Home / Aktuelles & Termine / it.sec blog / Neue Erkenntnisse im Bereich des sicheren Passworts

Neue Erkenntnisse im Bereich des sicheren Passworts

Ein Passwort ist eines der wichtigsten Mittel, die eigenen oder betrieblichen personenbezogenen Daten zu schützen. Dabei steht doch aber immer auch die Frage im Raum, wie ein solches Passwort zu gestalten ist, damit es die Daten auch nachhaltig schützen kann.

Bisher waren die Vorgaben, was ein sicheres Passwort ausmacht, recht klar. Die Verwendung von Passwörtern mit mind. 8 Zeichen bestehend aus einer Kombination von Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sowie ein Passwortwechsel alle 90 Tage sollten einem Hacker die Arbeit besonders erschweren.

Vor Kurzem hat jedoch das National Institute of Standard and Technology (NIST), welches diese Regeln erst ins Leben rief, diese Annahme revidiert. Der ursprüngliche Autor dieser Vorgaben, Bill Burr, hatte dazu auch erklärt, dass die damaligen Annahmen ein Irrtum gewesen seien.

Dies ist nicht darauf zurückzuführen, dass die Vorgaben damals generell falsch waren, doch aber darauf, dass sich seit 2003, das Veröffentlichungsdatum der alten Passwort-Regeln, die Technik erheblich weiterentwickelt hat. Auch haben die zahlreichen Hackerangriffe der letzten Zeit dafür gesorgt, dass es ausführliche Wörterbücher von verwendeten Passwörtern gibt, in welchen Angreifer „nachschlagen“ können.

Es ist also in der heutigen Zeit um vieles einfacher als noch vor 14 Jahren, Passwörter mithilfe einer Software auszulesen.

Daher ist ein neues Herangehen an die Passworterstellung angebracht. Das NIST hat in seinem neu veröffentlichten Leitfaden festgestellt, dass besonders die Passwortlänge eine entscheidende Rolle bei der Sicherheit spielt.

Es wird geraten, möglichst lange Passwörter mit mindestens 12 Zeichen und einer zufälligen Zeichenabfolge zu vergeben, also z.B. eine Wortreihe, die logisch keinen Sinn ergibt, wie SchuhDatenschutzRegen. Sonderzeichen können ebenso nützlich sein, aber auch beim Einsatz dieser gilt, ein Muster bei der Passwortvergabe, das einfach zu identifizieren ist, sollte vermieden werden. Denn Software, welche versucht Passwörter auszulesen, kann dies schneller tun, wenn dem Passwort ein Muster zugrunde liegt.

Auch sollten zu jeder Zeit für unterschiedliche Portale oder Anwendungen verschiedene Passwörter verwendet werden. Denn sollte doch einmal ein Passwort in unbefugte Hände geraten, sind nicht auch noch alle anderen Anwendungen oder Benutzerkonten in Gefahr, ausgespäht zu werden.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Gemeinsam Verantwortliche Home Office Immobilienmakler Informationspflichten Informationssicherheit IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31