Passwörter
Passwörter. Wir alle treffen früher oder später auf die Schlüssel des Internets. Jüngere Menschen meist durch das Erstellen des ersten Social Media Accounts und unerfahrene mit ihren ersten digitalen Lohnabrechnungen.
Die Routine
Gerade bei den ersten Gehversuchen ist das Passwortfeld eher mühsam, weil das zuerst eingegebene Passwort nicht den Sicherheitsrichtlinien entsprich. Es ist etwas, dass man einfach hinter sich bringen möchte. Die Routine, die beim Erstellen eines Nutzerkontos entsteht, lässt schnell vergessen, wie Wichtig die Wahl des richtigen Passworts eigentlich ist.
Immer dasselbe Passwort zu verwenden ist ein grosses Problem.
Ich behaupte mal aus dem Bauch heraus, dass die meisten ein Passwort mit mittlerer Sicherheit wählen. Viel schlimmer wird vermutlich die Tatsache sein, dass für jeden Account immer dasselbe Passwort verwendet wird. Es ist nun mal einfacher, sich ein Passwort zu merken, anstatt mehrere. Und das ist ein grosses Problem.
Wir vertrauen darauf, dass unsere Zugangsdaten an einem sicheren Ort abgelegt sind. Ein kurzer Blick auf den Firefox Monitor zeigt aber, dass das nicht wirklich der Fall ist. Selbst Grössen wie LinkedIn bleiben nicht verschont.
Die richtige Wahl
„Verwende mindestens einen Grossbuchstaben. Nutze ein Sonderzeichen. Das Passwort muss mindestens eine Zahl enthalten.“
Diese Anforderungen erhöhen die Sicherheit des Passworts zwar (… ein wenig), aber selbst die Pf@nn3
kann mittels Bruteforce-Angriff in wenigen Minuten geknackt werden.
Die folgenden Regeln sollen dir ein Gefühl dafür geben, was man bei der Wahl für ein sicheres Passwort beachten muss. Wie sich das in der Praxis umsetzen lässt, zeige ich später.
1. Verwende ein langes Passwort
Die Passwortlänge ist entscheidend. Die Bratpf@nn3
macht zum Beispiel schon mehr her und verlängert die nötige Dauer, welche ein handelsüblicher Computer zum Herausfinden des Passworts benötigt, von wenigen Minuten auf mehrere Monate. Verwendest du ein genug langes Passwort, könntest du sogar auf die Sonderzeichen und Zahlen verzichten. Die rostige-rote-bratpfanne
überlebt zum Beispiel mehrere hundert Menschenleben.
Umso unverständlicher ist es, dass einige Portale Meldungen wie „Ihr Passwort muss zwischen 6 und 12 Zeichen lang sein“ oder „Das Passwort darf keine Leerzeichen enthalten“ anzeigen. Hier überlege ich mir ehrlich gesagt zweimal, ob ich ein Konto anlegen muss oder nicht.
2. Verwende kein einfaches Passwort
Die am häufigsten verwendeten Passwörter, etwa 123456
oder password
werden in der Regel zuerst geprüft. Auch Passwörter die mit persönlichen Informationen in Verbindung gebracht werden – wie etwa Name, Geburtsdatum oder Wohnort – sind keine gute Wahl. Wählst du ein Passwort, dass lustig klingt (z.B. bier-brau-becher
oder frucht-fleisch-vegetarier
), bist du vermutlich auf dem richtigen Weg. Besteht die Gefahr, dass du das Passwort schnell vergessen könntest, ebenso.
3. Verwende mehrere Passwörter
Die Wahl des Passworts kannst du selbst steuern. Die Infrastruktur, wo das Passwort abgelegt wird nicht. Egal wo du dein Passwort erstellst, es ist grundsätzlich nur eine Frage der Zeit, bis ein Datenleck dein Passwort in Kombination mit deiner E-Mail-Adresse preisgibt, wie die Beispiele bei Facebook oder Twitter zeigen.
Verwende daher für jedes Login ein eigenes Passwort. Du denkst dir vielleicht, dass das nicht so schlimm ist, wenn ein Account abhanden kommt. Dann erstellst du dir eben einfach einen neuen. Doch das Erste was Hacker (meist mittels Software-Algorhytmus) prüfen ist, ob die vom Datenleck betroffene E-Mail- und Passwort-Kombination auch für deinen E-Mail-Account zutrifft. Tut es dass, kann der Hacker im schlimmsten Fall praktisch jeden Account über die Funktion „Passwort zurücksetzen“ übernehmen.
So öffnet dein vor 8 Jahren erstellter und mittlerweile ungenutzter Zugang von Yahoo Tür und Tor zu deinen wichtigsten Logins.
1Password
Mit all diesen Regeln entstehen neue Probleme. Um diese zu bewältigen verwende ich die App 1Password.
Wie der Name es schon sagt, muss ich mir dafür nur ein Passwort merken und habe damit Zugriff auf alle anderen Passwörter.
