Wie ich meinen Passwortdschungel gebändigt habe
Nein, dein Passwort ist nicht so clever. Dieser Text zeigt dir, was wirklich sicher ist – und wie du den Durchblick behältst.
Täglich logge ich mich in zahllose digitale Konten ein. 2 Cloud-Speicher, 3 verschiedene E-Mail-Dienstleister und dazu
Ein Hacker war in einen Online-Shop eingebrochen, bei dem ich ab und zu einkaufe, und hatte Passwörter gestohlen. Zur Sicherheit sollte ich mein Passwort ändern. Aber wo war überhaupt mein altes Passwort und wie lautete es?
Nachdem ich eine Stunde lang in Notizbüchern und auf Festplatten gesucht hatte, musste ich mir eingestehen: Beim Thema digitale Sicherheit hatte ich wohl einen blinden Fleck. Du schmunzelst jetzt und denkst, dass es dir anders geht? Dann kannst du sicher folgende Fragen mit »ja« beantworten:
- Kannst du auswendig die Passwörter für deine letzten 10 Logins nennen, ohne zu raten?
- Nutzt du unterschiedliche Passwörter für alle deine Konten?
- Verzichtest du online immer darauf, »eingeloggt zu bleiben«?
- Hast du noch nie ein Passwort per Mail oder Messenger verschickt?
Ich konnte leider nicht alles bejahen. Höchste Zeit also, die Sicherheit meines digitalen Kosmos zu überdenken sowie neu und besser zu strukturieren.
»Du musst echt mal einen Text zu Passwortsicherheit machen.« – Meine Kollegen
Aber wie geht das in der Praxis? Wo soll ich anfangen und welche Passwörter sind 2019 überhaupt noch sicher? Und wie kann ich eine hohe Sicherheit erreichen, ohne mir sinnlos lange Zahlenkombinationen zu merken?
Ich machte mich an die Arbeit, meine digitale Welt in eine Festung der Sicherheit zu verwandeln. Das habe ich dabei gelernt.
Wie es nicht geht: Diese Passwörter sind absolut daneben
Bei meiner Suche nach mehr Sicherheit stolpere ich über eine schockierende Zahl: Rund 86% aller Passwörter sind sehr wahrscheinlich unsicher. Dies hat der australische Web-Sicherheitsexperte und Entwickler Troy Hunt errechnet. Troy Hunt, der früher für Microsoft arbeitete, verfolgt seit Jahren Datenskandale und Datenlecks rund um den Globus und sammelt kompromittierte Informationen.
Beim großen US-Datenskandal um
Beispiele gefällig?
- 123456 (die ersten 6 Zahlen)
- qwerty (die ersten 6 Buchstaben einer US-amerikanischen Tastatur)
- password1 (auch eine Zahl dahinter macht das dümmste Passwort der Welt nicht besser)
- CashCrate123 (der Name der Website)
- I love nikki (wahrscheinlich schön für Nikki; aber nicht sicher)
Wie entstehen Datenlecks und kompromittierte Passwörter?
Ironischerweise lautet die Antwort: durch unsichere Passwörter. Das Sicherheitsunternehmen »tracesecurity« schätzte im August 2018, dass 81% aller Datenlecks weltweit durch unsichere Passwörter von Mitarbeitern entstanden sind.
Auch wir in Deutschland machen es nicht besser. Unter den 10 häufigsten Passwörtern hierzulande sind immer noch
All diese Passwörter seien, so erklärt Troy Hunt, zu einfach und schnell zu knacken – und das hat auch etwas mit modernem Hacking zu tun. Denn heute setzen böse Jungs auf Hacking-Programme mit moderner Rechenpower. Wäre ein Passwort wie »Spiderman97« im Jahr 2000 noch halbwegs annehmbar gewesen, hält es heute einem Einbruchsversuch keine 12 Minuten stand. Vor allem Namen, bekannte Figuren, Orte und angehängte simple
Dass sich so viele Menschen auf ihre unsicheren Passwörter im Netz verlassen, liegt allerdings auch an den Websites selbst. Die Deutsche Telekom empfiehlt für ein Onlinekonto mindestens 8 Zeichen, Groß- und Kleinbuchstaben und ein Sonderzeichen. Das Problem: Das trifft auch auf »Passwort12« zu – ich mache den Test und tatsächlich signalisiert die Telekom grünes Licht für »sicher«. Der Onlinehändler Amazon schießt mit der einzigen Empfehlung »Passwörter müssen mindestens 6 Zeichen lang sein« den Vogel ab, gibt gar keine Einschätzung zur Sicherheit und erlaubt sogar »123456« zum Registrieren. Bei so niedriger Sicherheit könnte man auch gleich die Kreditkartennummer samt Prüfziffer online posten.
