identitätsnachweise unterstützt – von Sicherheitshardware-Tokens bis zu mit Software erzeugten Zugangsdaten.

Wenn auch Sie die Bedeutung hochgradig sicherer Kennwörter und durchgängiger Anmeldelösungen erkannt haben, sehen Sie sich den Symantec Validation and ID Protection Service (VIP) an. Ausführliche Informationen über die Website-Sicherheit finden Sie im Symantec Website Security Threat Report.