Web Security - Mein Lieblingspasswort und Ich: 19 Gründe für eine Trennung

19 GRÜNDE für ein TRENNUNG dieser langjähigen Beziehung im gegenseitigem Einvernehmen

Der Online-Handel läuft auf Hochtouren. Banking, Reisen und vieles läuft auf dem Netz der Netze. Das wissen auch Kriminelle. Sie verlagern ihr Tätigkeitsfeld von der Straße in das Internet. Dort gibt es gute Erfolgsaussichten, denn die Hürde, um an Kreditkartendaten, Email-Adressen oder Passwörter zu kommen, ist oft sehr niedrig.

In den vergangenen Monaten ist öfter aufgefallen, dass Computer-Systeme korrumpiert waren. Das konnte man an merkwürdigen Emails erkennen, an Berichten in den Medien über geknackte Dienste und Cyberangriffe oder durch eigene schmerzhafte Erfahrungen.

In Gesprächen bemerkt man, dass Ängste und Befürchtungen zur Computer-Sicherheit nicht selten diffus sind und oft nach dem Vogel-Strauß-Prinzip (nicht) gehandelt wird. Diese Haltung ist durchaus verständlich, da der Eindruck besteht, dass Computer-Sicherheit sehr kompliziert sei.

In einer Welt, in der Einkäufe und Banking über das Internet erfolgen, ist unstrittig ein gewisser Schutz notwenig, wenn man nicht über kurz oder lang Opfer eine Straftat werden will. Nichts im Internet zu kaufen, ist auch keine Option mehr.

Passwörter sind das schwächste Glied der Computer-Sicherheit. Vielen ist nicht bewußt, dass sie selbst die Passwörter unfreiwillig veröffentlichen, wie sie bei der Eingabe beobachtet werden, wie Kommunikation zwischen den System ausspioniert werden kann und wie leistungsfähig die Werkzeuge der Hacker sind, um Passwörter zu erraten bzw. auszurechnen.

Sicherheit ist zwar immer nur relativ. Aber die persönliche Sicherheit läßt sich mit geeigneten Passwörtern sehr einfach verbessern.

AUF JEDEN FALL NICHT MACHEN …

Glauben, Sie seien kein Angriffsziel

Jeder Computer wird angegriffen. Dabei spielt es am Anfang eines Angriffs in der Regel keine Rolle, ob sich die auf Ihrem Rechner gespeicherten Informationen „lohnen“. In der ersten Stufe eines Angriff geht es zunächst nur darum in die Geräte einzudringen und dort möglichst unbemerkt die Kontrolle zu übernehmen. Erst in der zweiten Stufe des Angriffs versucht man den eigentlichen Missbrauch Ihres Computers, in dem der Angreifer entweder auf Ihrem System Daten sammelt, wie Kreditkartennummern, Passwörter oder Email-Adressen, oder Ihr System als Sprungbrett für kriminelle Handlungen nutzt. 

Diese Machenschaften reichen von mehr oder weniger harmlosen SPAM-Mails, insbesondere gefälschte Emails, über Attacken auf andere Systeme, bis hin zu Betrugs-, Schadens- oder Erpressungsdelikten. Kriminellen geht es in der Regel nicht darum, Ihre Geräte zu beschädigen oder Daten zu löschen, sondern diese für ihre Zwecke einzuspannen. Deshalb werden Sie einen erfolgreichen Angriff, wenn überhaupt, erst sehr spät und häufig zu spät bemerken. Seriöse Untersuchungen gehen davon aus, dass 40 % aller Computer in Deutschland gehackt sind und jeden Tag 60.000 neue Systeme infiziert werden (2014). Jeder ist ein Ziel und muss sich schützen.

Passwörter mehrfach nutzen.

Jeder weiß es, aber viele ignorieren es trotzdem aus Bequemlichkeit. Wenn Sie lediglich ein Lieblings-Passwort für alle Ihre Dienste nutzen und ein Hacker eines Ihrer Konten geknackt hat, wird er viele Ihre anderen Accounts auch angreifen. Sollten Sie also der Meinung sein, nur ein Passwort für alle Ihre Dienste benutzen zu müssen, haben Sie selbst Tür und Tor für Hacker geöffnet und eine Kettenreaktion in Gang gesetzt. Leider nützt es auch nichts, Variationen eines einzigen Passwortes zu bilden.

