Home / Aktuelles & Termine / it.sec blog

Ein Passwort ist eines der wichtigsten Mittel, die eigenen oder betrieblichen personenbezogenen Daten zu schützen. Dabei steht doch aber immer auch die Frage im Raum, wie ein solches Passwort zu gestalten ist, damit es die Daten auch nachhaltig schützen kann.

Bisher waren die Vorgaben, was ein sicheres Passwort ausmacht, recht klar. Die Verwendung von Passwörtern mit mind. 8 Zeichen bestehend aus einer Kombination von Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sowie ein Passwortwechsel alle 90 Tage sollten einem Hacker die Arbeit besonders erschweren.

Vor Kurzem hat jedoch das National Institute of Standard and Technology (NIST), welches diese Regeln erst ins Leben rief, diese Annahme revidiert. Der ursprüngliche Autor dieser Vorgaben, Bill Burr, hatte dazu auch erklärt, dass die damaligen Annahmen ein Irrtum gewesen seien.

Dies ist nicht darauf zurückzuführen, dass die Vorgaben damals generell falsch waren, doch aber darauf, dass sich seit 2003, das Veröffentlichungsdatum der alten Passwort-Regeln, die Technik erheblich weiterentwickelt hat. Auch haben die zahlreichen Hackerangriffe der letzten Zeit dafür gesorgt, dass es ausführliche Wörterbücher von verwendeten Passwörtern gibt, in welchen Angreifer „nachschlagen“ können.

Es ist also in der heutigen Zeit um vieles einfacher als noch vor 14 Jahren, Passwörter mithilfe einer Software auszulesen.

Daher ist ein neues Herangehen an die Passworterstellung angebracht. Das NIST hat in seinem neu veröffentlichten Leitfaden festgestellt, dass besonders die Passwortlänge eine entscheidende Rolle bei der Sicherheit spielt.

Es wird geraten, möglichst lange Passwörter mit mindestens 12 Zeichen und einer zufälligen Zeichenabfolge zu vergeben, also z.B. eine Wortreihe, die logisch keinen Sinn ergibt, wie SchuhDatenschutzRegen. Sonderzeichen können ebenso nützlich sein, aber auch beim Einsatz dieser gilt, ein Muster bei der Passwortvergabe, das einfach zu identifizieren ist, sollte vermieden werden. Denn Software, welche versucht Passwörter auszulesen, kann dies schneller tun, wenn dem Passwort ein Muster zugrunde liegt.

Auch sollten zu jeder Zeit für unterschiedliche Portale oder Anwendungen verschiedene Passwörter verwendet werden. Denn sollte doch einmal ein Passwort in unbefugte Hände geraten, sind nicht auch noch alle anderen Anwendungen oder Benutzerkonten in Gefahr, ausgespäht zu werden.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Citizen-Score Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm schutzwürdige Interessen Schweiz Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Speicherdauer Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung verloren Verlust Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28