Passwörter

überall...

Bei der großen Anzahl an Konten, verliert man schnell mal den Überblick und legt dann unbedacht einfach Passwörter fest. Das kann mit der Zeit auch lästig werden, weshalb viele EIN PASSWORT FÜR möglichst ALLES… benutzen: Beim Email-Konto, der Anmeldung bei den sog. sozialen Netzwerken, den Cloud- und Video-on-Demand-Diensten, beim Online-Shopping, -Banking, -Gaming, aber auch bei der Verschlüsselung von Daten auf der Festplatte.

EIN Passwort für ALLES!?

Warum das so gefährlich ist...

Millionen von Datensätzen geklauter Passwort-Datenbanken, also Zugangsdaten aus Email und Passwort, kursieren im Internet und werden dort vertickt.

Glaube nicht, dass sich da jemand deine Zugangsdaten per Hand heraus- und zusammensucht. Das geht natürlich alles, in Bruchteilen von Sekunden automatisch und niemand hat es wirklich auf dich abgesehen. Deine Daten sind einfach nur Beifang…

Das größte Problem hast du dann, wenn es zum Diebstahl deiner Identität kommt. Wenn also ein Computer-Programm mit deiner EINEN Email-Adresse und deinem EINEN Passwort, all deine Webseiten, auf denen du ein Online-Konto hast, ausfindig gemacht hat und der Hacker im Nachgang, deine privaten Sachen anschaut, liest, kopiert, für dich schreibt, shoppen geht, spielt usw…. das alles auf deine Kosten – nicht nur im monetären Sinne. Du bringst damit unter Umständen nicht nur dich in Gefahr, sondern auch die, mit denen du auf irgendeine Art in Verbindung stehst. Warum? Weil sie denken, dass das was von dir an Information kommt, auch von dir stammt.

Für alles ein anderes Passwort!?

Wer merkt sich denn so was?? UFF!!

Ja, man kann Passwörter auch mal vergessen, gerade dann wenn man sie dringend bräuchte, es stressig wird und man sie schon lange nicht mehr benutzt hat. Damit bist du dann in bester Gesellschaft...

Es gibt verschiedene Techniken (ja Eselsbrücken) dafür, aber die einfachste und sicherste Methode ist, sich für jede Anmeldung ein einprägsames Sätzchen auszudenken.

Beispielsätzchen:
"Man, ich kann die Zahlen 1 und 2 auf den Tasten kaum noch erkennen!“

Mit den Anfangsbuchstaben und Sonderzeichen bildest du dir dann ganz leicht folgendes Passwort mit 16(!) Zeichen:

M,ikdZ1&2adTkne!

Damit hast du dann mit den Zeichen, die möglichst nicht doppelt vorkommen sollten, eine vernünftige Mischung aus:

Großbuchstaben: M,Z,T

Kleinbuchstaben: i, k, d, a, d, k, n, e

Zahlen: 1, 2

und Sonderzeichen: Komma, &, Ausrufezeichen

Aber... benutze keine ausgeschriebenen Namen oder Geburtsdaten, Zahlenfolgen wie 12345678, Wörter aus Wörterbüchern oder irgendwelche Kraftausdrücke. Das wird lustigerweise alles zu oft verwendet und könnte mit einem Wörterbuchangriff ("Brute Force Angriff") durch ein Hacker-Programm rasch ermittelt werden.
Diese Programme arbeiten mit sehr großen Passwort-Listen, in denen mindestens die gängigen Passwörter enthalten sind.

Was ist nun mit der Anzahl der Zeichen?

8 Zeichen wären schon mal prima, aber es dürfen gerne auch 15 sein... Je mehr desto besser, denn dann brauchen Angreifer auch in Zukunft eine Menge Zeit und die wird durch immer schnellere Rechner von alleine immer kürzer.

Passwort-Änderung

Nein, es macht keinen Sinn, sein Passwort wöchentlich zu ändern...
wenn es gut ist und nur du es weißt. Lege lieber sehr viel mehr Wert darauf, dass du überall ein anderes hast.

Und wie wäre es, sich Alias-Email-Adressen für die verschiedenen Dienste einzurichten?! Nicht selten gibt es diese Möglichkeit auf der Website der Email-Anbieter. Email-Anbieter helfen dir übrigens auch, gute Passwörter zu erstellen. Da kann man zumindest mal ein bisschen herum probieren und an den grünen Balken sehen, wie stark es ist.

Gute Passwörter sind toll,

aber Zwei-Faktor-Authentifizierung ist besser!