Troy Hunt findet deshalb: »Traditionelle Passwortregeln sind grauenhaft und sie müssen einen feurigen Tod sterben.« Er fordert Websites deshalb auf, bekannte unsichere Passwörter, die auf den Listen von Have I been pwned? vorkommen, generell zu sperren, und die eigenen Regeln zur Passworterstellung zu überarbeiten.
Nachdem ich jetzt also die Stolperfallen kenne, muss ich es selbst erst mal besser machen. Dazu hole ich mir bei einem deutschen Sicherheitsexperten Rat, wie es richtig geht.
Das sicherste Passwort lautet …
Gute Passwörter sind einzigartig, haben eine hohe Länge von 16 Zeichen und mehr und eine komplexe Informationsdichte. Was das konkret heißt,
»Das kann sich ja leider kein Mensch merken. Könnte ich auch nicht«, findet Tim Berghoff. Der Sicherheitsexperte arbeitet beim deutschen IT-Security-Unternehmen G DATA und hat täglich mit Sicherheitsschwachstellen zu tun. »Der Mensch macht es sich gern einfach«, erklärt Berghoff. Deshalb verführte Zahlen-Zeichen-Kauderwelsch nur dazu, lange Merkzettel zu erstellen und diese in der Brieftasche dabei zu haben oder im schlimmsten Fall online zu speichern. Und das sind natürlich wieder Sicherheitsrisiken.
Berghoffs Tipp, um Sicherheit und Nutzbarkeit zu verbinden: Lange Passwörter als ganze Sätze generieren als so genannte »Passphrase«. Das ist leicht zu merken und mit einzigartigem
Da hätte ich also ein neues, sicheres Ersatz-Passwort für meinen Online-Shop,
Für Sicherheitsexperten Berghoff ein Unding: »Auch sichere Passwörter sollten nie mehrfach verwendet werden.« Ist ein Passwort nämlich doch mal geknackt, hat der Angreifer plötzlich potenziell Zugriff auf viel mehr. »Im schlimmsten denkbaren Szenario ist eine ganze digitale Identität kompromittiert. So was wieder in den Griff zu kriegen, ist ein enormer Aufwand.«
Sicherheit im Netz bedeutet deshalb auch mehr als nur Passwörter. Berghoffs Regeln dafür wirken streng, ergeben aber Sinn:
- Passwörter einzigartig halten: Jeder einzelne Account muss mit einem eigenen sicheren Passwort geschützt werden.
- Sicherheitsinformationen nie digital ungesichert ablegen: Jede Passwortliste, die digital gespeichert ist, ist ein Sicherheitsrisiko.
- Sicherheitsinformationen nie zusammen verschicken: Passwörter und Accountdaten sollten nie zusammen über denselben Messenger gesendet werden. Falls es sich doch mal nicht vermeiden lässt: – lieber die Informationen aufteilen. (zum Beispiel Benutzername per Telefon, Passwort per Messenger)
- Passwörter sofort ändern: Passwörter sollte man immer dann ändern, wenn klar ist, dass ein Passwort kompromittiert worden ist.
- Herumliegende Geräte mit Zeitpasswort sichern: Wer ein Gerät gerade nicht nutzt, sollte es sperren – auch beim Kaffeeholen. Fast alle Geräte haben dazu automatische Einstellungen für Sperrbildschirme nach Zeit.
Passwörter regelmäßig wechseln?
Der regelmäßige Wechsel von Passwörtern – etwa alle 90 Tage – ist blanker Unsinn. Diese Empfehlung vom US-amerikanischen »National Institute of Standards and Technology« ist längst überholt und der Verantwortliche, Bill Blur, schämt sich sogar für den Mehraufwand und Ärger, den er Nutzern damit gemacht hat.
Ich gebe nicht auf und entwickle einen neuen Plan für mein digitales Fort Knox: Ich werde die Passwortliste auf einem Gerät wie dem Smartphone offline speichern und dieses mit einem modernen Fingerabdruck-Scanner sichern. Das hat schon bei James Bond gut funktioniert, und schließlich gehört der Fingerabdruck nur mir, oder?
Auch dein Daumenabdruck ist nicht so sicher, wie du denkst
»Unter dem Gesichtspunkt der Nutzbarkeit sind Fingerabdrücke als Sicherheitsschlüssel ein Traum«, findet auch Tim Berghoff. Und niemand muss sich irgendetwas merken.
