Sicherheit und Kennworte

Status
Für weitere Antworten geschlossen.

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Ich hab noch keinen richtige Platz für das Thema hier im Forum gefunden, aber das wird sicherlich noch.

In der IT und im Netz aber auch sonstwo gibt es oft als Zugangshindernis ein 'Kennwort' oder 'Passwort' (password). Oft darf man es selbst vergeben und mit wem auch immer es vereinbart wird, es sollte 'geheim' bleiben. Warum? Weil damit (vertraglich) eine Privatisierung von Daten oder anderen Zugängen hergestellt wird, die vermeintlich auch so individualisiert ist, dass Haftungsausschlüsse oder Haftungseinschlüsse damit verbunden werden (hört sich alles kompliziert an, aber kennt jeder ... meist gar nicht so genau). Also deswegen einfach: Machste bei deiner Sparkasse eine Schließfach auf und bekommst dafür einen Schlüssel (Hardware) und hinterlegst deine Unterschrift, dann geht die Bank davon aus, dass nur du Zugang zu dem Schließfach hast und wenn das nicht mit roher Gewalt geknackt wurde, dann haftet die Sparkasse nicht, wenn du der Meinung bist, dass dir etwas aus dem Schließfach geklaut worden ist. Weil sie gehen davon aus, dass der Zugang durch Unterschrift und Schlüssel hinreichend gesichert ist. Genauso ist das mit deine Daten bei einem Online-Hoster oder mit deinem EMail-Konto bei deinem Provider. Auch wenn das dort technisch kaum mehr nachzuvollziehen wäre ...

Es besteht also so eine Pflicht, keine trivialen Kennworte zu verwenden (wie beim Fahradschloss: '0000', '1234', '9999' usw.) und auch keine Namen, deren Erraten trivial ist (beim mir wäre das 'itari'). Was keiner so genau weiß, ist jetzt, ob das gewählte Kennwort auch 'gut' ist. Deswegen hierzu ein Link: http://www.sicherespasswort.com. Nun wird jeder sagen, das ist ja blöd, weil man sich das gar nicht richtig merken kann :D

Jetzt wird das Ganze noch durch eine weitere Geschichte verschärft: Verwende niemals das gleiche Kennwort zweimal (und für Spaßvögel: auch dreimal oder viermal ist nicht gut :D). Bei so starke Kennwörtern kommt man dann nicht umhin, entweder sein Gehirn umzupolen oder sich die Kennworte aufzuschreiben. Aufschreiben ist aber auch ganz blöd, weil man den Zettel verlieren oder jemand ihn klauen könnte. Bei so Kredit- oder Bankkarten ist es dagegen etwas einfacher; da kann man das Kennwort draufschreiben und wenn man dann so eine Karte verliert und das Konto geplündert ist, bekommt man auch garantiert keinen Schadensersatz. Da wäre es eigentlich einfacher, ihr überweist mir das Geld einfach direkt auf mein Konto ...

Was auch keiner weiß, ist, dass das Ändern von Kennworten auch unter diese Pflicht fällt und auch für mehr Sicherheit sorgt. Also jetzt wird es ja unzumutbar mit dem Auswendiglernen. Deswegen haben sich findige Leute was überlegt: die Kennwort-Karte. Hier sind zwei Ideen, wie so etwas aussieht: http://www.passwordcard.org/en und http://de.savernova.com/ (auf Passwortkarte klicken). Nebenbei bemerkt, ich hatte das schon mal hier im Forum erzählt.

Klar muss man auch bei der Kennwort-Karte ein wenig denken, aber es ist nicht mehr ganz so schlimm :p

Nun gibt es ja verschiedene Anwendungsfälle, wo Kennworte zum Einsatz kommen, und jeder für sich sollte sich so eine Liste machen, um auch einen Überblick für sich zu erhalten (die Liste kann man dann später wieder wegwerfen/verbrennen).

Zugangskennworte (10-12 Zeichen lang, Ziffern, Groß-/Kleinschreibung)
- interne Zugangskennworte: PC, NAS usw. : alle 3 Monate ändern
- wichtige externe Zugangskennworte: Online-Speicher, Online-Banking, Haupt-EMail-Box, Ebay, usw. : jeden Monat ändern
- unwichtige externe Zugangskennworte: Synology-Support-Forum, Facebook, Twitter, usw. : jedes Jahr ändern
- Kennworte in der Firma: firmeninterne Regelung beachten, mind. alle 3 Monate
- Kennworte beim Kunden: Regelungen beachten und dran denken, dass die Zugangsdaten auch wieder gelöscht werden (passiert nicht allzu häufig)

Verschlüsselungskennworte (mind. 12 Zeichen lang, wenn möglich auch übliche Sonderzeichen, darauf achten, dass kein unmöglichen Zeichen verwendet werden - ev. ausprobieren)
- Datenverschlüsselung: Dateien, Archive/Container, Platten, usw. (jedes Jahr ändern)
- Zertifikate: (möglichst jedes Jahr ändern)
- Übertragungswege: WLAN, Handy, usw. (alle 3 Monate ändern)

restlichen Fälle (wenn man wenig Einfluss auf die Länge des Kennwortes hat oder sie sonstwie nicht gut zu beeinflussen sind)
- PINs für Karte (je häufiger desto besser)
- Safe (darüber nachdenken, im Urlaub den Hotelsafe wieder bei den Abreise auf '0' stellen)
- und viele weitere Fälle, die bedeutsam sind
- und die ganz vielen Fällen, wo man sich einfach eine Einmal-EMail-Adresse besorgt und ein blödes Kennwort wählt, weil es nichts zu schützen gibt

Und ja, wenn man selbst Admin ist und für andere Kennworte einrichtet, dann den Usern so lange auf den Kopf hauen, bis sie sich ein eigenes und gutes Kennwort überlegt haben (und der Ort ist kein Post-It, welches dann am Bildschirmrand angeklebt wird und auch die Unterseite der Tastatur ist Tabu) ...

Eure Meinung? Was vergessen? Bessere Tipps? Ich freue mich auf die Diskussion.

Itari
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat