Richtlinien für Passwörter – bei Verstoss droht Bußgeld

Die Pressestelle des LfDI hat eine Empfehlung zum Umgang mit Passwörtern veröffentlicht. Meiner Meinung nach ein hervorragend gelungener Leitfaden, der dem Art. 32 DSGVO (Sicherheit der Verarbeitung) folge leistet.

Unter Administratoren und Entwicklern sollten diese Vorgaben bzw. Hinweise, die durchaus praxisnah sind, Beachtung finden.

Neben der rechtlichen Grundlage nach besagtem Art. 32 DSGVO weist die Datenschutzaufsichtsbehörde Baden-Württemberg bei Verstoß auf Art. 83 Abs. 4 hin. In diesem spricht man von Bußgeldern in Höhe von 2% vom weltweiten Jahresumsatz bzw. 10 Millionen, je nachdem welcher Betrag höher ist.

Hinweise zur Auswahl von Passwörtern

Einige Regeln haben sich zwischenzeitlich bei den Datenschützern etabliert, die sich in den nächsten Jahren auch bei Herstellern und Administratoren durchsetzen werden.

Ein häufiger Passwortwechsel sorgt nicht zwingend für mehr Sicherheit. In vielen aus der Praxis mir bekannten Fällen werden Passwörter durch sogenannte Kennwortrichtlinien, die einen Kennwortwechsel in zu kurzen Zeitabständen erzwingen, geregelt.

Oftmals wird dadurch von den Anwendern mit einfachen Wortzusammensetzungen gearbeitet, diese ständig verwendet, und zusätzlich durch eine fortlaufende Zahl minimal verändert. Kombinationen aus Wörterbuchbegriffen, wie z. B. „Sommer2019“ oder Herbst201901 02 03 usw…

Ein einfaches Unterfangen für jeden Angreifer, der Zugriff auf Datenbanken von gehasten Passwörtern hat. Milliarden Passwörter können durch schnelle am Markt verfügbare Techniken pro Sekunde automatisiert ausprobiert werden.

Viel eher machen komplexe Passwörter mehr Sinn, die sich aus dem ersten Buchstaben eines jeden Wortes im Satz bilden. Hier ein Beispiel. Das ist mein 1stes Passwort von 52 weiteren in diesem Jahr! = Dim1Pv5widJ!

Sich die Passwörter alle zu merken ist nahezu unmöglich. Verwenden Sie PasswortSafes, die sich direkt im Browser aktivieren lassen, wie z.B. KeePass.

Aktuell sieht man 12 Zeichen als empfehlenswerte Passwortlänge an. Diese zusammengesetzt aus großgeschriebenen und kleingeschriebenen Buchstaben + Zahlen + mindestens ein Sonderzeichen Besipiel: IhHkLust8S@zA!.

Passwortgeneratoren sind häufige frei verfügbare Softwaretools, die bei der Wahl eines sicheren Passworts unterstützen.

Einen einfachen, aber doch hilfreichen Generator erreicht man unter: https://www.passwort-generator.eu/

Möchte man neben einem Passwortgenerator einen sog. PasswortSafe einsetzen, der sämtliche Passwörter (natürlich verschlüsselt in einer passwortgeschützten Datenbank) speichert, so empfehle ich das OpenSource tool “KeePass.” KeePass beinhaltet zusätzlich einen Generator, der mit vom Anwender vordefinierten Buchstaben, Ziffern und Sonderzeichen Passwörter generieren kann.

https://sourceforge.net/projects/keepass/

PlugIns für Keepass: https://keepass.info/plugins.html

Ein Add-On für Mozilla Firefox und Google Chrome findet Ihr unter: https://keeform.org/

Tipp: Die Weitergabe von Passwörtern stellt grundsätzlich ein Problem dar; eine Weitergabe bzw. Weiterleitung per E-Mail in unverschlüsselter Form noch ein größeres. Versenden Sie daher Anmeldename und Passwort, wenn möglich, in getrennten Mails.

Die 10 besten Regeln für mehr Passwortsicherheit:

1) Starke Passwörter wählen

2) Passwörter niemals doppelt verwenden

3) Passwort-Safe verwenden

4) Keine Wörter aus Wörterbüchern verwenden

5) Passwörter nicht weitergeben

6) Nur bei Kompromittierung ändern

7) Sichere Passwörter auch auf Smartphones verwenden

8) Standard-Passwörter immer ändern

9) Lügen bei Sicherheitsfragen

10) Zwei-Faktor-Authentifizierung aktivieren

Den gesamten Artikel der Datenschutzaufsichtsbehörde gibt’s hier auch zum Download.