Inhaltsverzeichnis
Mails checken, Musik runterladen, Kontostand online überprüfen, Bücher bestellen, Blogbeiträge und Statusmeldungen posten: Wir alle nutzen täglich etliche Dienste im Netz. Und eigentlich sollten wir für jeden dieser Dienste ein eigenes Passwort haben. Und zwar nicht Svenni2012, sondern sowas wie Qtrz#05??nK. Denn eigentlich sind nur solche sinnlosen Kombinationen wirklich sicher. Aber jetzt mal ehrlich, wie sieht es bei Euch aus?
Eigentlich wissen wir natürlich alle, dass Bequemlichkeit beim Thema Passwörter schwer ins Auge gehen kann. Trotzdem handeln wir fast alle weiter nach dem Motto: "Wird schon gut gehen" und setzen auf so naheliegende Dinge wie den Namen der Freundin oder der Kinder oder vielleicht auf das eigene Geburtsdatum. Das waren noch nie optimale Passworte, doch in Zeiten von Social Media ist das sträflicher Leichtsinn. Deshalb heute im Blog ein paar Tipps, wie sichere Passwörter aussehen und welche Möglichkeiten es gibt, sich viele verschiedene Passwörter gut zu merken.
Gute Passwörter werden immer wichtiger
Mit hochentwickelter Software ist es für Hacker heute ein leichtes, schlechte Passwörter reihenweise zu knacken. Es muss aber nicht unbedingt die großangelegte Hackerattacke sein, bei der Dir Deine Passwörter geklaut werden. Unter Umständen reicht schon eine genauerer Blick auf Deine Social-Media-Aktivitäten. Wer es darauf anlegt, kann hier frei verfügbare Daten massenweise sammeln, aus denen sich häufig Passwörter ableiten lassen. Heißt: Wenn Du bei Facebook, Google+, Pinterest, Twitter... aktiv bist, ist es umso wichtiger, Dir Gedanken über ein gutes Passwort zu machen.
Passwort_Do's und Don'ts
An den Passwort-Favoriten der Internetnutzer hat sich allen Warnungen zum Trotz nicht viel geändert: 123456 und 12345 stehen ganz oben auf der Liste, genauso wie Password. Da freut sich der Hacker und kann sich aufwendige Programme sparen... Deshalb hier noch mal übersichtlich aufgelistet, was Du bei deinem Passwort besser vermeiden solltest:
- Kein Name
- kein umgangssprachliches Wort
- keine Bezeichnungen aus dem Wörterbuch
- keine Bestandteile Deiner E-Mail-Adresse
- kein Passwort sollte kürzer als acht Zeichen sein
- nicht aus Daten bestehen, die zu erraten sind, sobald man etwas über den Nutzer weiß (neben Facebook und Co. kann es ja zum Beispiel auch passieren, dass Dein Smartphone geklaut wird...)
Daraus ergibt sich in logischer Konsequenz für sichere Passwörter:
- Je länger, desto besser
- Je zufälliger, desto besser
- Je gemischter, desto besser: Ein Passwort sollte mindestens vier verschiedene Arten von Schriftzeichen beinhalten. Also munter Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen kombinieren, dann seid Ihr schon auf einem guten Weg.
- Sonderzeichen nicht am Anfang oder am Ende des Passwortes einsetzen, sondern am besten mittendrin
Sichere Passwörter finden
Das Problem an der Sache: Natürlich kann jeder völlig willkürlich Passwörter erzeugen, indem er wild auf die Tastatur kippt. Nur: Wer soll sich das merken? Deshalb haben sich kluge Menschen kluge Modelle ausgedacht, mit denen sich gute Passwörter nach System erstellen lassen.
