Mein Passwort ist doch sicher, oder?
Das weltweit beliebteste Passwort in 2020 – man kann es nicht glauben – war 12345 gefolgt auf Platz 2 von 123456789. Wie lange, schätzen Sie, benötigt ein Hacker, um eines dieser Passwörter zu knacken? Die Antwort lautet: weniger als eine Sekunde. Die Passwörter wurden über 23 Millionen bzw. über 8 Millionen Mal gehackt. Weitere ‚beliebte‘ Passwörter sind qwerty und qwertz, abc123 sowie 000000.
Aber auch vermeintlich sicherere Passwörter als die hier genannten unsicheren Spitzenreiter können kompromittiert werden. So kann selbst ein einziges, wenn auch sicheres Passwort, über unterschiedliche Dienste genutzt, Tür und Tor für Kriminelle öffnen. Denn wenn einmal eines Ihrer Passwörter geknackt ist, haben Angreifer es leicht, an weitere Ihrer Daten zu gelangen. Mit diesen verbunden sind oft persönliche Daten sowie Zahlungsdaten, die es den Hackern ermöglichen, in Ihrem Namen Transaktionen durchzuführen: mit schmerzlichen, sowohl finanziellen aber auch organisatorisch sehr aufwändigen Folgen.
Die folgende Darstellung zeigt anschaulich, wie lange es dauert, ein Passwort zu knacken. Da wird schnell klar, wie man sich schützen kann.
Wozu brauche überhaupt ich ein sicheres Passwort?
Ein sicheres Passwort und jeweils ein unterschiedliches für jeden Dienst und jede genutzte Plattform sind unerlässlich, um es Angreifern so schwer wie möglich zu machen, persönliche Daten zu stehlen, die dann kriminell genutzt werden. So könnten beispielsweise in Ihrem Namen Kredite aufgenommen werden, online eingekauft, Kreditkarten beantragt oder im schlimmsten Fall Lösegeld für die Herausgabe Ihrer Daten gefordert werden. Im sogenannten ‘Darknet’ herrscht ein reger Handel mit Daten, die dort an die Höchstbietenden verkauft werden.
Wie erstelle ich ein sicheres Passwort? Tipps für ein starkes Passwort
Nutzen sie möglichst viele unterschiedliche Passwörter mit einer Länge von mindestens 12 bis 16 Zeichen. Dabei sollten Sie folgende Punkte beachten:
Unbedingt zu vermeiden:
- keine Zahlenkombinationen (womöglich Ihr Geburtsdatum)
- keine Tastenkombinationen
- keine Wiederholungen von Zahlen oder Buchstaben (-reihen)
- kein Passwort, das persönliche Daten enthält wie deinen Namen, deine Telefonnummer, dein Geburtsdatum
- dasselbe Passwort für mehrere Dienste nutzen
Wichtige Kriterien für ein starkes Passwort:
- einzigartig für jeden Account
- ein Passwort ist lang, mindestens 12 - 16 Zeichen oder mehr
- es enthält Groß- und Kleinbuchstaben, Zahlen und Symbole
- möglichst alle 90 Tage ändern
- Nutzung eines Passwort-Generators
Viele Dienste bieten bei der Anmeldung direkt einen Passwort-Generator, der es Ihnen einfach macht, genau diese wichtigen Kriterien für eine sicheres Passwort zu erfüllen. snafu empfiehlt den Online Passwort-Generator von Datenschutz.org .
Den Überblick über die Passwörter behalten – Nutzung eines Passwort-Managers
Für jeden Dienst und jede Plattform ein eigenes sicheres Passwort, da verliert man schnell den Überblick. Die Liste der Passwörter gehört in keinem Fall auf einen Schmierzettel oder in eine gespeicherte Datei auf dem Rechner. Nutzen Sie einen von vielen am Markt verfügbaren Passwort-Managern, der Ihnen hilft, für jeden Dienst schnell das Passwort zu finden.