Doch der Sicherheitsexperte kennt auch die Nachteile: »Biometrische Daten wie Fingerabdrücke lassen sich nur schlecht neu vergeben. Jeder Mensch hat schließlich nur 10 davon. Und für das Gerät ergibt es kaum einen Unterschied, denn auch ein Fingerabdruck wird im Gerät wieder
Hier haben ausgedachte Passwörter die Nase vorn, denn sie kann man beliebig oft neu vergeben – so lange eben die Fantasie reicht.
Dazu lassen sich biometrische Daten wie Fingerabdrücke kaum geheim halten. Das beweist jede Smartphone-Oberfläche im Sonnenlicht. Und biometrische Abdrücke sind nicht unknackbar, erklärt Tim Berghoff: »Es kommt auch sehr auf die verbaute Technik an. Generell lässt sich sagen: Wer genug Zeit und entsprechende Ausstattung hat, kann auch Fingerabdrücke fälschen. Ich habe schon auf Sicherheitskonferenzen gesehen, wie mit ein bisschen Puder, Tesafilm und Gelatine in wenigen Minuten eine funktionierende Kopie eines Fingerabdrucks erstellt wurde. Für einen Einsatz auf breiter Front ist das allerdings viel zu aufwendig.«
Damit scheiden auch Science-Fiction-Technologien wie Atem-Scanner, Iris-Scanner oder DNA-Scanner aus. Denn wo Technik für Sicherheit sorgt, gibt es auch technische Möglichkeiten, diese zu knacken. Ich muss einsehen: Eine Lösung für absolute Sicherheit gibt es eben nicht. Aber vielleicht mehrere …
Hier kommt ein Wort ins Spiel, das Sicherheitsexperten lieben: »Multi-Faktor-Authentifizierung«. Die ist eigentlich ganz einfach erklärt: Etwas, das der Nutzer hat (etwa ein Schlüssel oder USB-Stick mit Schlüsselcode), plus ein biometrisches Merkmal (etwa ein Fingerabdruck) und etwas, das er weiß (etwa ein Passwort), müssen zusammenkommen – erst mit dieser Kombination erhält man Zugang zu einem Dienst.
Was ist ein USB-Schlüssel?
Ein USB-Schlüssel wie »ID50« von »IDENTSmart« ist ein Hardware-verschlüsselter Stick, der alle Passwörter speichert und den ich an den Schlüsselbund hängen kann. Eine nette Zukunftsidee mit einem ganz alten Nachteil – wird er gestohlen, stehe ich quasi ohne Passwörter da.
Das hilft aber nicht bei 112 Passwörtern … oder doch?
Deshalb ist dieser Passwort-Manager meine Allround-Lösung
Wenn ich ehrlich bin, bin ich durchaus bereit, mir eine extralange Passwortphrase zu merken und sogar mit Multi-Faktor-Authentifizierung noch sicherer zu machen – aber eben nur einmal. Schließlich habe ich mich bereits vergangenes Jahr dem digitalen Minimalismus verschrieben.
Geht hohe Sicherheit nicht auch einfacher, ohne ein Gedächtnis-Genie zu sein? Doch. Für Menschen wie mich wurde eine Lösung entwickelt: die Passwort-Manager.
Dabei handelt es sich um Webdienste und Programme, die Passwörter für Nutzer verwalten. Ich brauche also nur ein einziges sicheres Passwort, nämlich den Zugang zum Programm, das mir alles andere abnimmt. Bin ich beim Manager eingeloggt, generiert er automatisch sichere Zahlen-Zeichen-Kauderwelsch-Passwörter für Webdienste und füllt sie aus. Das ist bequem und sicher, aber auch hier gibt es natürlich einen Haken – oder sogar 2:
- Vertrauen: Fast alle Passwort-Manager speichern die Daten online auf ihren Servern oder in der Cloud. Ich muss also meine sensibelsten Daten einem Unternehmen anvertrauen – auch wenn dieses beteuert, sie nicht einzusehen und starke Verschlüsselungen zu nutzen.
- Geld: Passwort-Manager lassen sich ihre Dienste pro Monat bezahlen.
Ich will lieber Unabhängigkeit und die volle Kontrolle selbst behalten. Da bietet sich der Password Safe von KeePass an, der sogar vom
Fertig ist mein neues, digitales Fort Knox.
Doch das ist nur meine eigene Lösung. Während der Recherche habe ich vor allem gelernt, dass jeder Mensch einen eigenen Kompromiss zwischen Sicherheit und Nutzbarkeit finden muss. Was ist deiner? Erzähl es mir in den Diskussionen.
Titelbild: Muhammad Raufan Yusup - CC0 1.0
Weitere Artikel für dich
