Schluss mit Passwort „123456“: Warum Du endlich sichere Passwörter nutzen solltest!

Du bist schon länger im Internet unterwegs und hast Dich im Laufe der Jahre bestimmt bei einer Vielzahl von Foren, Webseiten, Unternehmen und Online-Shops registriert? Hast Du dabei jedes Mal ein unterschiedliches Passwort verwendet und darauf geachtet, dass dieses auch sicher ist? Falls Du mit „Ja“ gerade geantwortet hast: Respekt! Bei einem „Nein“ als Antwort kann ich Dir zeigen, wie Du sichere Passwörter erstellst und im Überblick behältst.

I. Warum brauchst Du überhaupt sichere Passwörter?

Bevor ich Dir zeige, welche Kriterien an sichere Passwörter zu stellen sind und wie Du diese sicher aufbewahren kannst, möchte ich dir schildern, warum schlechte Passwörter sehr viel Ärger kosten können und sich der Aufwand beim Passwort-Management also langfristig lohnt.

Stell dir folgende Situation vor: Du hast Dir ein einfaches Passwort erstellt, welches Du dir gut merken kannst und benutzt dieses bei jedem Dienst. Bestimmt hast Du dir nichts Böses gedacht. Du wolltest lediglich sicher gehen, dass Du das Passwort nicht vergisst und Du dich bei deinen geliebten Diensten immer anmelden kannst, wenn Dir gerade danach ist und Du sie nutzen möchtest. Das kann vielleicht einige Zeit gut gehen. Früher oder später kommt es bei einem deiner genutzten Dienste aber bestimmt zu einem Datenleck. Zack landet dein Passwort zusammen mit anderen Informationen frei zugänglich im Internet und wird von Kriminellen genutzt, um mit diesen Daten deine Identität zu stehlen und in deinem Namen Geschäfte zu tätigen bzw. andere Geschäfte zu verdecken. DU WURDEST GEHACKT! Auf einmal hast Du keine Zugriff mehr auf deine Accounts. Nunmehr bekommst Du Post / SMS von unbekannten Leuten. Betreibst Du Online-Banking? Machst Du deine Steuererklärung online? Was ist mit deiner Kreditkarte? Schlag auf Schlag kapern die Kriminellen immer mehr Aspekte deines digitalen Ichs. Wie würde sich das anfühlen? Welches Gefühl hättest Du? Machtlosigkeit?

Je mehr Dienste, Du mit demselben Passwort genutzt hast, desto mehr Infos können sie über Dich in Erfahrung bringen. Du siehst, es kann Dich hart treffen. Da immer mehr Services und Dienstleistungen digitalisiert werden, wird das Risiko solcher Angriffsszenarien nicht sinken, sondern im Gegenteil tendenziell steigen und der wirtschaftliche Schaden immer größer! Noch immer nicht überzeugt? Allein bei der Datensammlung „Collection #1-#5“ wurden durch Datenlecks über 2,2 Milliarden E-Mail-Adressen und dazugehörige Passwörter veröffentlicht. Ganz zu schweigen von den emensen Dimensionen, die ein solches Datenleck im Umfeld von Unternehmen hat. Was ist, wenn die ganze Produktion auf einmal stillgelegt werden muss? Kostenpunkt pro Datenpanne: Im Schnitt 3,88 Millionen Euro. Das muss nicht sein: Schütze Deine Identität und deine Daten, indem Du dich um sichere Passwörter kümmerst. Wie so oft gilt: Besser Vorsorge als Nachsorge. So schwer ist es auch gar nicht. Los! Fangen wir an…

II. Wie sollten Passwörter NICHT aussehen? Warum werden Sie trotzdem verwendet?

Grundstein für die Sicherheit deiner Accounts und der dort enthaltenen (persönlichen) Daten ist somit ein sicheres Passwort. Um es vorweg zu nehmen: Zwar kann auch bei einer guten Passwort-Auswahl keine absolute Sicherheit gewährleistet werden. Allerdings bedeutet das nicht, dass wir einfach aufgeben (oder gehörst Du zur „Mir-Ist-alles-Egal-Fraktion“?). Wir können es den Angreifern zumindest schwerer machen, an unsere Daten heranzukommen.

Schauen wir uns zunächst einmal an, wie unsere Passwörter definitiv nicht aussehen sollten: Eine Hall Of Shame der Passwörter (Quelle: Hasso Plattner Institut [HPI]).

