Sichere Passwörter in Web-Anwendungen

Sichere Passwörter in Web-Anwendungen

Selbst im Rahmen eines Blogs ist das Thema „Sichere Passwörter in Web-Anwendungen“ kaum vollständig zu behandeln. Ich werde dennoch versuchen, auf die wichtigsten Gefahren von zu einfachen Passwörtern hinzuweisen, ohne Anspruch auf Vollständigkeit.

Zudem gebe ich Ihnen einen Überblick über die Möglichkeiten, sich mit Hilfe von kleinen Tricks und Eselsbrücken Passwörter für den täglichen Gebrauch im Web zu erstellen. Erfahren Sie, wie Sie sichere Passwörter in dynaOFFICE bei Benutzern durchsetzen und die Sicherheitsrichtlinien optimal nutzen.

Noch ein wichtiger Hinweis:

Dieser Artikel soll Ihnen Denkanstöße für die Erstellung eigener, ausreichend sicherer Passwörter bieten. Weder ich selbst noch Dolphin geben Ihnen eine Garantie für die Sicherheit der mit dieser Methode generierten Passwörter. Ein verantwortungsvoller Umgang mit sensiblen Sicherheitsmerkmalen sowie viele weitere Faktoren können über mögliche Sicherheitslücken entscheiden. Dafür können wir natürlich keine Haftung übernehmen. Außerdem entwickeln sich sowohl Sicherheitssysteme, als auch die Methoden der Hacker, ständig weiter – Sie sollten von Zeit zu Zeit also Ihre Sicherheitseinstellungen und Passwörter dem aktuellen Stand anpassen.

Sicher ist sicher

dynaOFFICE Login Maske

Für den Zugang zu Web-basierten Systemen wie dynaOFFICE werden in der Regel zwei Sicherheitsparameter verwendet, Benutzername und Passwort.

Der Benutzername wird zumeist in irgendeiner Beziehung zum Benutzer stehen, also zum Beispiel der Nachname, die Personalnummer oder ein anderer, leicht zu merkender Begriff. Mit etwas Mühe sind diese Informationen für einen Hacker leicht zu erraten oder herauszufinden. Aus diesem Grund ist es wichtig, viel Wert auf ein sicheres Passwort zu legen.

Häufiger Fehler:

  • Benutzername und Passwort sind identisch, was das Erraten der Zugangsdaten einem Hacker sehr erleichtert.

Angriffe

Hacker „erraten“ heutzutage keine Passwörter mehr, sondern nutzen sogenannte Tabellen mit häufig genutzten Passwörtern (Rainbow-Tables) oder Wörterbuch-Attacken, um ein System anzugreifen. Somit sollten solche „einfachen“ Wörter grundlegend Tabu für ein Passwort sein.

 

Hinweis:

dynaOFFICE schützt sich selbst gegen unberechtigte Zugriffe, indem es eine Sperrung des Rechners durchführt, von dem Zugriffsversuche ausgehen. Das bedeutet, dass nach einer bestimmten Anzahl von Anfragen, welche nicht zu einem Login geführt haben, der angreifende Rechner komplett für den Zugriff gesperrt wird – temporär oder sogar permanent.

 

Geraten die Daten der Benutzertabelle einer Applikation auch noch in die Hände von Hackern, wird dies sogar noch einfacher, da man dann ausreichend Zeit hat die Passwörter zu entschlüsseln – bei regulärer Eingabe in der Login-Maske der Applikation wird man in der Regel nach einer bestimmten Anzahl von Fehlversuchen abgewiesen.

Dazu kommt dann noch die Art der Verschlüsselung der Passwörter in der Datenbank der Applikation. Ist sie unzureichend, sind die Passwörter sehr schnell entschlüsselt.

 

Hinweis

Passwörter werden in dynaOFFICE in der Datenbank über eine komplexe Einwegverschlüsselung mit mehrfachem „Salting“ gespeichert. Das entspricht dem aktuellen Stand von Hochsicherheits-Verschlüsselungen. Zudem kann sie sehr leicht an neuere Standards angepasst werden, wenn die Sicherheitsanforderungen und/oder die Leistungsfähigkeit der eingesetzten Hardware steigen.

Fragen Sie uns gerne nach den technischen Einzelheiten, wenn Sie weitere Informationen wünschen.

 

Im Zuge der technischen Weiterentwicklung ist es heutzutage einfacher als je zuvor, sich ausreichend Rechen-Ressourcen für das Dekodieren von Passwörtern zu beschaffen – Cloud-Ressourcen können stündlich gemietet werden, in nahezu unbegrenzter Menge. Verschlüsselungen, welche früher Jahre für eine Dekodierung benötigten, können heute innerhalb weniger Stunden oder sogar Minuten entschlüsselt werden.

Was ist „einfach“?

