Es ist wieder 1. Februar. Das bedeutet, es ist wieder Tag des Passwort-Wechsels. Das Online-Portal Gizmodo hat diesen Security-Feiertag vor mehreren Jahren eingeführt und damit viel Aufmerksamkeit erregt. Das ist als positiv zu erachten, denn in Sachen IT-Sicherheit kann man niemals weit genug vorausplanen. Wir raten dazu, sich dieser Bewegung anzuschließen, und den 1. Februar 2019 dazu zu nutzen, seine Passwörter zu ändern. Denn auch sichere Passwörter können mit genügend Zeit geknackt werden. Sichert daher Eure Accounts jetzt und lasst Euch von den nachfolgenden Tipps für sichere Passwörter inspirieren.
Was ist ein sicheres Passwort?
Auf der Suche nach Hinweisen, wie man ein sicheres Passwort erstellt, findet man unterschiedliche Quellen. Darunter sind auch offizielle Quellen wie das BSI vertreten, wie Golem.de berichtet. Doch muss ein sicheres Passwort wirklich utopische Anforderungen wie die nachstehenden erfüllen?
- Mindestens 16 Zeichen lang
- Groß- und Kleinbuchstaben
- Zahlen und Sonderzeichen
- Am besten gleich mehrere Zahlen und Sonderzeichen, was diverse Online-Portale verlangen
- Auf gar keinen Fall soll man das Passwort irgendwo zu Papier bringen
Doch ist das realistisch? Noch viel wichtiger: Ist das überhaupt notwendig? Die kurze Antwort darauf lautet: nein! Die lange Antwort ist nicht ganz so eindeutig, zeigt aber im Anschluss auf, welche Eigenschaften ein sicheres Passwort tatsächlich besitzen muss.
Aber das ist doch schwierig zu merken
Laufend erscheinen Studien und Statistiken zu häufig verwendeten Passwörtern. Dass man solche, unter anderem 123456, passwort, den eigenen Namen, das Geburtsdatum, Namen der Kinder oder Geliebten etc. nicht verwenden sollte, erscheint nachvollziehbar. Seltsam wird es aber, wenn besagte Studien wie vom Hasso-Plattner-Institut Aussagen treffen und womöglich sogar Ängste schüren wenn kein sicheres Passwort, das alle deren selbst aufgestellte Regeln für sichere Passwörter erfüllt, es in die Bestenliste der meistverwendeten Kennwörter geschafft hat. Na, merkt Ihr was? Wenn die ach so sicheren Passwörter in der Liste der meistverwendeten wären, wären sie wohl auch nicht mehr so sicher. Ein klassischer Fall eines falschen Rückschlusses.
Doch kommen wir zu den Fakten. Was soll ein sicheres Kennwort denn wirklich beinhalten? Wie soll es aufgebaut sein? Muss es wirklich schwierig zu merken sein? Die Antwort auf die letzte Frage lautet ebenso wie vorhin: nein! Mit Hilfe von Eselsbrücken sind auch komplexe Passwörter einfach zu merken. Abgesehen davon gibt es inzwischen viele Passwort-Manager, die ihren Job sicher erledigen. Manche der Produkte sind jedoch kostenpflichtig, was viele Nutzer abschreckt. Sollte man also weiterhin auf manuelle Passwörter setzen, ist es wichtig, keines davon mehrfach zu verwenden. Das muss jedoch nicht dazu führen, dass man sich 30 unterschiedliche Kennwörter merken muss. Es genügt, wenn basierend auf dem Dienst, den man verwendet beispielsweise die ersten und die letzten paar Stellen des Passworts abweichen.
Je zufälliger eine Zeichenfolge erstellt wird, umso sicherer ist sie auch. Denn alles, was nachvollziehbar und „menschlich“ ist, kann auch wieder angegriffen und ausgenutzt werden. Also weg mit den Wörterbüchern. Oder besser gesagt, her mit den Wörterbüchern. Sucht Euch eines der längsten Wörter aus, die ihr finden könnt. Dieses lässt sich einfach modifizieren und die Denkweise einer Eselsbrücke beginnt bereits. Das Wort „Xanthippe“ befindet sich im Duden und steht für eine hysterische Frau. Dieses nehmen wir in unserem Beispiel als Ausgangsbasis. Wir überlegen uns eine kleine Geschichte. Wer an dieser Stelle schon eine Abneigung gegen die Methode hat, weil er nicht kreativ sein möchte, begeht bereits den ersten Fehler. So etwas muss spielerisch geschehen. Das macht das Passwort umso stärker und erleichtert die Erinnerung daran. Wir fragen uns also, was so eine Xanthippe den ganzen Tag macht…was macht eine Xanthippe…1Xanthippe. Aja, damit haben wir die erste Modifikation im Wort erreicht. Eine Xanthippe (1Xanthippe) trägt eine besonders hippe Hose. Hippe Hose…Hip Hop…Hippo! 1Xanthippo! Das war nicht nur ein Freudenschrei, das Ausrufezeichen lassen wir gleich wo es ist: 1Xanthippo!
