Sicherheitspraxis

Passwörter, Benutzerkonten

Was gibt es für Benutzerkontos?

· Benutzerkontos für Betriebssysteme

· Benutzerkontos im Internet

Benutzerkontos für Betriebssysteme

Da unsere Geräte fast ausnahmslos auch mit irgendeinem Netzwerk (Firmennetzwerk, Internet, WLAN, etc.) verbunden sind, ist es unabdingbar, dass der Zugriff auf die persönlichen Daten geschützt werden. Dieser Schutz der persönlichen Daten ist durch die Achillesferse das Benutzerkonto und das dazugehörige Passwort des Betriebssystems geschützt. Wenn kein sorgsamer Umgang mit dem Benutzernamen und dem Passwort gepflegt wird, entsteht ein sehr grosses Gefährdungspotential nicht nur für das eigene Gerät, sondern für alle damit im Netzwerk verbunden anderen Geräte (Server, Drucker, Router etc.) auch.

Wofür ist eigentlich ein Benutzerkonto zweckdienlich?

  • Ein erster Zweck des Benutzerkontos ist die Zugriffsrechte auf Daten und (Sub)Systeme einzuschränken auf Grund der Privilegien der Benutzerrolle.

  • Die «persönlichen» Daten und Konfigurationseinstellungen werden mit dem Benutzerkonto gespeichert.

Pro Betriebssystem gibt es unterschiedliche Standards, ein Konto welches speziell für die Systemadministration (voller Zugriff auf alle Systeme hat) vorgesehen ist heisst bei Unix-artigen Betriebssystemen root, bei Microsoft Windows heisst das gleiche Konto Administrator. Normalerweise werden die Benutzerkonten in Gruppen/Rollen zusammengefasst, somit erhalten alle Mitglieder der Gruppe die entsprechenden Berechtigungen. Benutzer können mehreren Gruppen/Rollen angehören und so die gewünschten Zugriffe erhalten.

Benutzerkontos im Internet

Diese Konten sind für verschiedene Dienste im Internet zu nutzen wie Online Banking, Sozialen Medien, Webshops etc. aber auch für den Versand / Empfang von Emails.

Umgang mit Benutzerkonten und deren Passwörter

Die meisten Benutzer sind sich der zentralen Funktion der Benutzerkonten und die dazu gehörigen Passwörter nicht bewusst. Das zeigen immer wieder im Internet veröffentlichte Listen der meistgenutzten Passwörter bei welchen die «bekannten» Passwörter immer noch 1-9 oder ähnlich einfache Passwörter sind.

Deswegen ist es auch nicht verwunderlich warum immer wieder solche Konten gehackt werden.

143KB
Zahlen Passwörter_ct.23.14.pdf
PDF
Open
Zahlen, Daten, Fakten zu Passwörter

Was kann jeder Benutzer tun um Benutzerkonten und Passwörter zu erstellen und schützen?

  • Eine 2-Stufen Authentifizierung einrichten, auch 2FA genannt.

  • Einen Passwort Manager einsetzen für die Speicherung der Benutzernamen, Passwörter & Links dazu.

  • Das Erstellen von Passwörtern mit einer minimalen Länge von 12 Zeichen, gemischt mit Gross- & Kleinschreibung, Sonderzeichen und Zahlen.

  • Änderung des Passwortes in zeitlichen Abständen, 0,5 bis 3-mal pro Jahr.

Passwortmanager

Aus den 4 vorher aufgeführten Gründen entsteht automatisch ein Dilemma für den Benutzer, weil die komplexen Passwörter nicht immer einfach zu merken sind und es auch nicht immer das gleiche Passwort sein sollte, da ansonsten eingehacktes Passwort andere Benutzerkonten auch offen ist. Der Vorteil von den meisten Passwort Manager, dass diese systemübergreifend sind und zwar auf Computer, Tablet und Mobile. Weiter haben viele Passwort Manager auch den Vorteil der Autofill-Funktion.

Passwortmanagerfunktionen

Beispiel eines selbstgewählten Passwortes; nehmen Sie den ersten Buchstaben jedes Wortes und jedes Satzzeichen dazu.

Jeden Morgen, um 5 vor 9 Uhr, hole ich mir einen Espresso!

ergibt ein Passwort von JM,u5v9U,himeE! mit 15 Zeichen mit Gross- & Kleinschreibung, Sonderzeichen und Zahlen.