Natürliche Wörter oder einen Namen als Bestandteil des Passwortes nutzen

Das Erraten eines Passworts ist immer noch die einfachste und populärste Methode. Da Hacker mit spezieller Software arbeiten, wird diesen Erraten automatisiert, in dem Lexika, Wörterbücher und Texte aller möglichen Sprachen dafür genutzt werden. Das Erraten ist mit ausreichender Computerleistung nur eine Frage der Zeit. Auch das Gegenteil eines natürlichen Wortes, nämlich eine völlig zufällige Buchstabenkombination, kann erraten werden. Dennoch bedarf es für eine zufällige Kombination im Durchschnitt - und dies ist der entscheidende Punkt - an sehr, sehr viel mehr Versuchen und damit mit sehr, sehr viel mehr Aufwand, was letztlich das „Erraten“ eines Passworts aus zufälligen Zeichen sehr, sehr viel unwahrscheinlicher macht. Benutzen Sie auch keine Variationen eines natürlichen Wortes oder Names, wie beispielsweise die Veränderung der Buchstabenreihenfolge.

Buchstaben durch Zahlen in Wörtern ersetzen oder nur die Reihenfolge verändern

Bitte denken Sie nicht, dass “Passw0rt” oder “trowssaP” oder ein Datum wie “29121966N0p3!” gute Passwörter seien. Die Werkzeuge der Angreifer berücksichtigen dies.

Zwar ist es richtig, dass die Nutzung von Umlauten, Zahlen, Sonderzeichen und der Wechsel von Groß- und Kleinschreibung die Qualität Ihres Passworts verbessert aber noch viel wirksamer als dies ist die Verlängerung eines Passworts. Bei der heutigen Leistungsfähigkeit von Hacker-Software und -Hardware sind selbst Passwörter wie “H2üg!r%” schnell knackbar. Informationstheoretisch betrachtet geht es um eine Vergrößerung des Informationsgehalts eines Passworts, das letztlich die Schwierigkeit erhöht, Ihr Passwort zu erraten und damit einen erfolgreichen Angriff unwahrscheinlicher macht. Es wird schwieriger, weil sich die richtige Lösung hinter mehr falschen Möglichkeiten verstecken kann. Je mehr Möglichkeiten es gibt, um so kostspieliger ist es für den Angreifer, ein Passwort zu erraten. Während beispielsweise die Nutzung von Ziffern bei gleicher Länge den „Raum“ im schlechtesten Fall nur um den Faktor 10 erweitert, erweitert lediglich ein Zeichen mehr, den Raum im schlechtesten Fall um Faktor 26. Ihre beste Verteidigung gegen Angriffe ist deshalb ein möglichst langes Passwort. Viele Systeme erlauben heute bereits Passwörter von 50 Zeichen Länge. 20 Zeichen sollten es - mit Stand von heute - mindestens sein.

Passwort notieren

Wenn Sie Ihr Passwort irgendwo aufschreiben, laufen Sie Gefahr, dass nicht nur Sie dieses Passwort lesen. Wenn Sie sich das Passwort merken wollen, was mit einem Passwort-Manager gar nicht notwendig ist, dann setzen Sie eine Pass-Phrase ein, die Sie aus mehreren Wörtern zusammensetzen, die aber als Satz keinen Sinn ergeben: Die Phrase „Giraffe kurz Form vor Warten über hier acht Verkauf Rotwein Taxi Jacke danke…“ ergibt als Passwort „GkFvWüh8VRTJd…“.

Passwort unverschlüsselt speichern

Auf dem Computer sollten derartige Informationen verschlüsselt werden. Moderne Betriebssysteme bieten an, die ganze Festplatte automatisch zu verschlüsseln und mit einfachen Werkzeugen kann man Textdateien mit hoher Sicherheit verschlüsseln. Falls es einem Angreifer gelingt in Ihr Gerät einzudringen (USB-Stick, Email-Anhänge, Websites) oder eine nicht vertrauenswürdige Person physische Kontrolle über Ihr Gerät erlangt (Diebstahl, Verlust durch Verlieren, Sicherheitskontrollen U.S.A., Israel, Iran, China, Nordkorea, Russland), können Sie so eine Kettenreaktion verhindern. Ziel vieler verdeckter Erstangriffe ist es, genau solche Informationen auf Ihrem Computer für einen späteren Angriff zu finden.

Passwort nach Email-Aufforderung eingeben.