Vielfach wird von einem „zu einfachen“ Passwort gesprochen, welches leicht zu erraten ist. Wie vorher erwähnt, zählen dazu bekannte Eigennamen sowie nahezu jedes Wort, welches sich in einem Wörterbuch finden lässt.

Auch das Fehlen von Sonderzeichen oder Großbuchstaben, sowie zu kurze Passwörter, erfreuen jeden Hacker.

Was ist „sicher“?

Grundsätzlich sind Sicherheit und Usability immer ein Balance-Akt. Ist das Passwort zu abstrakt, ist es zwar unglaublich sicher, aber man kann es sich kaum merken. Ist es gut zu merken, genügt es häufig nicht den Sicherheits-Anforderungen.

Häufig von folgenden Anforderungen ausgegangen, damit ein Mindestmaß an Sicherheit bei einem Passwort gewährleistet ist:

  • wenigstens 8 Zeichen Länge
  • mindestens 1 Großbuchstabe
  • mindestens 1 Sonderzeichen
  • mindestens 1 Zahl

Wenn das Passwort länger ist, sollte die Anzahl an Sonderzeichen, Zahlen und Großbuchstaben entsprechend ebenfalls steigen. Ein Passwort von 10-12 Zeichen mit jeweils mindestens 2 Großbuchstaben, Sonderzeichen und Zahlen gilt nach aktuellem Stand zumeist als sehr sicher.

Grundregeln für sichere Passwörter

Achten Sie zudem auf folgende wichtige Grundregeln:

  • keine üblichen Eigennamen, insbesondere wenn sie im Zusammenhang mit dem Benutzer stehen (z.B. der Vorname des Benutzers, seines Ehepartners, seiner Kinder, etc.)
  • keine Wörter, welche sich in einem Wörterbuch finden würden
  • keine einfachen Zahlenfolgen, wie 0987654321 oder 1234567890 (oder Auszüge daraus)
  • verwenden Sie niemals dasselbe Passwort auf mehreren Internetseiten oder Portalen
  • nicht den Namen des Portals oder der Internetseite verwenden, für welche das Passwort verwendet wird
  • das Passwort darf keinesfalls mit dem Benutzernamen übereinstimmen
  • führen Sie keine Passwort-Liste in Ihrem PC oder auf einem Zettel.

Wenn Sie sich die Passwörter nicht merken können oder wollen, verwenden Sie einen zuverlässigen Passwort-Safe, und verwenden Sie für das Master-Passwort die zuvor genannten Regeln. Dabei ist natürlich zu beachten, dass die Daten durch den Passwort-Safe hochgradig verschlüsselt werden. Ein zusätzlicher Schutz kann hierbei das Verstecken und Verschlüsseln eines Laufwerks sein, auf dem die Daten abgelegt werden. Dazu gibt es bereits gute Open Source Lösungen.

Werden die Daten des Passwort-Safes auf einem USB-Stick abgelegt, sollten Sie diesen auf jeden Fall separat verschlüsseln und maskieren. Ansonsten kann im Falle eines Diebstahls der Hacker versuchen, darauf zuzugreifen – da er dann sehr viel Zeit hat, wird ihm dies vermutlich irgendwann gelingen. Für andere mobile Geräte wie Notebooks gilt dies ebenso. Auf Smartphones sollten solche Daten auf keinen Fall abgelegt werden, denn in den meisten Fällen sind diese Geräte nicht ausreichend sicher bzw. können leicht von Dritten ausgelesen werden.

Im Fall eines Diebstahls eines Passwort-Safes sollten Sie auf jeden Fall sämtliche Passwörter sofort ändern. Auch aus diesem Grund ist es wichtig, davon Sicherungskopien getrennt aufzubewahren, um z.B. nach einem Diebstahl eine komplette Liste der zu ändernden Passwörter zur Hand zu haben.

 

Hinweis

In dynaOFFICE werden diese Vorgaben mit Hilfe von Sicherheitsrichtlinien, Passwort-Anforderungen und Blacklists (s.u.) durchgesetzt.

 

Die Eselsbrücke

Durch die oben genannten Anforderungen ergeben sich zumeist sehr kryptische aber sichere Passwörter, welche schwer zu merken sind. Das nachfolgende Beispiel soll zeigen, dass sichere Passwörter durchaus gut zu handhaben sind, wenn man sich einmalig etwas Zeit für das Erstellen nimmt. Eselsbrücken helfen dabei, das Passwort zu rekonstruieren, falls man es vergessen sollte:

Der Benutzer Peter Mustermann hat bisher ein einfaches Passwort verwendet („mustermann1970“, angelehnt an sein Geburtsdatum).

Um seine Passwort-Sicherheit zu verbessern, greift er zu einer Eselsbrücke. Aus seiner Kindheit erinnert er sich an ein Kinderlied, „Fuchs Du hast die Gans gestohlen“. Er wählt die Anfangsbuchstaben der Wörter, also „FDhdGg“.