Dazu gehört die sogenannte Bilderegel. Grundlage ist hier ein Grund-Passwort, dass Du Dir gut merken kannst. Wenn Du zum Beispiel als Kind am liebsten Kartoffelbrei gegessen hast, könnte das der Kartoffelbrei sein. Alternativen sind der Name Deine ersten Stofftiers, Deiner Oma etc. Wichtig: Pass auf, dass es kein Name und kein Wort ist, über das Du schon mal in Deinem Blog oder bei Facebook geplaudert hast.
Methode 1: Sicherer Kartoffelbrei
Das Grundpasswort wird dann für jeden passwortgeschützten Dienst, den Du nutzt, individuell verändert - Achtung, jetzt kommt die kreative Herausforderung! Du musst Dir jetzt nämlich selber ein System überlegen, wie Du das Grundpasswort variierst. Bleiben wir mal beim Kartoffelbrei. Damit aus dem ehemaligen Lieblingsessen ein sicheres Passwort wird, fehlen noch Zahlen und Sonderzeichen.
Eine Möglichkeit wäre es, Buchstaben durch ähnlich aussehende Zahlen zu ersetzen. Aus dem b wird dann eine 6: Kartoffel6rei. o wird O: Kart0ffel6rei. Fehlen noch die Sonderzeichen. Hier beschließe ich mal für mich, dass meine i's künftig zu ! werden. Kart0ffel6re!. Leider steht das Sonderzeichen am Schluss, soll es ja aber eigentlich nicht. Es gibt also noch Verbesserungspotenzial. Aber das Grundprinzip ist jetzt klar, oder?
Der Vorteil eines selbstausgedachten Systems: Wenn man sich einmal gründlich Gedanken gemacht hat, kann man es sich in der Regel ganz gut merken.
Tipp: Sicherheits-Experten raten dazu, sich zwei Grundpasswörter zu überlegen. Eines für alle Dienste, in die Du hohes Vertrauen hast (sprich: alle, denen Du zum Beispiel Deine Kreditkartendaten anvertraust) und eines für alle Dienste, bei denen Du Dir in punkto Vertrauen weniger sicher bist.
Methode 2: Geschichten erzählen
Je absurder, desto besser: Zwei Eisbären tanzen Tango am Pool. Aus so einer Mini-Story in Kombination mit einem selbstausgedachten Abwandlungssystem lassen sich ganz wunderbare Passwörter machen. Aus meinen Eisbären könnte dann zum Beispiel folgendes Passwort entstehen: 2E!sbären_Tang0_P8l. Für Außenstehende dürfte das schwer zu knacken sein und für mich ist es gut zu merken.
Zusätzliche Schutzmaßnahmen
Gute Passwörter sind das eine, gute Schutzmaßnahmen das andere. Deshalb solltet Ihr auch sichere Passwörter regelmäßig wechseln (optimal alle vier Wochen). Passwörter bitte nicht im Browser speichern und am besten den Browserverlauf jeden Tag löschen, wenn Ihr Euren Rechner runterfahrt.
Passwort-Manager - plus und minus
Im Prinzip handelt es sich dabei um eine Datenbank für Eure Passwörter, die entweder online funktioniert (also auch von anderen Rechnern oder Eurem Smartphone aus) oder nur von einem bestimmten Rechner aus. Für was Ihr Euch entscheidet, hängt - logisch - von Eurer Art der Internetnutzung ab. Realistisch ist in Zeiten von Smartphone und Tablets aber eher die Variante, die sowohl Zuhause wie auch unterwegs funktioniert.
Das große Plus der Passwort-Manager: Ihr könnt eine Vielzahl der unterschiedlichsten und völlig zufällig augewählten Passwörter speichern, ohne dass Ihr Euch Gedanken darüber machen müsst, ob Ihr Sie Euch merken könnt. Anders als bei der Bilderegel braucht Ihr Euch kein System überlegen, das irgendein Superhirn knacken könnte.
Das Minus: Ihr speichert alle Passwörter an einer Stelle und habt dafür nur noch ein Master-Password. Wenn das geknackt wird, ist alles auf einen Schlag gehackt.
