1. Einführung
Sichere Passwörter sind in der heutigen Zeit wichtiger als je zuvor. Mit ihnen weist du gegenüber IT-Systemen und Social-Media-Diensten deine Identität nach. Bei dem Passwort handelt es sich jedoch um einen schwachen Authentifizierungsmechanismus, da sich jeder, der dein Passwort kennt, für dich ausgeben und somit deine digitale Identität annehmen kann.
2. Jedem Account sein eigenes Passwort!
Egal, ob dein Google-Account, dein Facebook-Profil oder dein Bankkonto: Kennt ein Angreifer dein Passwort, kann er dir nicht nur digital, sondern auch im realen Leben schaden. Entweder durch Einsehen deines gesamten Google-Verlaufs und daraus abgeleiteten Handlungen (z. B. Erpressung), fragwürdige Facebook-Posts oder Leerräumen deines Kontos. Je weniger Schaden ein Angreifer mit deinem Passwort anrichten kann, desto besser. Der erste Tipp lautet also:
Verwende niemals ein Passwort für zwei verschiedene Accounts!
3. Besonderer Schutz dem E-Mail- und Google-Account
Dein E-Mail- und Google-Account sind besonders hohe Schutzobjekte. In diesen Konten laufen alle Fäden zusammen. Wie du sicherlich weißt, musst du bei der Registrierung für diverse Social-Media-Dienste (Facebook, Twitter, Instagram etc.) oder Online-Shops (wie z. B. Amazon) deine E-Mail-Adresse angeben. Erhält ein Angreifer unberechtigten Zugang zu deinem E-Mail-Konto, kann er dein Passwort für deine anderen Accounts zurücksetzen. Bei Twitter genügt z. B. bereits ein Klick auf „Passwort vergessen“ und die Angabe der E-Mail-Adresse, mit der du dich registriert hast. Im Anschluss erhältst du eine Benachrichtigung an diese Adresse mit einem Link, der, wenn du ihn anklickst, dein Passwort zurücksetzt. Ein weiterer Tipp ist also:
Schütze deinen E-Mail-Account mit einem besonders starken Passwort!
Oft kannst du Sicherheitsfragen hinterlegen, die du richtig beantworten musst, bevor dir der Link zum Zurücksetzen des Passworts an deine E-Mail-Adresse gesendet wird. Hier bietet es sich an, keine wahrheitsgemäßen Angaben zu machen! Warum? Wenn die „Sicherheitsfrage“ z. B. „Wann haben Sie Geburtstag?“, „Wie lautet der Mädchenname Ihrer Mutter?“ oder „In welcher Stadt wurden Sie geboren?“ ist, wirst du wohl selbst merken, dass der Begriff „Sicherheitsfrage“ hier beinahe zynisch wirkt. Ein Blick in deine Online-Profile und schon hat man diese Informationen. Mein Tipp:
Mache kryptische (nicht wahrheitsgemäße) Angaben bei den Sicherheitsfragen!
Und in diesem Zusammenhang ebenfalls sinnvoll:
Gib nicht zu viele persönliche Daten von dir preis!
Einige Social-Media-Plattformen bieten an, an Stelle der E-Mail-Adresse die Handynummer zu verwenden. Dies hat den Vorteil, dass ein Angreifer zum Zurücksetzen deines Passworts dein Handy bräuchte, denn dorthin wird der Bestätigungscode gesendet, den du zur Verifizierung nutzt. Dass das jeweilige Portal dann deine Handynummer hat, kann man dann natürlich wiederum als Nachteil interpretieren. Wenn dir das allerdings keine Bauchschmerzen bereitet, kann ich dir folgenden Tipp ans Herz legen:
Verwende deine Handynummer anstelle deiner E-Mail-Adresse!
Dein Google-Konto ist der heilige Gral eines jeden Hackers. In ihm sind u. a. deine Standorte, Suchverläufe und (falls du aktiv Gmail nutzt) dein E-Mail-Konto enthalten.
Schütze dein Google-Konto mit einem besonders starken Passwort!
4. Passwörter nicht aufschreiben!
Auch wenn du glaubst, ein sicheres Passwort gewählt zu haben, solltest du es nicht einfach analog speichern, d. h. Zettel mit dem Passwort oder Passworthinweisen sollten absolut tabu sein!
Schreibe deine Passwörter nicht für alle sichtbar auf Zettel!
Du magst vielleicht denken, dass das nicht so häufig vorkommt. In diesem Fall muss ich dich enttäuschen: Im Berufsalltag sieht man immer wieder Anwender, die ihr Passwort für alle sichtbar auf dem Schreibtisch platzieren oder sogar an den Bildschirm des Rechners kleben. Dem französischen TV-Sender "TV5Monde" ist ein solcher Fauxpas passiert: In einem TV-Beitrag waren nämlich die Passwörter für die Social-Media Accounts des Senders erkennbar. Zwar waren nicht alle lesbar, doch das Passwort für den YouTube-Account konnte man mit wenig Aufwand entziffern.
