· 

Sichere Passwörter und Passwortkarten

1. Einführung

Sichere Passwörter sind in der heutigen Zeit wichtiger als je zuvor. Mit ihnen weisen Sie gegenüber IT-Systemen und Social-Media-Diensten Ihre Identität nach. Bei dem Passwort handelt es sich jedoch um einen schwachen Authentifizierungsmechanismus, da sich jeder, der Ihr Passwort kennt, für Sie ausgeben und somit Ihre digitale Identität annehmen kann.


2. Jedem Account sein eigenes Passwort!

Egal, ob Ihr Google-Account, Ihr Facebook-Profil oder Ihr Bankkonto: Kennt ein Angreifer Ihr Passwort, kann er Ihnen nicht nur digital, sondern auch im realen Leben schaden. Entweder durch Einsehen Ihres gesamten Google-Verlaufs und daraus abgeleiteten Handlungen (z. B. Erpressung), fragwürdige Facebook-Posts oder Leerräumen Ihres Kontos. Je weniger Schaden ein Angreifer mit Ihrem Passwort anrichten kann, desto besser. Der erste Tipp lautet also:

Verwenden Sie niemals ein Passwort für zwei verschiedene Accounts!


3. Besonderer Schutz dem E-Mail- und Google-Account!

Ihr E-Mail- und Google-Account sind besonders hohe Schutzobjekte. In diesen Konten laufen alle Fäden zusammen. Wie Sie sicherlich wissen, müssen Sie bei der Registrierung für diverse Social-Media-Dienste (Facebook, Twitter, Instagram etc.) oder Online-Shops (wie z. B. Amazon) Ihre E-Mail-Adresse angeben. Erhält ein Angreifer unberechtigten Zugang zu Ihrem E-Mail-Konto, kann er Ihr Passwort für Ihre anderen Accounts zurücksetzen. Bei Twitter genügt z. B. bereits ein Klick auf „Passwort vergessen“ und die Angabe der E-Mail-Adresse, mit der Sie sich registriert haben. Im Anschluss erhalten Sie eine Benachrichtigung an diese Adresse mit einem Link, der, wenn Sie ihn anklicken, Ihr Passwort zurücksetzt. Ein weiterer Tipp ist also:

Schützen Sie Ihren E-Mail-Account mit einem besonders starken Passwort!

Oft können Sie Sicherheitsfragen hinterlegen, die Sie richtig beantworten müssen, bevor Ihnen der Link zum Zurücksetzen des Passworts an Ihre E-Mail-Adresse gesendet wird. Hier bietet es sich an, keine wahrheitsgemäßen Angaben zu machen! Warum? Wenn die „Sicherheitsfrage“ z. B. „Wann haben Sie Geburtstag?“, „Wie lautet der Mädchenname Ihrer Mutter?“ oder „In welcher Stadt wurden Sie geboren?“ ist, werden Sie wohl selbst merken, dass der Begriff „Sicherheitsfrage“ hier beinahe zynisch klingt. Ein Blick in Ihre Online-Profile und schon hat man diese Informationen. Mein Tipp:

Machen Sie kryptische (nicht wahrheitsgemäße) Angaben bei den Sicherheitsfragen!

Und in diesem Zusammenhang ebenfalls sinnvoll:

Geben Sie nicht zu viele persönliche Daten von sich preis!

Einige Social-Media-Plattformen bieten an, an Stelle der E-Mail-Adresse die Handynummer zu verwenden. Dies hat den Vorteil, dass ein Angreifer zum Zurücksetzen Ihres Passworts Ihre Handy bräuchte, denn dorthin wird der Bestätigungscode gesendet, den Sie zur Verifizierung nutzen. Dass das jeweilige Portal dann Ihre Handynummer hat, kann man natürlich wiederum als Nachteil interpretieren. Wenn Ihnen das allerdings keine Bauchschmerzen bereitet, kann ich Ihnen folgenden Tipp ans Herz legen:

Verwenden Sie Ihre Handynummer anstelle Ihrer E-Mail-Adresse!

Ihr Google-Konto ist der heilige Gral eines jeden Hackers. In ihm sind u. a. Ihre Standorte, Suchverläufe und (falls Sie aktiv Gmail nutzen) Ihr E-Mail-Konto enthalten.

Schützen Sie Ihren Google-Konto mit einem besonders starken Passwort!


4. Passwörter nicht aufschreiben!

Auch wenn Sie glauben, ein sicheres Passwort gewählt zu haben, sollten Sie es nicht einfach analog speichern, d. h. Zettel mit dem Passwort oder Passworthinweisen sollten absolut tabu sein!

Schreiben Sie Ihre Passwörter nicht für alle sichtbar auf Zettel!

Sie mögen vielleicht denken, dass das nicht so häufig vorkommt. In diesem Fall muss ich Sie enttäuschen: Im Berufsalltag sieht man immer wieder Anwender, die ihr Passwort für alle sichtbar auf dem Schreibtisch platzieren oder sogar an den Bildschirm des Rechners kleben. Dem französischen TV-Sender "TV5Monde" ist ein solcher Fauxpas passiert: In einem TV-Beitrag waren nämlich die Passwörter für die Social-Media Accounts des Senders erkennbar. Zwar waren nicht alle lesbar, doch das Passwort für den YouTube-Account konnte man mit wenig Aufwand entziffern.


