Passwörter können auch heute noch ein wirksamer Schutzmechanismus sein, wenn die Nutzer achtsam und die Passwörter stark sind.
Gleich zu Beginn des Jahres 2019 standen Personen des öffentlichen Lebens im Mittelpunkt einer Cybersicherheitsbetrachtung, nachdem eine unbefugte Person umfangreiche persönliche Informationen über diese im Internet veröffentlicht hatte („Doxing-Skandal“). Diesen Vorfall nahm die Aufsichtsbehörde zum Anlass, um im Rahmen des jährlichen Safer Internet Days eine Prüfung von Online-Dienstanbietern durchzuführen, wie diese ihre Nutzer bei der Handhabung mit Zugangsdaten unterstützen sowie wie robust deren Systeme gegen Cyberkriminelle ausgestattet sind. Informationen zu dieser Prüfung finden sich unter: www.lda.bayern.de/media/sid_ergebnis_2019.pdf
In diesem Zusammenhang haben sich die Beteiligten darauf verständigt, dass gegenüber Anbietern von Online-Diensten gezielt von starken Passwörtern für die Nutzer gesprochen wird. Pauschale Aussagen zu bestimmten Längen und Komplexitäten von Passwärtern (z.B. acht Stellen mit Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen) werden nicht mehr als zielführend angesehen, da gemäß dem risikoorientierten Ansatz der DSGVO konkrete Umstände (z.B. Online-Angriffe möglich oder nicht), die Arten der Speicherung (wie bcrypt-Hashverfahren samt Salt zur Umwandlung eines Klartextpassworts vor dessen Speicherung) und auch der Einsatz von Mehrfaktorauthentifizierungsverfahren zwangsläufig zu berücksichtigen sind.
Als Empfehlung können trotzdem die folgenden Best-Practice-Aussagen gelten, die gerade für Anbieter von Online-Diensten allerdings nicht neu sein sollten:
- Verwenden Sie für jeden Dienst ein individuelles Passwort.
- Mindestlänge von zehn Zeichen bei hoher Zeichenkomplexität (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen)
- Falls geringe Passwortkomplexität: Erhöhung der Mindestlänge (z.B. 20 Zeichen)
- Speicherung mit geeigneten gesalzenen Hashverfahren wie z. B. bcrypt anstatt SHA- oder MD5-Verfahren
- Zwei-Faktor-Authentifizierung (z.B. mittels App), insbesondere bei hohem Risiko der Verarbeitung
Wenn Sie E-Mail-Accounts für das Zurücksetzen von Zugangsdaten verwenden, schützen Sie diese besonders mit starker Authentifizierung.
Hilfe zur Passwortbildung:
Nutzen Sie möglichst komplexe Passwörter. Werden Sie kreativ und bilden Sie beispielsweise aus den Anfangsbuchstaben und Satzzeichen eines Satzes ein Passwort (z.B. „Jeden Tag gehe ich um 12 Uhr heim!“ = JTgiu12Uh!). Wandeln Sie bestimmte Buchstaben in Zahlen um (z.B.: Umwandlung immer des ersten Buchstabens in eine Zahl nach Anordnung im Alphabet: Jeden Tag gehe ich um 12 Uhr heim! = 10Tgiu12Uh!, weil der Buchstabe „J“ im Alphabet an zehnter Stelle steht).
Durchaus empfehlenswert ist in diesem Zusammenhang auch der Passwort-Check der Schweizer Datenschutzbehörde, der innerhalb des eigenen Browsers ein eingegebenes Passwort auf dessen Stärke bewertet.
–> https://www.passwortcheck.ch/
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks