Regelmäßig informieren Meldungen über Hacks, wodurch E-Mail Adressen und dazu passende Passwörter gestohlen wurden. Bei ca. 2 Milliarden gestohlenen Zugangsdaten in den letzten Jahren ist die Wahrscheinlichkeit ganz gut, dass das eigene Konto betroffen ist.
Empfehlenswert für jeden ist eine Suche nach der eigenen E-Mail Adresse über die gängigen Webdienste wie z.B. den Identity Leak Checker des Hasso-Plattner-Instituts. (siehe auch den Artikel Wie kann ich herausfinden ob mein Konto kompromittiert wurde?).
Aber was tun, wenn die Antwort des Web-Dienstes die Bestätigung enthält, dass die eigene Adresse betroffen ist?
Klar: Passwörter für die betroffene E-Mail Adresse bei dem beklauten Online-Dienst so schnell wie möglich ändern. Wenn das Passwort auch für andere Online-Dienste verwendet wurde, dann natürlich auch da.
Aber vielleicht ist es auch an der Zeit, sich grundsätzlich damit zu beschäftigen, wie in Zukunft mit Passwörtern umgegangen wird.
Passwörter: Sicher und unterschiedlich
Wir glauben gern daran, dass die Entwickler hinter bekannten Webseiten genügend Know-How hätten die besten Algorithmen für die Absicherung unserer Benutzerdaten zu verwenden. Vorfälle wie diese zeigen uns aber vor allem eines: Es gibt keine absolute Sicherheit für unsere Benutzerdaten.
Betrachten wir ein einzelnes Passwort, können wir recht gut die Voraussetzungen für ein sicheres Passwort beschreiben:
- Es muss lang genug sein: 10-14 Zeichen,
- Groß- Kleinschreibung, Zahlen und Sonderzeichen
- Keine Namen, Geburtsdaten oder andere persönliche Informationen
- Keine Wörter, die über ein Wörterbuch herausgefunden werden können sowie Ersetzungen von Buchstaben, die leicht nachvollzogen werden können (z.B. 1 für I).
- Keine Kombinationen auf der Computertastatur wie z.B. asdf1234.
- An einfache Passwörter Sonderzeichen anzuhängen oder Passwörter für unterschiedliche Webseiten durch einzelne Buchstaben unterschiedlich zu machen ist auch keine gute Idee.
Das Problem der meisten Menschen wie du und ich ist, dass wir uns nicht mehr als 20-30 solcher komplizierter Passwörter für unterschiedliche Zugänge merken können ;-). Wir brauchen ein System, das uns dabei unterstützt.
2-Faktor Authentifizierung immer nutzen
Bietet ein Online-Dienst eine Absicherung über einen weiteren Faktor an als lediglich ein Passwort, ist das eine gute Option. In aller Regel ist die zweite Komponente etwas, das im Besitz des Anwenders ist. Typischerweise ist dies bei den Online-Diensten das Smartphone oder Handy bzw. die zugehörige Telefonnummer.
Ein Hacker kann das Konto nicht knacken, wenn er nicht im Besitz dieser Komponente ist. Bei vielen Online-Diensten wird dieser Service aber noch nicht angeboten.
Einen Passwort-Manager zu verwenden ist nicht die schlechteste Option
Es gibt eine Reihe von guten Passwort-Managern. Eine Google Suche hilft hier schon sehr gut weiter. Was kannst du von deinem Passwort-Manager erwarten?
- Schlägt sichere Passwörter vor und speichert deine Zugangsdaten
- Verschlüsselt deine Zugangsdaten mit einem sicheren Algorithmus
- Füllt Login-Formulare automatisch aus
- Erkennt Passwort-Änderungen und bietet an, die geänderten Daten zu speichern
- Funktioniert mit allen deinen Geräten und Betriebssystemem
- Funktioniert sowohl im Browser als auch mit Anwendungen, z.B. auf deinem Smartphone
- Unterstützt Zwei-Faktor-Authentifizierung mit einem Stück Hardware als einem der Faktoren
Wie weiß ich welchem Passwort-Manager ich vertrauen kann? Nicht einfach zu beantworten. Berücksichtige dabei folgendes:
- Ein Passwort-Manager kennt alle deine Zugangsdaten. Du musst den Menschen vertrauen, die hinter dem Passwort-Manager stehen.
- Ein browser basierter Passwort-Manager ist von Hackern auf der ganzen Welt erreichbar.
- Verschlüsselungen sind nur eine begrenzte Zeit sicher.
Trotz aller Zweifel: Es ist normalerweise besser einen Passwort-Manager zu verwenden als unsichere Passwörter oder gleiche Passwörter für veschiedene Webseiten.
Mach dich unabhängig mit einer Passwortkarte
- Mit einer Passwortkarte merkst du dir Passwörter ohne deinen Passwort-Manager parat zu haben. Hast du immer eine online-Verbindung mit deinem Gerät? Was passiert, wenn dein Gerät gestohlen wurde?
- Deine Passwortkarte kann nicht zum Ziel weltweit operierender Hacker werden, denn sie liegt nicht auf einem Webserver.
- Deine Freunde können deine Passwortkarte sehen und wissen trotzdem deine Passwörter nicht. Nur du kennst die Regel zum Bestimmen des Startpunktes auf der Passwortkarte und das Muster mit dem du das Passwort abliest.
Interessiert, wie eine Passwortkarte funktioniert? Die folgenden Links geben dir weitere Infos zu Passwortkarten und Passwort-Managern.