Um das Wort noch um ein paar Zeichen zu erweitern erinnern wir uns daran, dass Hippos am Nil leben. Wir machen daraus ein 1Xanthippo!N1l – damit ist das sichere Passwort inklusive Zahlen und Satzzeichen fertig. Wir bitten nun, uns nicht auf dieses abstrakte Beispiel festzunageln. Es gibt duzend Möglichkeiten ein solches Passwort zu erstellen. Diese spielerische Methode ist jedoch eine, die zweifelsohne im Gedächtnis bleibt. Des weiteren ist sie allgemein verständlich und kann ohne jeden Mehraufwand, also ohne zusätzliche Tools durchgeführt werden. Um dieses sowohl für Facebook, als auch Google verwenden zu können, modifizieren wir es einerseits zu ok1Xanthippo!N1lac und le1Xanthippo!N1loo. Wer erkennt das Muster? Es sind zu Beginn jeweils die beiden letzten Buchstaben, am Ende des Passworts der 2. und 3. Buchstabe des Dienstes („ok“ und „ac“ für Facebook, „le“ und „oo“ für Google). Wir raten dazu auch hier möglichst kreativ vorzugehen und nicht einfach nur ein „f“ für Facebook hinten anzuhängen. Denn wenn ein Kennwort geleakt werden sollte, könnte dieses Muster wiederum jemand durchschauen. Noch sicherer wäre es natürlich ein paar Buchstaben in der Mitte sowie an weiteren Stellen des Passworts zu verbauen. Dadurch werden die Möglichkeiten immer mehr. Zu merken ist das Kennwort trotzdem noch sehr einfach.
Wie sichert man seine Accounts noch?
2-Schritt-Authentifizierung
Um die Sicherheit bei den eigenen Online-Accounts zusätzlich zu steigern, gibt es unterschiedliche Möglichkeiten. Besonders effizient ist die so genannte 2-Schritt-Authentifizierung. Bei dieser wird ein zusätzlicher Sicherheitsschritt eingeführt. In den meisten Fällen findet die 2. Hürde, nach eingeben des Passworts, was die 1. Hürde ist, über das Smartphone statt. Entweder indem ein Code via SMS an das Smartphone verschickt wird oder über eine Authentifizierungs-App. Alternativ auch via Mail, was nicht zwangsläufig mit dem Smartphone in Verbindung steht. Der vergrößerte Sicherheitsfaktor besteht darin, dass es unwahrscheinlich ist, dass ein Angreifer Zugriff auf mehrere Systeme gleichzeitig hat. Während er also beispielsweise den privaten Computer kompromittiert oder ein Passwort ergattert haben könnte, grenzt es an das Unmögliche, dass dieselbe Person zum gleichen Zeitpunkt auch das Smartphone des gleichen Opfers in Besitz hat. Dass dieses in den meisten Fällen wiederum mit einem Code oder Entsperrmuster geschützt ist (oder auf jeden Fall sein sollte), thematisieren wir an dieser Stelle gar nicht. Fazit: 2-Step-Authentification überall aktivieren, wo es angeboten wird.
Passwort-Manager verwenden
Also doch ein Passwort-Manager? Ja, diese machen durchaus Sinn. Besonders beliebt sind Lösungen wie 1Password oder LastPass. Tools wie diese ermöglichen es, unglaublich schwierige Passwörter für jeden einzelnen Account zu besitzen obwohl man sich selbst nur ein Masterpasswort merken muss. Das ist praktisch, allerdings nicht jedermanns Sache. Sollte man wenig IT-Wissen mitbringen, kann aber auch das gute alte Papier nützliche Dienste erweisen. Das ist grundsätzlich nichts anderes, als ein Offline-Passwort-Manager. Dass dieser Zettel aber nicht direkt am Bildschirm hängen, sondern gut verstaut und nur im Notfall ausgepackt werden soll, müsste eigentlich selbstverständlich sein. Wir erwähnen es zur Sicherheit trotzdem. Fazit: Passwörter notieren ist nicht verboten. Der Zettel muss aber gut versteckt sein und darf nicht am Schreibtisch vor dem Computer liegen. Er soll als Retter in der Not dienen, nicht als notwendiges Utensil für den Online-Alltag. Noch sicherer ist natürlich ein Passwort-Manager.
Geoblocking: Zugriff nur im Inland
Als ebenfalls relativ effizient erweist sich so genanntes Geoblocking. Dabei werden IP-Adressen und Zugriffe von Orten gesperrt, die unüblich erscheinen. Wenn man also auf sein Online-Banking immer aus Deutschland zugreift, ist es unwahrscheinlich, dass das plötzlich aus China geschieht. Sollte nun jemand außerhalb Deutschlands Zugriffsversuche starten, wird er vom System ausgesperrt. Für etwaige Urlaube und Dienstreisen kann man natürlich im Vorfeld Ausnahmen beantragen. Dieses System haben vor allem Banken im Einsatz. Doch auch internationale Dienste wie Facebook, Google oder Microsoft verwenden Geoblocking. Letztere sogar alle, ohne es je eingestellt zu haben. Dort ist Geoblocking also standardmäßig aktiv. Bei Banken und Online-Shops ist es meist manuell zu beantragen oder im Profil zu aktivieren. Fazit: Einmal überprüft und korrekt eingestellt kann diese Funktion eine Menge Ärger ersparen.