Tipp: Überlegt Euch vorab, welche Passwörter Ihr einer Datenbank anvertrauen wollt und welche Ihr besser für Euch behaltet. Sinnvoll ist es zum Beispiel, heikle Passwörter - Stichwort Online-Banking - entweder im Kopf abzuspeichern oder auch auf Papier zu notieren und an einem sicheren Ort abzulegen.
Passwort-Manager Beispiel 1: Keepass
Keepass ist ein kostenlos herunterladbares Open-Source-Programm, mit dem Du deine Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank speichern kannst. Diese ist mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt. Ein Passwort-Generator sorgt dafür, dass Du ganz einfach immer wieder neue Passwörter erzeugen kannst. Gesichert ist der Passwort-Tresor durch ein Master-Passwort, dass Du optimaler Weise nach unseren Tipps und Tricks für sichere Passwörter erzeugst.
Keepass steht mittlerweile in 40 verschiedenen Sprachen zur Verfügung und beinhaltet umfangreiche Funktionen. Entsprechend ist die Installation etwas aufwendiger - auf der Keepass-Webseite findet sich dazu aber ein gut nachvollziehbares "First-Steps-Tutorial" in englischer Sprache.
Passwort-Manager Beispiel 2: Lastpass
Als gute Alternative zu Keepass gilt Lastpass. Dabei handelt es sich um ein kostenloses Add-on für den Internet Explorer, Google Chrome und Firefox. Lastpass verwaltet alle Passwörter, die Du eingibst, verschlüsselt. Du kannst Sie weltweit abrufen, wenn Du die dazu nötige Erweiterung in deinem Browser installiert hast und angemeldet bist.
Neben Passwörter können hier auch anderen sensible Daten im "Tresor" gespeichert werden. Eine Bildschirmtastatur soll vor sogenannten Keyloggern schützen, zusätzlich gibt es ebenfalls einen Passwort-Generator.
Die Installation ist im Vergleich zu Keepass einfacher, zur Sicherheit gibt es aber auch bei Lastpass ein Tutorial für den unkomplizierten Einstieg.
Tipp: Zusätzliche Absicherung
Egal ob supergutes Passwort oder vorbildlich gesicherter Passwort-Manager. Hilft alles wenig bis nichts, wenn Euer von einem Schadprogramm ausspioniert wird. Als Ergänzung ist es deshalb wichtig, die Software auf Eurem Rechner wirklich regelmäßig zu aktualisieren (und nicht die Updates auf immer später zu verschieben...) und sich um einen ordentlichen Virenschutz zu kümmern.
Was vielen Internetnutzern nicht bekannt ist: Bei einer ganzen Reihe von Diensten gibt es zusätzliche Schutzmaßnahmen, die allerdings erst aktiviert werden müssen.
Bei Paypal besteht zum Beispiel die Möglichkeit, das System so einzustellen, dass jedes Mal, wenn Ihr Euch einloggt, ein Sicherheitsschlüssel erzeugt und per SMS verschickt wird. Ihr müsst dann das Passwort und den Code eintippen, um Euch anzumelden.
Bei Facebook und Google könnt Ihr ebenfalls zusätzliche Authentifizierungsstufen aktivieren, um es Hackern schwerer zu machen.
Soweit unsere Infos zum Passwort-Management. In Teil 3 unserer Serie beschäftigen wir uns in der kommenden Woche mit dem Für und Wider sogenannter Passwort-Prüfer und geben Euch noch ein paar Tipps, was Ihr speziell bei der Internetnutzung unterwegs (zum beispiel im Urlaub) beachten solltet.
Gefühlte Sicherheit
Als Nutzer großer Dienste wie LinkedIn und last.fm fühlt man sich eigentlich sicher. Wer so etabliert ist und im Fokus steht, sollte die Daten seiner User bestmöglich vor Hackerangriffen gesichert haben. Die Realität sieht anders aus: Vor kurzem bekamen die Nutzer von LinkedIn, last.fm und der Dating-Plattform eHarmony unangenehme Post: Alle drei Dienste waren gehackt worden - und die Hacker hatten Millionen von Kundendaten gestohlen.