Beispiel Online-Banking:

iTAN macht dein Smartphone quasi zum zweiten Schlüssel. Du hast also eine spezielle App des Bankunternehmens. Sobald du also eine Überweisung oder den Schriftverkehr mit deiner Bank abschließen möchtest, wirst du auf deinem Smartphone benachrichtigt, damit du dich ein zweites Mal authentifizierst um es quitieren zu können. SMS-Codes werden aber auch noch nach wie vor für diesen zweiten Schritt verwendet.

Dieser doppelte Boden wird mittlerweile auch von namhaften Website-Betreibern angeboten. Du meldest dich also mit deinem Passwort an und gibst hinterher einen generierten Schlüssel ein.

Schau dazu einfach mal nach dem Begriff „ Authenticator“ in den App-Stores nach. Mit FreeOTP beispielsweise, kannst du gleich für mehrere Anbieter, einen Authentifizierungs-Code erzeugen lassen. Dazu scannst du mit dem OTP-Programm des Smartphones den QR-Code auf der Website, des jeweiligen Anbieters. Durch diesen Vorgang werden Telefon und Website "verheiratet". Danach meldest du dich mit Kennung, Passwort und dem immer wieder neu generierten Zahlen-Code an.
Das ist die Kurzform.

Achtung! Ohne Smartphone und dieses OTP-Programm kannst du dich danach aber nicht mehr anmelden! Das Passwort allein hilft also nicht mehr. Was ja der Sinn des Ganzen ist. Dann hilft nur noch die Telefonseelsorge. Und hoffentlich hast du dann alles parat, was die wissen wollen... Viel Glück!

Passwort-Manager

Zugegeben in einer geschlossenen Firmenumgebung, in der man keinen direkten Zugang zum Internet hat, kann das durchaus hilfreich und sinnvoll sein. Wenn die Administratoren solchen Programmen zustimmen, dann wissen sie auch in der Regel, was sie tun.

Auf dem heimischen Rechner musst du dich allerdings darauf verlassen, dass der Virenscanner auf dem Computer einen Dienst tut, den er nicht leisten kann, nämlich deinen Rechner vor jedem schädlichen Programm 100% zu schützen. Wirst du mal ungewollt „ferngewartet“, oder man hat dir einen Keylogger untergejubelt, hilft der Passwort-Manager auch noch deinem Besucher, deine Identität überall auszuleihen.

Egal wie blumig man solche Passwort-Manager auch anpreist … es geht hauptsächlich um Bequemlichkeit. Außerdem, was ist, wenn du dich mal irgendwo anmelden musst und deinen Rechner nicht in Reichweite hast?

Wenn du dir vor Augen hälst, dass dieses eine Programm deine komplette Identität im Internet verwaltet, sollte dir vielleicht doch der eine oder andere Zweifel durch den Kopf schießen.

Für solche die sich das alles reiflich überlegt haben und trotzdem einen Passwortmanager nutzen wollen, sollte dieser aus dem Open-Source-Bereich kommen.

Beispielsweise:

Passwort Safe von Bruce Schneier (https://www.pwsafe.org/), oder
KeePass von Dominik Reichl (https://keepass.info/index.html)

beide sind für das Betriebsystem Windows 7 und neuer. (By the way... Windows 7 solltest du dringend ersetzen)

Gestohlene Passwörter

Es kommt immer wieder vor, dass gleich ganze Passwort-Datenbanken geklaut werden. Administratoren sind auch nur Menschen und Menschen sind einfach nicht perfekt. Bis solche Vorfälle ans Tageslicht kommen, könnten die entwendeten Daten bereits lange im Einsatz sein. Es gibt da aber einen engagierten Menschen, der diese Datenbanken zusammenträgt. Man kann auf seiner Website (https://haveibeenpwned.com/) überprüfen, ob die eigene Email-Adresse betroffen ist. Damit hat man natürlich keine Sicherheit. Nur, wenn du dort deine Daten findest, hast du Glück, wenn deine Anmeldedaten noch überall funktionieren. Also auf jeden Fall, steht dann eine Passwört-Änderung an.

Ach ja...

sollte man noch erwähnen, dass

Passwörter nirgendwo auf dem Computer, der Tastatur, oder am Kühlschrank kleben sollten?
man seine Kennung und das persönliche Passwort nicht an andere weiter gibt?
man den Rechner beim Verlassen sperren sollte, oder sich ganz abmeldet?
man sich am Bürodrucker abmeldet, damit man keine unangenehmen Scans im Postfach hat?

Du schützt dich damit vor Repressalien, Mobbing, blöden Scherzen deiner Kollegen und nicht zuletzt deine stundenlange Arbeit und deren Integrität. Was nicht heißt, dass man sich seine Passwörter nicht doch irgendwo notieren und ablegen kann... aber eben gut überlegt