Passwörter regelmäßig ändern
Wir wissen, dass Ihr wisst, dass dieser Punkt ein essentieller ist. Wir wissen aber auch, dass viele von Euch es trotzdem nicht tun. Das Passwort in regelmäßigen Abständen zu ändern ist, wie sich eine Tafel Schokolade zu verkneifen. Man weiß, man sollte es tun, bringt es aber doch nicht über das Herz. Jedenfalls nicht immer. Oder man macht heute mal eine Ausnahme. Darüber freuen sich Jene Angreifer, die auf Zeit setzen. Denn früher oder später ist ein Account bei einem Passwort-Leak dabei. Oder der Hacker hatte bis dahin genug Zeit um unbemerkt mit Bruteforce-Attacken ein Passwort ausfindig zu machen. Wenn man ein Passwort an mehreren Stellen verwendet, kann das böse enden. Fazit: Besiegt Euer inneres Faultier und ändert das Passwort alle 180 Tage. Besser noch alle 90 Tage.
VPN-Dienst verwenden
Ein schwaches Passwort bzw. wenn ein Kennwort erst in falsche Hände geraten ist, ändert ein VPN-Dienst nichts mehr daran. Er beugt jedoch präventiv vor, dass es nicht dazu kommt. Denn mit Hilfe eines VPNs wird der eigene Internet-Traffic über einen anderen Server umgeleitet. Das steigert nicht nur die Privatsphäre, sondern erschwert auch Angriffe. Man ist dadurch immer über eine sichere Verbindung unterwegs, sofern man einen vertrauenswürdigen VPN-Anbieter verwendet. Zusätzlich bieten viele VPN-Dienste Zusatzoptionen an, die von sich aus zwielichtige Datenübertragungen blockieren und prüfen. Der Faktor Sicherheit wird also deutlich erhöht. Fazit: VPN-Dienste gibt es viele. Einen davon zu verwenden erhöht die Sicherheit und auch die Privatsphäre im Netz.
Accounts überprüfen: geleakten Daten keine Chance geben
Das Ausmaß an kompromittierten Accounts und deren Daten ist enorm. Darunter können sich Accounts befinden, die man schon lange nicht mehr verwendet. Ich selbst achte sehr auf Datenschutz und Privatsphäre. Trotzdem waren im Check gleich zwei veraltete Accounts von mir von Datenleaks betroffen. Wie man das herausfindet? Mit Diensten wie https://haveibeenpwned.com/ oder https://sec.hpi.de/leak-checker/search. Auch deutschsprachige Alternativen wie https://www.experte.de/email-check gibt es. Diese prüfen, ob sich die eigene Mailadresse in den veröffentlichten Datensätzen aus Leaks befindet. Wenn ja, wird sofort angezeigt, um welche Portale es sich handelt. Nun kann man etwas dagegen unternehmen – bevor es jemand anderer tut. Theoretisch bergen solche Datenleak-Prüfdienste auch die Gefahr, dass sie jemand ausnützt, weswegen sie nicht ganz unumstritten sind. Jedoch sind die Datensätze an anderer Stelle ohnehin bereits veröffentlich. Es macht also wenig Unterschied und kann in diesem Fall von sehr großem Vorteil sein, die eigenen Benutzerkonten zu sichern. Fazit: Ein kurzer Check und schon weiß man, wie gefährlich die eigenen Accounts leben. Dauert nicht lange und ist kostenlos, also worauf warten?
Wie viel (Nerven) kostet eigentlich ein gestohlener Account?
Wir möchten mit unserem Artikel zu sicheren Kennwörtern bei Online-Benutzerkonten keine Weltuntergangsstimmung verbreiten. Ebenso wenig möchten wir mit Angstmotiven spielen. Aber ein gestohlener Account kann nun mal zum Problem werden. Sei es bei der Bank, auf Amazon oder auch in Portalen, wo an sich kein Geld im Spiel ist. Auch Identitätsdiebstähle können sehr große Konsequenzen nach sich ziehen.
Im Allgemeinen möchten wir also darauf hinweisen, stets Acht zu geben, gut auf die persönlichen Daten zu achten und dass es nicht ratsam ist, jeden Passwort-Tipp, den man online liest, blind zu befolgen. Das gilt auch für unseren Beitrag. Obwohl wir der Meinung sind, dass wir damit für alle Zielgruppen gute Tipps vermitteln, gilt es diese Ratschläge nach eigenem Ermessen zu hinterfragen und gegebenenfalls anzupassen. Jeder ist selbst für die Sicherheit seiner Accounts verantwortlich. Zumindest aus Sicht der vergebenen Passwörter. Behandelt Eure Accounts also auch als etwas, was wertvoll ist. Etwas, wo man Zeit und Denkvermögen hineinsteckt, um gute, sichere Resultate zu erzielen.