Passwort-Sicherheit

2016-07-01 passwort-sicherheit v01

Fast jeder lebt heutzutage mit der Herausforderung, eine Vielzahl von Zugangsdaten verwalten zu müssen. Für alle Dienste ein unterschiedliches Passwort im Kopf zu behalten, ist praktisch unmöglich. Stets die gleichen- oder leicht zu erratende Passwörter für jeden Dienst zu verwenden ist ebenfalls keine gute Lösung, da Benutzerdaten ein begehrtes digitales Diebesgut sind, mit dem auch tatsächlich Schaden angerichtet werden kann.1 Man muss es meines Erachtens nicht übertreiben mit der Passwortsicherheit aber eine gewisse Grundabsicherung und Verantwortung im Umgang damit, sollte in unserer digitalen Welt zum Allgemeinwissen gehören.

Folgende Techniken helfen mir dabei einen Kompromiss aus Sicherheit und Praktikabilität zu wahren:

  1. Man merkt sich eine überschaubare Anzahl sicherer Passwörter für kritische Dienste (z.B. Online-Banking, Paypal, Apple, Google, Amazon). Zusätzlich sollte man sie an einem sicheren Ort für sich und im Notfall für Angehörige verwahren. Für absolut unkritische Dienste (z.B. Online-Shops ohne hinterlegte Zahlungsdaten) kann man ruhig ein leicht zu merkendes persönliches Standardpasswort verwenden.
  2. Man nutzt einen Passwortmanager wie Lastpass oder 1Password. Dort macht man sich einmal einen Account mit einem sehr sicheren Passwort und kann dann dort beliebig viele Zugänge von mittelwichtigen oder unkritischen Diensten hinterlegen. Ein enormer Vorteil ist, dass die Passwortdaten im Browser durch ein Plugin und auf dem Smartphone durch eine App automatisch ausgefüllt werden können. Dadurch ist es möglich, unterschiedlich generierte Passwörter beliebiger Länge und Komplexität zu verwenden. Zusätzlich behält man innerhalb des Passwortmanagers die Übersicht über seine Zugänge und kann ab und zu veraltete Konten schließen.
  3. Man nutzt 2-Faktor-Authentifizierung bei wichtigen Diensten. Mit dieser Technik muss man beim ersten Login auf einem neuen Gerät zusätzlich zum Passwort einen auf dem Smartphone generierten Code eingeben. Ich kann nur empfehlen, es bei einem wichtigen Dienst mal zu probieren, um mit der Technik vertraut zu werden. Bei Apple funktioniert das ohne extra App, für alle anderen kann man die Google Authenticator App oder Authy nutzen. Da man das Handy immer dabei hat, ist das gar kein Problem.

Alle diese Schutzmechanismen lassen sich theoretisch von pfiffigen Ganoven überwinden. Die häufigste gewählte Methode ist, den Benutzer durch eine Phishing Mail zu täuschen und zur Eingabe seiner Zugangsdaten in eine gefälschte Website aufzufordern. Wenn man skeptisch ist und wenige Grundprinzipien bei der Analyse von E-Mails beachtet, kann man sich dem normalerweise entziehen. Bei aktivierter 2-Faktor-Authentifizierung, scheitert diese Betrugstechnik in der Regel.

Bildquelle: Leeroy via Life of Pix

  1. Immer wieder liest man in der Presse das Anbieter gehackt werden und die Passwortdaten der Nutzer gestohlen und im Internet zum Verkauf angeboten werden. In diesem Fall ist egal, wie kompliziert das eigene Passwort war, es ist von da an öffentlich zugänglich und kann auch zum Login bei anderen Diensten ausprobiert werden. Deshalb sollte man nie bei zwei Diensten identische Passwörter verwenden.