111111 dragon target123
1234567890 iloveyou tinkle
123123 password1 qwertz
000000 monkey 1q2w3e4r
abc123 qwertz123 222222

Nochmals: So sollten Passwörter NICHT aussehen. Daher hoffe ich, dass ich nicht bereits eines deiner Passwörter erraten habe. Woher ich diese Infos habe? Bei dieser Aufzählung handelt es sich um die Top 20 der meistverwendeten Passwörter in Deutschland im Jahr 2019 laut Angaben des Hasso-Plattner-Instituts. Datengrundlage sind 67 Millionen geleakte Zugangsdaten, die auf E-Mail-Adressen mit .de-Domäne registriert sind. Das Ergebnis sollte die wenigsten verwundern. Schließlich handelt es sich bei diesen Passwörtern um schlichte Worte, Sätze, Zahlenreihen und Tastenkombinationen. Nicht sehr kreativ von den Nutzern.

Doch warum gibt es Benutzer, die solche unsicheren Passwörter verwenden (und dies teilweise bei mehreren Diensten)? Ich lehne mich aus dem Fenster: Die Nutzer sind nicht dumm, sondern schlicht zu bequem bzw. überfordert. Wenn sich der Durchschnittsnutzer im Laufe der Zeit bei mehreren Diensten angemeldet hat, fällt es diesem meist schwer, sich unterschiedliche Passwörter zu merken, v.a. wenn diese aus einer langen Kombination aus Groß- und Kleinschreibung, Zahlen sowie Sonderzeichen bestehen. Diese Ausrede kannst Du nach dem Lesen des Artikels nicht mehr bringen. Für dieses „Problem“ gibt es Strategien und Passwort-Manager, die ich Dir noch zeigen werde. Du bist hier zum Lernen und Dir ist doch die Sicherheit deiner Daten wichtig! Oder willst Du irgendwann einmal mit Anwälten zu tun haben, die sich darum kümmern, dass Du dein „Daten-Ich“ wieder „gereinigt“ zurückbekommst? Das kann sehr kostspielig werden, kann ich sagen. Hinzu kommt der Aufwand die Accounts wieder herzustellen oder neue zu erstellen. Willst Du deine kostbare Zeit, die in deiner Familie, deinem Freundes- oder Bekanntenkreis und in deinem positiven Schaffen in der Welt besser aufgehoben ist, für den Trouble mit Datenleaks und Identitätsdiebstahl einfach verschenken? Das muss nicht sein. Setz Dich einmal hin und kümmere dich um sichere Passwörter und ein durchdachtes Passwort-Management. Dieser einmalige Aufwand ist für dich langfristig günstiger, als wenn Du die Augen verschließt und dieses Thema bis zum nächsten Datenleck hinauszuschiebst. Dann ist der Ärger vorprogrammiert. Bedenke: Wer rastet, der rostet

Der beste Zeitpunkt zum Handeln ist jetzt! Auf was wartest Du noch? Zeit zu handeln!

II. Welche Kriterien gelten u.a. für sichere Passwörter?

1. Länge des Passwortes

Eine Möglichkeit, wie Du die Sicherheit deiner Passwörter erhöhen kannst, ist diese möglichst lang zu gestalten. In anderen Worten: Je mehr Zeichen du verwendest, desto länger dauert es statistisch, dass dein Passwort erkundet wird. Eine Möglichkeit, die nämlich gerne verwendet wird, sind sogenannte Brute-Force-Attacken, bei denen jegliche Kombinationen eines Passwortes ausprobiert werden. Sagen wir das Passwort ist „8“ (das Beispiel dient nur der Veranschaulichung, einstellige Passwörter gibt es in der Praxis wohl kaum mehr). Der Computer testet bei einer Brute-Force-Attacke zunächst die Möglichkeiten 0, 1, 2, 3, 4, 5, 6, 7, 8, wird bei „8“ einen Treffer feststellen und Zugang zum Account erhalten, sofern der Zugang nicht bereits bei mehreren Falschversuchen gesperrt wird. Je länger dein Passwort ist, desto tendenziell länger dauert es, dieses auf solche Weise zu erkunden. Das gilt natürlich nicht, wenn du „Standard-Passwörter“ verwendest. Ein Passwort, wie “123456“ oder „Giraffe“ bringt dich aus Sicherheitsgesichtspunkten nicht weit und kann sogar fast ein Datenleck garantieren. Denn oft wird genau nach solchen Zahlen- und Buchstabenkombinationen gezielt gesucht.

