In unseren letzten Beiträgen der Reihe „FDM erklärt“ wurde bereits deutlich, dass die Medien, auf denen sich digitale Forschungsdaten befinden, Schwächen haben. Um Daten vor unberechtigtem Zugriff und Diebstahl zu schützen sind die Datenverschlüsselung und daran anschließend auch ein effektives Passwortmanagement wichtige Maßnahmen. In diesem Beitrag stellen wir die wichtigsten Regeln für das Erstellen eines Passworts vor.
Sichere Passwörter generieren
Für das Erstellen eines sicheren Passworts gibt es verschiedene Möglichkeiten. Die wohl einfachste Option ist die Verwendung einer Generierungssoftware. Von Online-Generatoren wird abgeraten, da generierte Passwörter von diesen abgegriffen werden können.
Selbstverständlich besteht auch die Möglichkeit, sich selbst ein Passwort auszudenken. Dabei sollte man die folgenden Regeln beachten.
Regeln zum Erstellen eines sicheren Passworts
- Je länger desto besser: Ein gutes Passwort sollte mindestens acht Zeichenlang sein.
- Das vollständige Passwort sollte möglichst nicht in Wörterbüchern
- Das Passwort sollte keine persönlichen Informationen enthalten (Namen, Geburtstage oder weitere Wörter, die mit der eigenen Person in Verbindung stehen).
- Ein sicheres Passwort sollte mindestens 2 Sonderzeichen sowie eine Zahl, einen Kleinbuchstaben und einen Großbuchstaben
- Für jeden neuen Datensatz und jeden Dienst sollte ein neues Passwort erstellt werden.
Phrasen statt Wörter
Je komplexer ein Passwort ist, desto sicherer ist es gegen Brute-Force-Angriffe (automatisches Durchprobieren aller möglichen Zeichen-Kombinationen). Mit jedem weiteren Zeichen erhöht sich die Zahl der möglichen Zeichenkombinationen und damit auch die Zeit, die benötigt wird, um das Passwort zu erraten. Lange Zeichenketten, sogenannte Passphrasen, bieten im Vergleich zu Passwörtern also eine deutlich höhere Sicherheit.
Ein Beispiel für eine Passphrase:
EinePassphraseBietetMehrSicherheit
Passphrasen werden noch sicherer, wenn sie durch Sonderzeichen verfremdet werden:
€ineP@ssphrase_Bie7etMehr$icherheit!
Damit Passphrasen nicht so leicht durch Kontextwissen entschlüsselt werden können, sollte man allgemein bekannte Formulierungen (z.B. aus Filmen, Büchern, Liedern, etc.) ebenso vermeiden wie Elemente, die mit der eigenen Person in Verbindung stehen (z.B. Haustiernamen).
Sicheres Passwort aus Passphrase ableiten
Unterstützt ein System nur Passwörter einer bestimmten Länge, kann man Passphrasen nutzen, um sichere und zugleich gut zu merkende Passwörter zu generieren.
- Einen beliebigen Satz, der leicht zu merken ist wie z.B. „Man soll den Tag nicht vor dem Abend loben.“
- Daraus löst man dann die Anfangsbuchstaben der Wörter und die Satzzeichen: „“
- Nun zählt man die Anzahl der Zeichen und fügt den Zahlenwert am Ende hinzu: „10“
- Zum Schluss fügt man den Anfangsbuchstaben des jeweiligen Dienstes/Projektes/Datensatzes hinzu, z.B. für den Dienst Zenodo: „10z“
Weitere nützliche Tools für mehr Passwortsicherheit
Passwort-Organizer
Auch wenn die einzelnen Passwörter leicht zu merken sind, ist es schwierig alle im Kopf zu behalten, wenn man für jeden neuen Datensatz und Dienst ein neues benötigt. Ein Passwort-Organizer kann Abhilfe schaffen. Je nach Betriebssystem werden verschiedene Programme zur Passwortverwaltung zu unterschiedlichen Preisen angeboten. Ein kostenloses Open-Source-Tool, welches auch als portable Version zur Verfügung steht und neben der Kennverwaltung zudem sichere Passwörter generieren kann, ist KeePass.
Zwei-Faktoren-Authentifizierung
Es ist ratsam zusätzlich eine Zwei-Faktoren-Authentifizierung (2FA) zu verwenden. Damit wird die Sicherheit noch weiter erhöht. Denn dabei wird ergänzend zum Passwort ein Einmalcode erfragt, der entweder per SMS, Smartphone-App oder Hardware-Dongle mitgeteilt wird. Der Zugang zum Smartphone oder Hardware-Dongle ist somit notwendig, um Zugriff auf die geschützten Daten zu erhalten.
Passwortsicherheit testen
Webseiten wie Passwortcheck oder Wiesicheristmeinpasswort.de errechnen, wie lang es dauert, bis das gewählte Passwort durch Brute-Force-Attacken geknackt werden kann. Je mehr Zeit benötigt wird, desto besser.
Mehr erfahren
Wenn Sie Fragen zum Thema oder zum Forschungsdatenmanagement im Allgemeinen haben, wenden Sie sich einfach an das ServiceDesk. Das FDM-Team freut sich auf Ihre Nachricht.
Besuchen Sie für weitere Informationen zum FDM auch die RWTH-Webseiten.
______
Inhaltlich verantwortlich für den Beitrag: Sophia Nosthoff.
Leave a Reply
You must be logged in to post a comment.