Ein Passwort-Manager benötigt ein Master-Passwort, das Sie sich merken müssen, um dann auf alle Ihre individuellen Passwörter zugreifen zu können. Viele dieser Manager sind kostenlos verfügbar. Die meisten helfen auch, starke Passwörter zu generieren.
snafu hat eine Auswahl von Passwort-Managern für Sie zusammengestellt
Keepass – kostenlos
https://www.datenschutz.org/passwort-manager-vergleich/#keepass
- Lokal und verschlüsselt gespeichert, Open Source
- Passwörter als .kdbx gespeichert, kann man dann an anderen PCs usw. nutzen
- Viele Zusatzfunktionen sind nicht einfach zu installieren (für Laien)
Dashlane – Abo-Modell (kostenlose Version möglich) https://www.datenschutz.org/dashlane/#ist-dashlane-sicher
- Cloud-basiertes Passwort speichern, überall jederzeit zur Verfügung
- Option, um Passwörter nur lokal speichern zu lassen
- Eventuelle Sicherheitsprobleme, da Passwörter nicht nur lokal gespeichert, sollte man die Cloud-Funktion nutzen
- 40 Euro jährlich
- kostenlose Version möglich aber mit starken Einschränkungen
iCloud Schlüsselbund (Apple)
https://www.datenschutz.org/keychain/
- Sofort auf allen (genehmigten) Geräten verfügbar
- Integriert und von Apple selbst, hohe Kompatibilität
- Eventuelle Sicherheitsrisiken, da Cloud-basiert
1password – kostenlos
https://www.datenschutz.org/passwort-manager-vergleich/#1password
- Synchronisation mit Dropbox oder iCloud möglich
- Teilen von Passwörtern an andere Benutzer möglich
- Eventuelle Sicherheitsrisiken, da Cloud-basiert
Profi-Tipps von snafu
Was sollte ich tun, wenn mein Passwort kompromittiert ist? Wenn das Passwort trotz hoher Schutzmaßnahmen von Angreifern entschlüsselt wurde und der Account gehackt wurde, sollte man so schnell wie möglich handeln:
- Prüfen, auf welchen möglichen anderen Seiten das Passwort genutzt wurde und ändern.
- Herausfinden, welche Daten betroffen sind.
- Falls beispielsweise Kreditkarteninformationen gestohlen wurden, entsprechend Karte sperren.
- Am besten für alle Dienste die Passwörter ändern.
- Einen Passwort-Manager nutzen.
Sie können sich auch proaktiv auf Seiten wie Heise Security über aktuelle Bedrohungen und Angriffe auf Dienste und Accounts informieren.
Zwei-Faktor-Authentifizierung – Was ist das und wieso sollte ich sie nutzen?
Die Zwei-Faktor-Authentifizierung oder auch Zwei-Faktor-Authentisierung bezeichnet den Identitätsnachweis eines Nutzers für eine Plattform oder einen Dienst mit Hilfe der Kombination von zwei unterschiedlichen und insbesondere voneinander unabhängigen Komponenten. In vielen Fällen sind hier noch physische Komponenten wie Smartcards oder Tokens notwendig. Viele Plattformen und Dienste nutzen aber auch zur Zwei-Faktor-Authentifizierung das Mobiltelefon oder eine Bestätigungsmail für die Anmeldung.
Da die Mehrheit der Angriffe von Kriminellen über das Internet erfolgt, kann die Zwei-Faktor-Authentifizierung diese Attacken besser abzuwehren. Das Entschlüsseln des Passworts reicht dem Angreifer nicht aus, um Zugriff auf den Benutzer-Account zu erhalten. Zugriff auf das Telefon oder den Rechner des Nutzers sind unwahrscheinlich. Somit macht jeder zusätzliche Authentifizierungs-Faktor das System sicherer.
#FragederWoche: In regelmäßigen Abständen behandeln wir an dieser Stelle Fragen unserer Kunden. Sie haben eine Frage? Schreiben Sie uns an hotline@snafu.de.