5. Passwörter nicht im Browser speichern!
Viele glauben zwar, dass es ausreicht, ein sicheres Passwort zu wählen und dieses im Browser zu speichern, doch das ist noch unsicherer als die analoge Speicherung. Im Chrome-Browser brauchst du z. B. nur die Zeile "chrome://settings/passwords" in die URL-Leiste eintragen und kannst mit einem Klick auf das Augen-Symbol die Passwörter im Klartext anzeigen lassen. Dies erfordert zwar die Eingabe des Admin-Passworts, doch du weißt ja, wie wichtig den meisten ihre eigenen Daten sind, weshalb auch diese Hürde meist leicht übersprungen werden kann. Außerdem ist der Diebstahl solcher Informationen via Browser-Hijacking möglich. Beherzige also folgenden Tipp:
Speichere Passwörter nie im Browser!
6. Regeln für sichere Passwörter
- Ein sicheres Passwort sollte Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Grundsätzlich gilt: Je länger dein Passwort, desto besser. Als Daumenregel gilt: Ein Passwort sollte stets aus mehr als 10 Zeichen bestehen! Wenn du komplizierte Passwörter mit vielen Zahlen und Sonderzeichen immer wieder vergisst, kannst du durch die Wahl "einfacher" Passwörter bzw. Passphrasen, die dann entsprechend lang sind, auch ohne Zahlen bzw. Sonderzeichen einen Zugewinn an Sicherheit erzielen. Mit dem Passwort "Dieses Passwort ist quasi unknackbar" bescherst du dem Angreifer erstmal einige Stunden Arbeit!
- Passwörter sollten keine persönlichen Daten enthalten! Vor- und Nachnamen zu integrieren ist eine äußerst schlechte Idee! Wenn du z. B. "Viktor Nauert" heißt und als Passwort v.nauert wählst, braucht ein Hacker ca. 7 Minuten, um per Brute-Force-Attacke an dein Passwort zu gelangen. Mit einem Guessing-Angriff entsprechend kürzer.
- Dein Passwort sollte keine Wörter aus einem Wörterbuch enthalten. Wie ich dem Videos "Wie Hacker Passwörter knacken" und "Hacken wie in Mr. Robot" gezeigt habe, sind Angriffe auf Passwörter mit Wörtern aus einem Wörterbuch sehr erfolgsversprechend. Das Passwort "123sicher456" ist somit nicht sicher.
Du kannst bereits im kleinen damit beginnen bestimmte Zeichen in deinem Passwort durch Sonderzeichen zu ersetzen:
- Ersetze alle a's durch @'s. So wird aus "Passwort" dann "P@sswort".
- Ersetze jeden Buchstaben s durch ein $-Zeichen. So wird aus "P@sswort" dann "P@\$ $wort".
- Du könntest zudem Leetspeek (l3375p34k) nutzen, um deine Passwörter mit Ziffern stellvertretend für Buchstaben zu versehen. So wird aus "P@$ $wort" dann "P@$ $w0r7". Beachte aber, dass große Dictionaries dies bereits berücksichtigen.
7. Passwort-Karten
Auf Deutschland sicher im Netz kannst du dir eine sogenannte Passwort-Karte herunterladen. Hierbei handelt es sich um eine Möglichkeit, sich sichere Passwörter besser merken zu können, da sie (ähnlich wie die Android-Mustersperre) das visuelle Gedächtnis des Menschen ansprechen. Wie funktionieren sie?
1. Gehe auf die Seite Deutschland sicher im Netz.
2. Lade dir deine ganz persönliche Passwortkarte herunter.
3. Wähle in dem Koordinatensystem einen Startpunkt (z. B. K3) aus.
4. Zeichne von dort (gedanklich) einen Pfad (z. B. 5 nach unten und 5 nach rechts). Die Zeichen entlang des Pfades bilden dein Passwort.
5. Merke dir den Endpunkt (hier P8).
Auf diese Weise kannst du sichere Passwörter erzeugen und hast den Schlüssel in Form deiner Passwortkarte stets in der Hosentasche. Du musst dir also nur drei Dinge merken, nämlich
- den Startpunkt,
- den Verlauf und
- den Endpunkt.
Trotzdem musst du prüfen, ob das so erzeugte Passwort von dem System, wo du dich anmelden willst, auch akzeptiert wird.
Autor: Florian André Dalwigk
Dieser Artikel hat 50 Bonuspunkte erhalten. Schreib auch du einen Artikel.