Egal was passiert, wenn Sie eine Email erhalten, die sie per Web-Link (URL) auffordert sich einzuloggen, machen Sie dies bitte nie. Das Design gefälschter Emails (auch Phishing-Emails genannt) ist heute so professionell, dass man sie auf den ersten Blick kaum vom Original unterschieden kann. Die Inhalte und das Layout dieser Emails sind häufig eine perfekte Täuschung, auf die man leicht reinfallen kann. Deshalb: Klicken sie nicht auf die Links in einer Email, lassen sie nicht das Email-Programm durch den Web-Browser starten, sondern starten Sie den Browser selbst und tippen Sie die Adresse selbst ein. Bei unverschlüsselter Übertragung bitte auch keine sensiblen Daten eingeben. Eine sichere Verbindung erkennen sie an der korrekten URL und dem Protokoll „https://www…“, wobei Sie auf das „s“ von „https“ achten sollten. „http://www…“ alleine (ohne „s“) ist nicht sicher. Auch Anhänge von Emails enthalten häufig versteckte Schadsoftware, die in Ihren Rechner eindringt und sich u.a. der Passwort-Dateien bemächtigt oder Software installiert, die Ihre Tastatur oder Ihren Bildschirm in Zukunft überwachen wird.

Öffentliche Email-Adresse als Login nutzen

Viele Dienste bieten es leider an aber es ist ein Risiko damit verbunden die Email-Adresse als Login zu nutzen. Eine der einfachsten Ansatzpunkte sich in Systeme einzuhacken, ist die Nutzung Ihrer öffentlichen Email-Adresse. Damit macht man es Hackern unnötig leicht, denn die halbe Arbeit ist schon getan. Indem Hacker im Internet nach Email-Adressen im Netz suchen oder auf anderen geknackten Systemen in Adressbüchern stehlen, findet man die potenziellen Logins. Hat man das Login, braucht man nur noch die Passwörter dazu. Legen Sie einfach neben Ihrer regulären „veröffentlichten“ Email-Adresse eine nur Ihnen bekannte zusätzliche Email-Adresse an, die Sie nicht veröffentlichen und nutzen Sie diese als Login. Hinweis: Auch hier gilt, dass man nicht ein natürlichsprachliches Wort für den Email-Namen wählen sollte, sondern etwas zufälliges, wie beispielsweise wma_dm-sa-um@gmail.com. Groß- und Kleinschreibung spielen bei Email-Adressen keine Rolle und die Auswahl der Sonderzeichen ist begrenzt.

Passwörter nicht regelmäßig ändern

Ihre Gewohnheit ist ein perfekter Verbündeter jedes Angreifers auf Ihre Systeme. Wenn man immer das gleiche Passwort über Jahre einsetzt, ist dieses natürlich einfacher zu merken. Wenn man keinen Passwort-Manager einsetzt, dann wird man das Passwort regelmäßig eintippen, wobei man beobachtet werden kann. Zusätzlich sollte man wissen, dass auch Online-Dienste immer wieder Opfer von Angriffen werden. Teilweise werden diese Angriffe von den Diensten bemerkt und teilweise erst erst einige Zeit nach einem erfolgreichen Angriff. Deshalb macht es Sinn, Passwörter auch mal zu ändern, ohne dass es einen akuten Anlass dafür gibt. Auch die sinnvolle Länge der Passwörter kann bei dieser Gelegenheit erhöht werden. Ein vertretbarer Rhythmus zum Ändern von Passwörtern für Normalnutzer ohne besonders schützenswerte Daten ist 24 Monate.

Vorgegebene Passwörter weiter nutzen

Wenn Sie sich auf einem Online-Dienst anmelden, erhalten Sie in einigen Fällen eine Email mit Login und Passwort. Da die Übertragung einer Email nicht sicher sein muss, können zwischen dem Sender und Ihnen zwischengeschaltete Systeme (auch Man in the Middle genannt) das Passwort in einigen Fällen lesen. Außerdem kennt der Sender - also der Dienst, an dem Sie sich angemeldet haben - das Passwort. Vielleicht denken Sie, dass dies so sein muss aber gute Dienste speichern ein von Ihnen eingegebenes Passwort nicht. Sie leiten per Algorithmus daraus einen eindeutigen Code ab (auch Hash Key genannt), aus dem Ihr Passwort nicht hergeleitet, wohl aber überprüft werden kann. Wenn Sie sich bei dem Dienst anmelden, wird Ihre Eingaben gegen der vorliegenden Code getestet. Das Passwort selbst wird nicht gespeichert. In jedem Fall sollten Sie ein per Email erhaltendes Passwort sofort ändern, damit der Sender und andere eventuelle Mitleser es nicht nutzen können.

Passwörter an fremden oder öffentlichen Computern nutzen

Benutzen Sie Ihre Passwörter nie an öffentlichen Computern, wie Hotels, Flughäfen, Internet-Cafes, Schulen, Universitäten bzw. generell an anderen Computern, die auch von Fremden genutzt werden. Lässt sich dies nicht vermeiden, ändern Sie die eingesetzten Passwörter sofort von einem nicht-öffentlichen Computer aus, dem Sie vertrauen. Das Löschen der Website-Daten im Browser auf diesem Computer ist nicht ausreichend.