Eine Möglichkeit, lange Passwörter zu erstellen, ist das sogenannte Diceware-Verfahren.

2. Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen

Weiterhin ist wichtig, dass Du kumulativ Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen (z.B. „,.:-_#+~<>!§$%&(){}=?@“) verwendest. Je mehr Zeichenklassen Du verwendest, desto länger beißen sich Angreifer an deinem Passwort. Schließlich werden mehr mögliche Zeichenkombinationen in den „Brute-Force-Topf“ geworfen. Mal ein Vergleich: Sagen wir, jemand soll deine Lieblingssportler erraten. Wenn Du dich nur für Fußball interessierst, ist das Raten einfacher, als wenn Du dich auch noch mit Golf, Tennis und Boxen beschäftigst. Das Gegenüber muss dann nämlich sowohl Sportler aus den Kategorien Fußball, Golf, Tennis und Boxen kennen und daraus den Mix erraten, der deine Lieblingssportler ausmacht. Das sollte die Sinnhaftigkeit dieser Passwort-Regel weiter untermauern. Reg Dich daher nicht so sehr auf, wenn dein Dienste-Anbieter dein Passwort nicht direkt akzeptiert und dir technische Vorgabe für die zu verwendenden Zeichen im Passwort setzt. Aus praktischer Sicht sollte z.B. beachtet werden, dass Umlaute auf landestypischen Tastaturen bei Reisen im Ausland möglicherweise nicht eingegeben werden können. Das muss dich natürlich nicht hindern.

3. Keine Wörter aus dem Wörterbuch / Keine persönliche Informationen

Zudem solltest Du keine Wörter aus dem Wörterbuch verwenden. Insofern sind die Kriminellen Dir gedanklich einen Schritt voraus. Sie haben Wörterbücher analysiert und in Ihren Brute-Force-Algorithmus eingepflegt. Kombinationen wie „Giraffe123$“ sollten daher auch nicht in deiner Passwortgunst stehen. Manche Anbieter (z.B. Netcup) setzen Begriffe aus dem Wörterbuch auch auf eine schwarze Liste, sodass diese nicht verwendet werden können. Ebenfalls solltest Du es dringlich vermeiden, bei den Passwörtern persönliche Infos zu verwenden. Gemeint sind etwa die Zahlen des Geburtsdatums, Namen von Verwandten, Haustieren, Freunden usw. Solche Informationen sind schnell beschafft und können dazu genutzt werden, schneller an dein Passwort und damit zu deinem Account zu kommen.

4. Keine Wiederverwendung von gleichen / ähnlichen Passwörtern

Nachdem das geschafft ist, hast du EIN Passwort, welches es Angreifern etwas schwerer macht. „Aber ich habe doch noch zig weitere Accounts“. Da ist die Versuchung dasselbe Passwort direkt oder in abgewandelter Form wiederzuverwenden groß. Doch auch wenn es zunächst verlockend klingt, solltest Du darauf dringlich verzichten. Ansonsten landest Du bei dem nicht erwünschten Ausgangsszenario. In aller Nachdrücklichkeit gilt daher die simple Regel: EIN ACCOUNT, EIN EIGENSTÄNDIGES PASSWORT, ganz ohne Wenn und Aber.

III. Wie manage ich alle meine Passwörter?

Berechtigterweise kommst Du nun wahrscheinlich ins Grübeln: Wie kann ich mir denn alle meine Passwörter merken bzw. diese managen? Nicht verzagen, auch dafür gibt es eine geniale Lösung: Nutze doch Passwort-Manager bzw. Passwort- Verwaltungsprogramme. Natürlich sollst Du jetzt nicht zu dem erstbesten Produkt greifen, das dir in der Werbung schmackhaft gemacht wird. Die beworbenen kommerziellen „Alternativen“ setzen zumeist auf eine Passwort-Synchronisation in der Cloud. Für die Sicherheit sehr bedenklich. Ich empfehle Dir, offline nutzbare Open-Source-Passwort-Manager zu nutzen, die auf solche Funktionen verzichten (vgl. MRDS-Software-Empfehlungen unter dem Stichwort: „Passwort-Manager“).

