Betrachten wir hierzu einmal einige Statistiken aus dem Bericht Yubico 2019 State of Password and Security Authentication Security Behaviors Report:
- 2 von 3 Befragten geben Passwörter an Kollegen weiter
- 51 Prozent der Teilnehmer gaben an, dass sie Passwörter für persönliche und geschäftliche Konten wiederverwenden
- 57 Prozent gaben an, dass sie ihre Passwörter nach einem Phishing-Versuch nicht geändert haben
Um Veränderungen in einer Organisation herbeizuführen, müssen Sicherheits- und IT-Teams die Mitarbeiter über bewährte Verfahren aufklären. Im Hinblick auf die Passwortverwaltung ist eine der einfachsten Möglichkeiten, eine gute Passworthygiene zu fördern, eine Lösung zur Passwortverwaltung an Ihrem gesamten Arbeitsplatz zu implementieren. Hier sind einige weitere bewährte Verfahren, die Sie anwenden sollten.
1. Nutzen Sie eine Lösung zur Passwortverwaltung
Im Laufe des Tages besuchen die meisten Menschen viele verschiedene Websites, die Passwörter erfordern. Es ist praktisch unmöglich, sich Dutzende von eindeutigen und ausreichend starken Passwörtern (oder Passphrasen) zu merken. Ein Passwortmanager vereinfacht die Verwendung von Passwörtern auf verschiedenen Sites, um die Sicherheit der Benutzer zu erhöhen.
Es gibt eine Reihe von soliden Passwortmanagern. Bevorzugen Sie diejenigen, die plattformübergreifend arbeiten und Dienste für Einzelpersonen kostenlos oder zumindest zu sehr geringen Kosten anbieten. Die meisten Fähigkeiten von Passwortmanagern haben sich im Laufe der Jahre ebenfalls erweitert.
2. Wählen Sie ein Tool, das Sie problemlos in Ihrem Unternehmen einsetzen können.
Passwortmanager müssen für jede Benutzerstufe - vom Anfänger bis zum Fortgeschrittenen - einfach zu bedienen sein. Wenn man eine große oder diverse Mitarbeiterbasis hat, sollten die Anwendungen benutzerfreundlich und einfach zu implementieren sein. Unabhängig davon, ob Sie sich beispielsweise für die Bitwarden-Cloud entscheiden oder Ihre eigene, selbst gehostete Instanz bereitstellen, ist es einfach, Bitwarden zum Laufen zu bringen. Und Bitwarden Directory Connector arbeitet mit den heute am weitesten verbreiteten Verzeichnisdiensten wie Azure, Active Directory, Google, Okta und anderen, um Ihre Bitwarden-Benutzer mit Ihren Teams und Mitarbeitern synchron zu halten.
3. Ändern Sie Passwörter nur, wenn Sie möglicherweise kompromittiert wurden.
Die Zeiten, in denen Sie Ihr Passwort alle drei Monate ändern mussten, sind vorbei. Sie sollten sie jetzt nur noch ändern, wenn Sie glauben, dass Sie kompromittiert worden sind. Das National Institute of Standards and Technology (NIST) empfiehlt Benutzern nicht, Passwörter häufig zu ändern. Dies führt tatsächlich zu einem Verhalten, das mit der Zeit zu schwächeren Passwörtern führen kann. Sie können feststellen, ob Sie kompromittiert wurden, indem Sie auf handfeste Beweise verweisen, wie z.B. Kreditkartenbetrug, oder indem Sie ein Tool wie Ihren Passwortmanager verwenden, das erkennen kann, ob Ihr Passwort bei einer Verletzung aufgedeckt wurde.
4. Verwenden Sie sichere, einzigartige Passwörter.
Die Verwendung starker, eindeutiger Passwörter für jeden Dienst, den Sie online nutzen, trägt dazu bei, die Auswirkungen von Datenverstößen zu minimieren. Ein sicheres Passwort bedeutet nicht notwendigerweise nur das Hinzufügen von Sonderzeichen oder Zahlen zu einem gewöhnlichen Wort oder Namen, sondern auch die Erhöhung der Entropie oder Zufälligkeit des Passworts. Eine einfache Taktik zur Erstellung eines starken Passworts ist die Verwendung einer Passphrase. Eine Passphrase kombiniert scheinbar nicht zusammenhängende Wörter oder Phrasen, die sich der Benutzer leicht merken kann, die aber ansonsten für einen Angreifer schwer zu erraten wären. Passphrasen haben einen hohen Entropiegrad und sind gleichzeitig leicht zu merken.
5. Aktivieren Sie die Zwei-Faktor-Authentifizierung.
Angesichts der zunehmenden Verbreitung der Zwei-Faktor-Authentifizierung (2FA) auf Verbraucher- und Business-Websites sollten gute Passwortmanager Möglichkeiten zur Erweiterung dieser Funktion vorsehen. Die Verwendung von 2FA erhöht die Sicherheit Ihres Kontos, da Sie über die Angabe Ihres Master-Passworts hinaus ein weiteres Token eingeben müssen. Selbst wenn jemand Ihr Master-Passwort herausfinden sollte, könnte er sich ohne Zugriff auf das zusätzliche Token nicht in Ihren Passwort-Manager einloggen.