5. Passwörter nicht im Browser speichern!

Viele glauben zwar, dass es ausreicht, ein sicheres Passwort zu wählen und dieses im Browser zu speichern, doch das ist noch unsicherer als die analoge Speicherung. Im Chrome-Browser brauchen Sie z. B. nur die Zeile "chrome://settings/passwords" in die URL-Leiste eintragen und können mit einem Klick auf das Augen-Symbol die Passwörter im Klartext anzeigen lassen. Dies erfordert zwar die Eingabe des Admin-Passworts, doch Sie wissen ja mittlerweile, wie wichtig den meisten ihre eigenen Daten sind, weshalb auch diese Hürde meist leicht übersprungen werden kann. Außerdem ist der Diebstahl solcher Informationen via Browser-Hijacking möglich. Beherzigen Sie also folgenden Tipp:

Speichern Sie Passwörter nie im Browser!


6. Regeln für sichere Passwörter

  • Ein sicheres Passwort sollte Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Grundsätzlich gilt: Je länger Ihr Passwort, desto besser. Als Daumenregel gilt: Ein Passwort sollte stets aus mehr als 10 Zeichen bestehen! Wenn Sie komplizierte Passwörter mit vielen Zahlen und Sonderzeichen immer wieder vergessen, können Sie durch die Wahl "einfacher" Passwörter bzw. Passphrasen, die dann entsprechend lang sind, auch ohne Zahlen bzw. Sonderzeichen einen Zugewinn an Sicherheit erzielen. Mit dem Passwort "Dieses Passwort ist quasi unknackbar" bescheren Sie dem Angreifer erstmal einige Stunden Arbeit!
  • Passwörter sollten keine persönlichen Daten enthalten! Vor- und Nachnamen zu integrieren ist eine äußerst schlechte Idee! Wenn Sie z. B. "Viktor Nauert" heißen und als Passwort v.nauert wählen, braucht ein Hacker ca. 7 Minuten, um per Brute-Force-Attacke an Ihr Passwort zu gelangen. Mit einem Guessing-Angriff entsprechend kürzer.
  • Ihr Passwort sollte keine Wörter aus einem Wörterbuch enthalten. Wie ich den Videos "Wie Hacker Passwörter knacken" und "Hacken wie in Mr. Robot" gezeigt habe, sind Angriffe auf Passwörter mit Wörtern aus einem Wörterbuch sehr erfolgsversprechend. Das Passwort "123sicher456" ist somit nicht sicher.

Sie können bereits im kleinen damit beginnen bestimmte Zeichen in Ihrem Passwort durch Sonderzeichen zu ersetzen:

  • Ersetzen Sie alle a's durch @'s. So wird aus "Passwort" dann "P@sswort".
  • Ersetzen Sie jeden Buchstaben s durch ein $-Zeichen. So wird aus "P@sswort" dann "P@$$wort".
  • Sie können zudem Leetspeek (l3375p34k) nutzen, um Ihre Passwörter mit Ziffern stellvertretend für Buchstaben zu versehen. So wird aus "P@$$wort" dann "P@$$w0r7". Beachten Sie aber, dass große Dictionaries dies bereits berücksichtigen.

7. Zwei-Faktor-Authentifizierung

Was ist besser als der alleinige Schutz durch ein Passwort? Richtig! Der Schutz durch ein Passwort und einen weiteren Schlüssel. Dieser Schlüssel kann besitz- oder seinsbasiert sein. Dabei wird zusätzlich zum Passwort entweder ein Hardware-Token oder die Authentifizierung via Fingerabdruck, Retina-Scan und Gesichtserkennung gefordert. Authentifizierungsmechanismen lassen sich nämlich in die drei Bereiche "Wissen" (Passwörter, Mustersperre), "Besitz" (Hardware-Token) und "Sein" (physiologisch und behavioral) unterteilen. Eine Zwei-Faktor-Authentifizierung bietet ein hohes Schutzniveau und deshalb sollten Sie folgenden Tipp beherzigen:

Nutzen Sie die Zwei-Faktor-Authentifizierung, wenn es möglich ist!

Wie bereits erwähnt sollten Sie ein besonderes Augenmerk auf den Schutz Ihres Google-Kontos legen. Da kommt es gerade gelegen, dass Google eine Zwei-Faktor-Authentifizierung anbietet.


8. Passwort-Karten

Auf Deutschland sicher im Netz können Sie sich eine sogenannte Passwort-Karte herunterladen. Hierbei handelt es sich um eine Möglichkeit, sich sichere Passwörter besser merken zu können, da sie (ähnlich wie die Android-Mustersperre) das visuelle Gedächtnis des Menschen ansprechen. Wie funktionieren sie?

  1. Gehen Sie auf die Seite Deutschland sicher im Netz.
  2. Laden Sie sich Ihre ganz persönliche Passwortkarte herunter.
  3. Wählen Sie in dem Koordinatensystem einen Startpunkt (z. B. K3) aus.
  4. Zeichnen Sie von dort (gedanklich) einen Pfad (z. B. 5 nach unten und 5 nach rechts). Die Zeichen entlang des Pfades bilden Ihr Passwort.
  5. Merken Sie sich den Endpunkt (hier P8).

Auf diese Weise können Sie sich sichere Passwörter erzeugen und haben den Schlüssel in Form deiner Passwortkarte stets in der Hosentasche. Sie müssen sich also nur drei Dinge merken, nämlich

  • den Startpunkt,
  • den Verlauf und
  • den Endpunkt.

Trotzdem müssen Sie prüfen, ob das so erzeugte Passwort von dem System, wo Sie sich anmelden wollen, auch akzeptiert wird.

Kommentar schreiben

Kommentare: 0