AUF JEDEN FALL MACHEN …

Two-Factor Authentication einschalten (wenn angeboten)

Ein aus dem Online-Banking bekanntes Verfahren ist die die zusätzliche Absicherung durch einen Zahlencode (TAN-Verfahren). Dieses Verfahren wird nicht nur von Finanzinstituten angeboten, um Transaktionen zu bestätigen, sondern auch von anderen Diensten, um sich anzumelden. Bei dem Verfahren müssen Sie nach der Anmeldung mit Login und Passwort eine weiteres Feld ausfüllen, in das Sie einen Einweg-Zahlenkode eingeben. Dieses Verfahren wird auch Two-Factor-Authentication (zweistufige Authentifizierung bzw. Multi-Factor-Authentication) genannt. Durch die Aktivierung der Bestätigung in zwei Schritten, wird Ihr Dienst durch eine zusätzliche Sicherheitsebene geschützt. Zur Anmeldung muss neben Ihrem Passwort dann auch ein Code eingegeben werden, der an Ihr Smartphone gesendet wird oder über eine sogenannte Authenticator-App auf Ihrem Smartphone erzeugt wird. Es existieren auch separate Geräte. Populär sind die Apps „Authenticator“ von Google oder „Authy“ von Twilio, die für alle gängigen Smartphones verfügbar sind. Viele Dienste bieten diese zweistufige Authentifizierung, u.a. Google, Dropbox oder Amazon. Mit diesem Verfahren stärken Sie die Verteidigung Ihre Sicherheit erheblich, selbst wenn Ihrem Anbieter die Daten gestohlen wurden.

Applikationsspezifische Passwörter nutzen (wenn angeboten)

Ein Applikationsspezifisches Passwort (auch anwendungsspezisches Passwort oder App-Passwort genannt) ist ein Passwort, dass auf einen Endgerät für eine spezifische Anwendung einmalig hinterlegt wird. Wenn Sie beispielsweise Google-Mail auf dem Smartphone benutzen und dafür Ihr Google-Konto verwenden, ist ein eigenes App-Passwort möglich und machmal sogar erforderlich. Ein App-Passwort ist ein mehrstelliger Code, mit dem eine bestimmte App auf einem bestimmten Gerät für den Zugriff auf einen bestimmten Dienst autorisiert wird. Dieses Passwort wird einmalig eingerichtet und dann auf Ihrem Endgerät passend zur Anwendung hinterlegt. Die Anleitung dazu kann man bei den Dienstanbietern finden.

Auf Sicherheitsfragen keine echten Antworten geben

Einige Dienste bieten für zusätzlichen Schutz oder zur Wiederherstellung vergessener Passwörter eine Sicherheitsabfrage an. Dabei wird Ihnen eine Frage gestellt, zu der Sie im Bedarfsfall die hinterlegte Antwort wissen müssen. „Straße in Kindheit“, „Mädchenname der Mutter“ oder „Erstes Auto“ sind beliebte aber schlechte Beispiele. Es gibt leider nicht besonders viele Namen, Straßen und Autotypen. Jedenfalls nicht genug, um einen Computer damit zu beeindrucken. Und die meisten sind auch noch im Internet mit wenig Aufwand zu recherchieren. Da man an den Fragen in der Regel nichts ändern kann, sollte man noch einmal über die Antworten nachdenken. Niemand zwingt Sie auf die Frage eine korrekte oder sinnvolle Antwort zu hinterlegen. Verstehen Sie die Antwort lieber als zweites Passwort. Erstes Auto? „jabe5hde“ oder zumindest „Schrotthaufen“.

Separate Email zur Wiederherstellung von Passwörtern nutzen

Falls sich ein Angreifer Ihres Email-Kontos ermächtigt hat, kann er bei vielen Diensten durch Anforderung eines neues Passworts Ihr dortiges Konto knacken. Deshalb ist es eine gute Idee zur Wiederherstellung von Passwörtern (auch Password Recovery genannt) eine separate Email zu verwenden, die man nicht veröffentlicht, nicht für reguläre Kommunikation nutzt und nicht auf den eingesetzten Mail-Anwendungen auf den eigenen Endgeräten nutzt, sondern auf das man nur per Web-Interface zugreift. Natürlich sollte man für dieses Login nicht seinen Namen verwenden, damit es nicht erraten werden kann.