Ein gutes Passwort sollte folgendes beinhalten:

  • Lang genug sein & aus mehr als einem Wort bestehen, min. 12 Zeichen.

  • Eine gewisse Komplexität haben, Gross- & Kleinschreibung, Sonderzeichen & Zahlen.

  • Sollte nur Ihnen bekannt sein.

  • Trotz der Komplexität auch leicht zu merken sein.

  • Wenn überhaupt, nur in einem geeigneten Passwort Manager speichern (Cloudlösung, lokale Verschlüsselung).

  • Durch eine umfassende Sicherheitslösung vor Schadsoftware geschützt werden.

Verwenden Sie selbst auch gute Passwörter? Prüfen Sie es auf:

LogoPasswortcheckpasswortcheck.ch
Passwortcheck DSB Kt. Zürich

Das oben kreierte Passwort im Check:

Starkes Kennwort

Noch sind es mehrere Millionen Jahre…

Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmässig wechseln und solltest sie nicht mit fremden tauschen. CHRIS PIRILLO, amerikanischer Tech-Experte, Blogger, Kolumnist und Buchautor

SSL/TLS Zertifikate

Möchten Sie über das Internet bestellen oder einkaufen und dabei persönliche Daten wie Adresse und Kontoverbindung/Kreditkartendaten übertragen, sollten Sie darauf achten, dass die Webseite, die diese Daten von Ihnen anfordert, mit einem Sicherheitsprotokoll arbeitet. So stellen Sie (weitgehend) sicher, dass beim Übertragen der Daten keine Unbefugten an die entsprechenden Informationen gelangen können. Die meisten Webseiten nutzen zur sicheren Datenübertragung das Sicherheitsprotokoll Secure Socket Layer (SSL), das den Aufbau eines abgesicherten Kommunikationskanals zur Webseite ermöglicht. Sie erkennen das Protokoll im Adressfeld am Präfix https und am Schlosssymbol. Durch Anklicken des Schlosssymbols können Sie sich die Eigenschaften des zugehörigen Zertifikats anzeigen lassen.

SSL-Zertifikat

Wissen Sie nicht genau, ob es sich um eine "sichere" Verbindung handelt, sollten Sie keinesfalls Kreditkarteninformationen, Kontoangaben oder persönliche Daten angeben. Fragen Sie stattdessen telefonisch oder per E-Mail beim Betreiber der Webseite nach, ob bzw. wie Sie die Informationen verschlüsselt senden können oder ob eventuell andere Zahlungsmodalitäten zur Verfügung stehen.

Wenn Sie zu einer Webseite wechseln, bei der das Zertifikat ungültig ist bzw. nicht anerkannt wird, erhalten Sie eine sogenannte Zertifikatfehlermeldung.

SSL nicht aktiv

Diese Webseite wurde inzwischen bereinigt.

Wie sieht das Zertifikat Ihrer Firma aus? Schauen sie sich es mal an.

E-Mail

E-Mail ist zusammen mit dem Browser das grösste Einfallstor für Malware! Mails werden dazu genutzt, das schwächste Glied in der Kette der IT-Security Massnahmen und Installationen auszunutzen: der Benutzer, der Anwender, also der Mensch.

Phishing

Wogegen SPAM ärgerlich ist und die Arbeitszeit/Ressourcen einer Firma beansprucht, führen Klicks auf gefälschte Links zu ernsthaften Problemen. Folgt man einem Link und tätigt die Eingabe von Login und Passwort auf einer präparierten/gefälschten Webseite, ist man einem Phishing Angriff zum Opfer geworden.

Auch mit Attachments oder sogar ausführbaren Dateien sollte man äusserste Vorsicht walten lassen. Dies sind beliebte Methoden, um Malware zu installieren, was zu ernsthaftem Kontroll- und Datenverlust durch Trojaner oder zum Stillstand der ganzen IT Betriebslandschaft führen kann (z.B. Ransomware).

Achtung bei anklicken von angehängten Dateien!

• Niemals ausführbare Dateien öffnen (.exe Files) • -> File Format check durch Prüfung der Endung

Achtung bei anklicken von Links

• Dargestellter Link muss nicht wirklicher der gewünschte Link sein • -> Check mittels „Mouse Hover“

Entscheidungshilfe

Flussdiagramm Phishing oder nicht?
PreviousAufgabe: Windows FirewallNextAufgabe: Passwort Manager

Last updated