Damit erfüllt er bereits die Anforderung an Großbuchstaben, aber das Passwort ist noch zu kurz und enthält weder Sonderzeichen noch Zahlen.

Also fügt er die letzten zwei Stellen der Geburtsjahre seiner Kinder hinzu, 95 und 98 (aus 1995 und 1998). Um zu variieren, fügt er sie in der Mitte ein, jeweils nach 2 Zeichen. Das Passwort lautet danach: FD95hd98Gg

Es fehlen noch die Sonderzeichen. Damit er das Passwort (mit entsprechender Varianz) auf unterschiedlichen Portalen einsetzen kann, wählt er die Raute (#) als Sonder- und Trennzeichen. Für das jeweilige Portal wählt er den ersten und den letzten Buchstaben des Namens des Portals, und fügt jeweils einen vorne und hinten hinzu.

Für Facebook wäre das Passwort dann F#FD95hd98Gg#k.

Das Beispiel ist sicher nicht perfekt, aber es ist sehr individuell, erfüllt die Anforderungen und ist leicht zu merken. Natürlich sind auch andere Varianten denkbar.

Passwort-Einstellungen in dynaOFFICE v3

Alle wesentlichen Sicherheitskriterien hinsichtlich Passwörter können Sie im Bereich System => Sicherheit im Detail anpassen.Sichere Passwörter in dynaOFFICE erzwingen

Allgemein

Mindestlänge Benutzername

Standard: 8 Zeichen

Legen Sie die Mindestlänge fest, die ein Benutzername haben muss. Auch wenn die Anforderungen an den Benutzernamen auf Grund von Nachvollziehbarkeit niedriger sind als bei Passwörtern, sollte die Mindestlänge nur in Ausnahmefällen weniger als 8 Zeichen betragen.

Sicherheitsrichtlinie

Max. Anmeldeversuche

Standard: 5

Anzahl der erfolglosen Anmeldeversuche, bis ein Benutzerkonto gesperrt wird.

Auto-Abmeldung nach X Minuten Inaktivität

Standard: 15

Anzahl in Minuten, bis ein Benutzer automatisch vom System abgemeldet wird, wenn er keinerlei Aktivität zeigt.

Passwörter

Mindestlänge (Zeichen)

Standard: 8

Mindestanzahl an Zeichen für Passwörter. Sollte unter keinen Umständen weniger als 8 Zeichen betragen (auch wenn es technisch natürlich möglich ist).

Mindest-Anzahl numerischer Zeichen

Standard: 2

Mindestanzahl numerischer Zeichen (0-9), welche das Passwort enthalten muss.

Mindest-Anzahl Großbuchstaben

Standard: 2

Mindestanzahl Großbuchstaben (A-Z), welche das Passwort enthalten muss.

Mindest-Anzahl Sonderzeichen

Standard: 1

Mindestanzahl Sonderzeichen (z.B. ,.:!#_+*- etc.), welche das Passwort enthalten muss.

SSL-Verschlüsselung

SSL-Aufruf erzwingen

Wenn Sie dynaOFFICE mit einer SSL-Verschlüsselung (also über https) aufrufen, sollte diese Einstellung aktiviert sein. In diesem Fall nimmt dynaOFFICE keinerlei Anfragen über http (also unverschlüsselt) an.

Passwort-Blacklist

In dynaOFFICE können Sie Blacklists für Passwörter pflegen. Diese verhindern, dass bestimmte Begriffe in dem Passwort vorkommen (z.B. der Firmenname), und fördert die Verwendung von sicheren Passwörtern. Die Listen sind nach Sprachen getrennt, d.h. Sie können unterschiedliche Blacklists für verschiedene Sprachen einsetzen.

Fazit

Ein verantwortungsvoller Umgang mit den eigenen Passwörtern ist die Grundvoraussetzung für die Sicherheit einer Web-Anwendung. Wenn Sie sich als Administrator oder Führungskraft mit dem Thema sichere Passwörter auseinandersetzen, ist dies ein wichtiger Schritt. Aber wenn Sie Ihre Mitarbeiter nicht mit einbeziehen, werden die Password-Regeln umgangen und verletzt – nicht unbedingt aus Mutwilligkeit, sondern häufig aus Unwissenheit.

Das Bewusstsein Ihrer Mitarbeiter zu schärfen, und die Sensibilität für das Thema zu erhöhen, ist unabdingbar für die dringend erforderliche Mitverantwortung im Umgang mit Unternehmenskritischen Daten in Web-basierten Anwendungen.

Finden Sie ähnlich Artikel in folgenden Kategorien:

dynaOFFICE | IT-Themen | Produkte | Sicherheit

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.