Hochjunktur bei Passwort-Prüfern
Solche Ereignisse sorgen bei den sogenannten Passwort-Prüfern sofort für Hochbetrieb. Häufig tauchen sogar unmittelbar nach Bekanntwerden der unerfreulichen Botschaften neue Seiten im Netz auf, die besorgte Nutzer dazu auffordern, ihr Passwort einzugeben und testen zu lassen, ob ihr Account zu den geknackten gehört. Im aktuellen Fall ist leakedin eine dieser Seiten.
Das Expertenurteil zu diesen Seiten ist eindeutig: Finger weg!
Ein falsches Sicherheitsgefühl
Dabei geht es gar nicht in erster Linie darum, dass auch hinter solchen Diensten Menschen stecken könnten, die es nur auf Eure Passwörter abgesehen haben. Es geht prinzipiell um das nicht kalkulierbare Risiko, einer fremden Seite sein Passwort anzuvertrauen. Ihr wisst nicht, was auf dieser Seite mit Eurem Passwort geschieht. Wird es gespeichert? An andere Seiten weiter übermittelt? Ist die Seite überhaupt sicher davor, nicht selber ein Opfer von Hackern zu werden?
Dazu kommt die Frage: Wie zuverlässig funktioniert die Prüfung? Das Ergebnis "Nicht geknackt" lässt einen natürlich erst einmal aufatmen. Dann kann man ja sein Passwort weiter behalten... Schlechte Idee. Denn nur selten ist das wirkliche Ausmaß einer Hacker-Attacke eindeutig zu benennen. Und wer sagt, dass das System vielleicht nicht schon vorher mal geknackt wurde, in einer weniger spektakulären Variante?
Grundsätzlich gilt die Regel: Haltet Euer Passwort geheim und gebt es so selten und an so wenigen Orten wie möglich ein.
Ohne Alternative: Ein neues Passwort
Das einzig richtige Verhalten nach einer Hacker-Attacke ist deshalb: Löscht Euer altes Passwort und legt Euch ein neues zu. Und da Hacker schlau sind und von einem Passwort auf das andere schließen können, kümmert Ihr Euch am besten auch gleich um Eure anderen Accounts.
Übrigens absolut unerfreulich: Bei den drei zuletzt gehackten großen Plattformen nutzten den Usern leider auch vorbildlich erstellte komplexe Passwörter nichts. Leider hatten alle Dienste bei ihren Sicherheitsmaßnahmen geschlampt. Erst nach Bekanntwerden des Hackerangriffs versprachen sie, sofort nachzubessern. Das nützt den Usern, deren Daten jetzt im Netz stehen, herzlich wenig...
Die Konsequenz, die Ihr daraus ziehen solltet: Nutzt verschiedene Passwörter für verschiedene Dienste und wechselt Sie regelmäßig, um es Hackern etwas schwieriger zu machen.
Skeptisch sein hilft auch im Netz
Abschließend jetzt noch ein paar Worte zum Thema Sicherheit unterwegs. Generell gilt: Eine gesunde Portion Skepsis schadet nie. Konkret bedeutet das, beim Einwählen in fremde Netzwerke immer darauf zu achten, dass Ihr eine verschlüsselte Verbindung zum Server nutzt - daran zu erkennen, dass die jeweilige Adresse mit https beginnt.
Ein großes Risiko sind Internetcafés, weil Ihr hier nicht nur ein fremdes Netz, sondern auch noch einen fremden Rechner benutzt. Ihr könnt nicht wissen, welche Daten protokolliert werden und was die Betreiber des Internetcafés damit machen - böse Menschen gibt es leider überall. Also, wenn es nicht unbedingt sein muss, spart Euch das Internetcafé lieber. In Zeiten von Smartphone sund Co. ja eigentlich kein großes Problem!