Passwörter mit einem Passwort-Manager verwalten

Wenn man für jeden Dienst - wie dringend empfohlen - ein eigenes Passwort mit ausreichender Länge einsetzt, ist es aussichtslos sich alle Passwörter selber zu merken. Dazu kommt, dass das ideale Passwort so geheim ist, dass man es am besten sogar selbst nicht kennt, um Fahrlässigkeit auszuschließen. Wie soll das möglich sein? Für diesen Zweck gibt es spezielle Programme, die Ihnen dabei auf einfache und komfortable Weise helfen. Ein Passwort-Programm hilft Ihnen mit einem Zufallsgenerator bei der Erstellung eines guten Passworts. Es zeigt Ihnen auch die Stärke des Passworts an, meldet sich bei Ihnen, wenn es einem Grund gibt, dass Passwort zu aktualisieren, speichert Ihre Passwörter ohne, dass Sie alle Passwörter selbst kennen müssen. Mit entsprechenden Bowser-Plugins fügen die Passwort-Manager Login und Passwörter automatisch in die richtigen Webseiten ein, bietet also auch einen gewissen Schutz vor Phishing-Mails und gefälschten Websites. Gute Passwort-Manager kosten Geld, für ein Hilfsprogramm sogar vergleichsweise viel. Ein beliebtes Beispiel ist „1Password“. Damit kann man auch Platform- und Endgeräte-unabhängig die eigenen Passwörter verwalten. Mittlerweile bieten auch die Betriebssystemhersteller eigene in das Betriebssystem integrierte Lösungen an. Hier muss jeder selbst entscheiden, ob man sich in dieser Frage mehr als Notwendig an ein herstellerspezifisches Betriebssystem binden will.

ZU GUTER LETZT …

100%ige Sicherheit gibt es auch mit guten Passwörtern nicht

Umzug in die Cloud

Wenn Sie hilfsweise davon ausgehen, das irgendwann ein Einbruch in Ihre Wohnung oder Arbeitsstätte erfolgen könnte, sollten Sie nicht annehmen, dass der Einbrecher die Backup-Festplatte neben Ihrem Rechner aus Freundlichkeit liegen lassen wird. Analog gilt dies für Wasserschäden, Feuer, technische Defekte oder einfach das Verlieren von Geräten: Auch ein gutes Backup ist nicht immer eine Lösung.

Obwohl viele Bedenken gegen die Cloud vorgebracht werden, ist die Cloud mit einigem Abstand der sicherste Ort für Ihre Daten. Viele der tatsächlichen Risiken heutiger IT-Nutzung, wie verlorene Smartphones, gestohlene Laptops, defekte Festplatten oder die erfolglose Wiederherstellung von Sicherungskopien können mit Hilfe der Cloud hervorragend und einfach gelöst werden. Natürlich sind mit der Cloud Ihre Daten „woanders“ aber sie sind dort viel sicherer als bei Ihnen. Für Anbieter wie Google, Amazon, Dropbox & Co. ist Sicherheit das höchste Gebot.

Die Befürchtung, böse Menschen einer fremden Macht könnte Ihre Daten missbrauchen, ist gewagt. Falls Sie über Daten verfügen, die für solche Institutionen relevant sind, sollten Sie sich die Nutzung von Computern und Internet vielleicht noch einmal grundsätzlich überlegen bzw. andere Software nutzen oder in das Darknet umziehen.

Selbstverständlich gibt es auch in der Cloud keinen 100%igen Schutz aber es gibt heute keinen besseren Schutz - schon gar nicht auf Ihren privaten Geräten, egal welchen Aufwand Sie dafür betreiben. Natürlich setzt insbesondere auch die Cloud den verantwortungsvollen Umgang mit Passwörtern voraus. Ein Beispiel im Zusammenhang mit Passwörtern, ist die Ablage der verschlüsselten Datei mit Ihren Passwörtern in der Cloud.

Wichtigste Funktionen über mehrere Anbieter verteilen

Eine gewisse Verteilung der genutzten Funktionen über verschiedene Dienste reduziert auch das Risiko eines Gesamtausfalls. Das man den Internet-Anbieter und den Betriebssystem-Hersteller vom Email-Anbieter trennen sollte, macht nicht nur Sinn, weil man möglicherweise den Anbieter wechseln möchte ohne Daten oder Email-Adresse zu verlieren. Trotzdem haben heute noch viele Menschen eine Email-Adresse bei der Telekom, bei Microsoft oder bei Apple. Internet-Provider, Endgeräte-Hersteller, Betriebsystem-Anbieter und wichtige Dienste, wie Speicherplatz oder Email können ruhig voneinander getrennt sein.