An dieser Stelle zwei Hinweise: (1) Passwort-Manager sollten auf einem vertrauenswürdigen Betriebssystem laufen. Ein „Windows 7“-Rechner, der keine Updates mehr bekommt, sollte diese Dienste nicht verbringen. Fragwürdig ist auch die Sicherheit von Windows allgemein. Besser erscheint der Einsatz auf einem offline-betriebenen empfohlenen Linux-System. (2) Passwort-Manager sollten mit einem sicheren Master-Passwort abgesichert sein. Sinn eines Passwort-Managers ist es schließlich, dass Du sichere Passwörter erstellst, managst und Dir aber nicht alle immer zu merken brauchst. Vielmehr musste zu nur den „Schlüssel zu deinem Passwort-Schatz“ sorgfältig aufbewahren und Dir diesen umbedingt merken / sichern (!!!). Wähle zur Sicherheit eine besonders langes (> 24) und schwer zu eratendes Passwort.

Damit Du eine grobe Vorstellung bekommst, wie schnell ein kurzes Passwort geknackt werden kann, orientiere dich an den Angaben bei Passwort-Generator. Bedenke aber, dass die Technik sich stetig fortentwickelt und daher Passwörter immer schneller geknackt werden können.

Hinweis: Benutze bitte kein direkt von einem Passwort Generator ausgegebenes Passwort. Denn es kann nicht sichergestellt werden, dass dies auf irgendeiner Weise gemonitort wird. Klingt Aluhut, aber mittlerweile würde mich sowas nicht überraschen.

Wenn Du hingegen Fan des geduldigen Papier bist und den ganzen IT-Systemen sowieso nicht vertraust, solltest Du dennoch darauf achten, dass deine Passwort-Snippets nicht sofort für jedermann auffindbar sind. Der Klassiker: Das Aufschreiben in einem Notizbuch birgt das Risiko, dass jemand dieses findet und somit Zugriff auf alljene Accounts gewinnen kann. Insofern macht es Sinn – sofern man Ordnung wahren kann – die jeweiligen Passwörter an verschiedenen behüteten Orten zu lagern. Andernfalls könnte man auch die Anschaffung eines Tresors andenken. Oh Mist! Verpasste Chance für zu setzende Werbelinks. Ich Schussel…

Eine dumme Idee – von der ich hingegen an dieser Stelle dringend abraten kann – ist es, die Passwörter auf dem PC, Smartphone oder Tablet unverschlüsselt abzulegen. Da macht es auch kaum einen Unterschied, ob die Passwörter in einer Tabelle bei LibreOffice Calc, in einem Textdokument bei LibreOffice Writer oder sonstwo digital rumliegen. Lassen Sie es einfach! Selbiges gilt für den Versand von Passwörtern über Messenger und Mail-Dienste. Wer weiß, was da alles auf dem Weg passiert. Ihren betreuenden Agenten wird es wahrscheinlich freuen.

IV. Account gehackt: Passwörter ändern

Du bist nun auf dem guten Weg, sichere Passwörter zu erstellen und diese mit einem Passwort-Verwaltungsprogramm zu managen. Gratuliere Du hast einen wichtigen Schritt getan. Für Dich und ein entspannteres digitales Ich. War doch machbar? Gerne dazu Feedback in den Kommentaren. Nun zum ABER: Leider gibt es in der IT-Welt keine absolute Sicherheit und Datenlecks werden nicht immer öffentlich gemacht. Deshalb solltest Du regelmäßig prüfen, ob deine Accounts gehackt worden sind und bei einer erkannten Attacke akut reagieren, indem Du deine Passwörter änderst und neue sichere erstellst. Ob Deine Identitätsdaten ausspioniert worden sind, kannst u.a. Du prüfen bei: https://sec.hpi.de/ilc/.

V. Zwei-Faktor-Authentifizierung (2FA)

Noch entspannter lebt es sich, wenn man neben sicheren Passwörtern und durchdachtem Passwort-Management bei jenen Accounts, die eine Zwei-Faktor-Authentifizierung (2FA) anbieten, diese einrichtet. Dazu plane ich bereits Artikel. Bleibt gespannt und geduldig.

Wie man 2FA bei Netcup, Mastodon und Amazon einrichtet, konntet Ihr bereits auf dieser Webseite nachlesen oder bei Bedarf gerne nachholen. Bleibt positiv. Grüße gehen raus!

Euer Mr. Datenschutz


Danke, dass Du auf meinem Blog vorbeigeschaut hast. Ich hoffe, Dir hat dieser Beitrag gefallen. Mit einem Kommentar kannst Du mir konstruktives Feedback mitgeben und mit einer Spende meinen Einsatz für Datenschutz und Freiheit finanziell unterstützen.

Bildquelle: Diesmal handelt es sich um ein selbst erstelltes Bild – (c) MRDS 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.