Wie ich meinen Passwortdschungel gebändigt habe
Nein, dein Passwort ist nicht so clever. Dieser Text zeigt dir, was wirklich sicher ist – und wie du den Durchblick behältst.
Täglich logge ich mich in zahllose digitale Konten ein. 2 Cloud-Speicher, 3 verschiedene E-Mail-Dienstleister und dazu
Ein Hacker war in einen Online-Shop eingebrochen, bei dem ich ab und zu einkaufe, und hatte Passwörter gestohlen. Zur Sicherheit sollte ich mein Passwort ändern. Aber wo war überhaupt mein altes Passwort und wie lautete es?
Nachdem ich eine Stunde lang in Notizbüchern und auf Festplatten gesucht hatte, musste ich mir eingestehen: Beim Thema digitale Sicherheit hatte ich wohl einen blinden Fleck. Du schmunzelst jetzt und denkst, dass es dir anders geht? Dann kannst du sicher folgende Fragen mit »ja« beantworten:
- Kannst du auswendig die Passwörter für deine letzten 10 Logins nennen, ohne zu raten?
- Nutzt du unterschiedliche Passwörter für alle deine Konten?
- Verzichtest du online immer darauf, »eingeloggt zu bleiben«?
- Hast du noch nie ein Passwort per Mail oder Messenger verschickt?
Ich konnte leider nicht alles bejahen. Höchste Zeit also, die Sicherheit meines digitalen Kosmos zu überdenken sowie neu und besser zu strukturieren.
»Du musst echt mal einen Text zu Passwortsicherheit machen.« – Meine Kollegen
Aber wie geht das in der Praxis? Wo soll ich anfangen und welche Passwörter sind 2019 überhaupt noch sicher? Und wie kann ich eine hohe Sicherheit erreichen, ohne mir sinnlos lange Zahlenkombinationen zu merken?
Ich machte mich an die Arbeit, meine digitale Welt in eine Festung der Sicherheit zu verwandeln. Das habe ich dabei gelernt.
Wie es nicht geht: Diese Passwörter sind absolut daneben
Bei meiner Suche nach mehr Sicherheit stolpere ich über eine schockierende Zahl: Rund 86% aller Passwörter sind sehr wahrscheinlich unsicher. Dies hat der australische Web-Sicherheitsexperte und Entwickler Troy Hunt errechnet. Troy Hunt, der früher für Microsoft arbeitete, verfolgt seit Jahren Datenskandale und Datenlecks rund um den Globus und sammelt kompromittierte Informationen.
Beim großen US-Datenskandal um
Beispiele gefällig?
- 123456 (die ersten 6 Zahlen)
- qwerty (die ersten 6 Buchstaben einer US-amerikanischen Tastatur)
- password1 (auch eine Zahl dahinter macht das dümmste Passwort der Welt nicht besser)
- CashCrate123 (der Name der Website)
- I love nikki (wahrscheinlich schön für Nikki; aber nicht sicher)
Wie entstehen Datenlecks und kompromittierte Passwörter?
Ironischerweise lautet die Antwort: durch unsichere Passwörter. Das Sicherheitsunternehmen »tracesecurity« schätzte im August 2018, dass 81% aller Datenlecks weltweit durch unsichere Passwörter von Mitarbeitern entstanden sind.
Auch wir in Deutschland machen es nicht besser. Unter den 10 häufigsten Passwörtern hierzulande sind immer noch
All diese Passwörter seien, so erklärt Troy Hunt, zu einfach und schnell zu knacken – und das hat auch etwas mit modernem Hacking zu tun. Denn heute setzen böse Jungs auf Hacking-Programme mit moderner Rechenpower. Wäre ein Passwort wie »Spiderman97« im Jahr 2000 noch halbwegs annehmbar gewesen, hält es heute einem Einbruchsversuch keine 12 Minuten stand. Vor allem Namen, bekannte Figuren, Orte und angehängte simple
Dass sich so viele Menschen auf ihre unsicheren Passwörter im Netz verlassen, liegt allerdings auch an den Websites selbst. Die Deutsche Telekom empfiehlt für ein Onlinekonto mindestens 8 Zeichen, Groß- und Kleinbuchstaben und ein Sonderzeichen. Das Problem: Das trifft auch auf »Passwort12« zu – ich mache den Test und tatsächlich signalisiert die Telekom grünes Licht für »sicher«. Der Onlinehändler Amazon schießt mit der einzigen Empfehlung »Passwörter müssen mindestens 6 Zeichen lang sein« den Vogel ab, gibt gar keine Einschätzung zur Sicherheit und erlaubt sogar »123456« zum Registrieren. Bei so niedriger Sicherheit könnte man auch gleich die Kreditkartennummer samt Prüfziffer online posten.
Troy Hunt findet deshalb: »Traditionelle Passwortregeln sind grauenhaft und sie müssen einen feurigen Tod sterben.« Er fordert Websites deshalb auf, bekannte unsichere Passwörter, die auf den Listen von Have I been pwned? vorkommen, generell zu sperren, und die eigenen Regeln zur Passworterstellung zu überarbeiten.
Nachdem ich jetzt also die Stolperfallen kenne, muss ich es selbst erst mal besser machen. Dazu hole ich mir bei einem deutschen Sicherheitsexperten Rat, wie es richtig geht.
Das sicherste Passwort lautet …
Titelbild: Muhammad Raufan Yusup - CC0 1.0
Weitere Artikel für dich