Auf meinem Macbook, iPhone und iPad nutze ich FaceID, TouchID oder gar meine Apple Watch zum entsperren der Software. Das macht das Ganze einfach und es braucht nicht mehr als meinen Daumen oder mein Gesicht. Mittels Browser-Erweiterungen oder der direkten Integration ins iOS, iPadOS oder Android sind sämtliche Passwörter auf allen Geräten synchronisiert. Auch eine Windows oder Web-Version ist verfügbar.
Ein weiterer Vorteil von 1Password ist, dass du über den sogenannten Watchtower gewarnt wirst, wenn ein Datenleck zu einer deiner E-Mail-Adressen oder Accounts entdeckt wurde.
2-Faktor-Authentifizierung
Ah, da war noch was. Diese Zusatzfunktion, welche oftmals auch unter anderen Namen auftaucht (z.B. 2FA) klingt komplizierter, als sie tatsächlich ist. Dein Passwort wird oft in Verbindung mit der E-Mail-Adresse oder dem Benutzernamen verwendet. Deshalb wird als zusätzliche Sicherheit überprüft, ob du tatsächlich die Person bist, welche sich einloggt. Diese zusätzliche Überprüfung kann auf diversen Wegen geschehen.
Eine davon ist die Authentifizierung via E-Mail. Hier erhältst du eine E-Mail mit dem Zugangscode, welche du im Login-Bereich eingeben musst. Meiner Meinung nach die unsicherste Methode, aber immer noch besser als keine zusätzliche Sicherheitsmethode.
SMS
Sicherer ist die Überprüfung mittels SMS. Der Vorteil liegt auf der Hand. Du musst steht’s ein physisches Gerät für den Empfang dabei haben. Das erschwert den unbefugten Zugriff stark.
photoTAN
Eine weitere Variante ist photoTAN welche oft beim eBanking verwendet wird. Auch hier benötigst du dein Mobiltelefon. Mittels der zur verfügung gestellten App scannst du mit der Kamera ein Muster auf dem Bildschirm und erhältst dadurch den finalen Zugangscode für das Login. Hier wird überprüft, ob Gerät und Nutzer sich im selben Raum befinden. Ein digitaler Händedruck, wenn man so will.
One-Time-Password
Dann gibt’s noch das sogenannte One-Time-Password. Eigentlich nur ein weiterer Name für die Zwei-Faktor-Autorisierung.
Hier bin ich zwar nicht abhängig von einem einzelnen physischen Gerät, brauche aber Zugang zu einer weiteren App, wo ich dieses One-Time-Password hinterlegt habe. Hier findest du eine Liste der Anbieter, welche diese Funktion unterstützen. In 1Password ist das bereits integriert. Aber es können auch andere Apps wie der Google oder Microsoft Authenticator verwendet werden. Step Two macht ebenfalls einen hübschen Eindruck und ist beim App-Abo von Setapp* erhältlich.
* Beim Lösen eines Abonnements von Setapp über diesen Link erhalten wir beide einen Gratismonat.
Vielleicht erinnert sich der Eine oder Andere an den Schlüsselanhänger seiner Bank, welche jeweils eine numerische Zeichenfolge angezeigt hat. Selbe Idee, aber in eine Software integriert. Alle 30 Sekunden ändert sich der Code für die Sicherheitsabfrage.
Worst-Case-Scenario
Fabian Siegismund, ein erfolgreicher YouTuber erzählt eindrücklich was es bedeutet, wenn Konten gestohlen werden. Er hat es am eigenen Leib erlebt.
So Many Tabs hat im August 2021 ein interessantes Video zu Passwortmanagern gemact.
Zusammenfassung
Ich lasse mir von 1Password jeweils ein langes, leicht zu lesendes Passwort erstellen, für den Fall, dass ich tatsächlich mal ein Passwort abtippen muss. Fordert mich die Website dazu auf, Sonderzeichen oder Zahlen zu verwenden, wende ich den sogenannten Leet-Speak (Ersetzen-Trick) an. So wird aus einer E
eine 3
und aus einem a
ein @
. Ich habe Systemeigene Passwort-Manager deaktiviert und diese durch 1Password ersetzt, so muss ich nur an einem Ort Ordnung haben.
Im Winter 2018 hatte ich mir einige Tage Zeit genommen um nicht verwendete Accounts zu löschen und für die Übrigen, einzigartige Passwörter eingerichtet. Wie schaut’s bei dir aus? War der Artikel für dich hilfreich? Ich bin gespannt auf deine Meinung, drum freu ich mich über einen Kommentar von dir.
Kommentare
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
Cooler Tipp, vor gut einem Jahr bin ich bei LastPass gelandet und brauche seither privat dieses App.
Geschäftlich verwende ich nun auch 1Password.
Ich mag eben, dass ich den privaten und geschäftlichen Account in einer App habe. So kann ich je nach Browser und Account selbst entscheiden, wann mir welche Passwörter ausgefüllt werden sollen. Ausserdem soll bald eine vollständig neu entwickelte App für macOS kommen.