Passwörter

Passwörter

Inhaltsübersicht

Heutzutage werden Passwörter fast überall als Schutzmechanismen verwendet. Sei es für Social Media Accounts, Online-Dienste oder E-Mails. Alles wird in der Regel über ein Passwort geschützt. Um bei dieser riesigen Anzahl an Passwörtern nicht den Überblick zu verlieren, greifen viele auf ein leicht zu merkendes Passwort zurück und/oder verwenden bei verschiedenen Diensten immer dasselbe Passwort. Das ist alles andere als sicher und macht es Angreifern einfacher, an private Daten zu gelangen. Viele Statistiken zeigen auch, das Passwörter in der Regel viel zu kurz gewählt werden. Damit du diese Fehler künftig vermeidest, erfährst du hier, was es bei einem sicheren Umgang mit Passwörtern zu beachten gibt.1

Kriterien für ein sicheres Passwort

Länge des Passworts

Bei der Wahl eines sicheren Passworts gibt es einige Dinge zu beachten. Da wäre zum einen die Länge des Passworts. Laut BSI sollte dein Passwort aus mindestens acht Zeichen bestehen und ein WLAN-Passwort aus 20 Zeichen, wenn du auf das Verschlüsselungsverfahren WPA bzw. WPA2 setzt. Aus heutiger Sicht (Stand 2020) sind jedoch auch acht Zeichen mit der entsprechenden Rechenleistung in wenigen Minuten bis Stunden geknackt. Daher gilt die Regel “umso länger, desto besser”.

Bist du Programmierer und interessiert dich was du zum Thema Passwort und Authentifizierung beim Entwickeln einer Software beachten musst, wirf doch ein Blick in den NIST-Standard. Hier wurden Richtlinien verfasst, die weltweit von allen großen Firmen eingehalten werden müssen und du erhältst zusätzlich Informationen rund um das Thema Authentifizierung.

Passwortkomplexität

Doch allein die Länge macht ein Passwort nicht sicher, auch die Komplexität muss stimmen. Dir ist wahrscheinlich klar, dass das Passwort “123456789” genauso unsicher ist wie “passwort”. Dein Passwort sollte am besten immer folgende drei Kriterien erfüllen: Verwendung von Groß-, Kleinbuchstaben, Sonderzeichen (inkl. Leerzeichen). Vorsicht jedoch bei den Zeichen “ä”, “ö”, “ü” und “ß” diese sind nicht auf allen Tastaturen vorhanden. Gut ist, wenn du leicht zu verwechselnde Zeichen verwendest, wie zum Beispiel “O” und “0” oder “S”, “$” und “§”.

Hast du Schwierigkeiten, dir ein Passwort auszudenken, dass alle Kriterien erfüllt, kannst auf Passwortgeneratoren zurückgreifen. Diese bieten zum Teil Optionen, mit denen du festlegen kannst, wie lang das Passwort sein soll oder welche Sonderzeichen enthalten sein müssen.

No-Gos

Auf keinen Fall solltest du als Passwörter Passwortkombinationen aus deinem Namen, Geburtsdatum oder Wohnort nehmen, auch nicht die von Freunden und Familienmitgliedern. Ein Angreifer könnte diese Informationen besitzen, vor allem wenn man hier an Social Engineers denkt. Das heißt, persönliche Infos in Passwörtern sind immer schlecht! Vermeide zudem Wörter aus Wörterbüchern, Tastarturfolgen und sprechende Wörter zu verwenden. Auch Wörter, die nur um Sonderzeichen am Anfang oder Ende des Wortes ergänzt wurden, sind schlecht.

Sicherer Umgang mit Passwörtern

Eingabe von Passwörtern

Neben sicheren Passwörtern ist ein vorsichtiger Umgang wichtig. Bei der Eingabe der Geheimnummer bei einem Bankautomaten achtest du unbewusst oder bewusst darauf, dass dir niemand über die Schulter schaut. Dies solltest du auch tun, wenn du deine Geräte in der Öffentlichkeit entsperrst.

Speichern von Passwörtern

Da sich die wenigsten Menschen alle Passwörter merken können, werden diese häufig auf Zettel notiert. Falls du zu diesen Menschen gehörst, solltest du unbedingt deine Passwörter nicht in Klartext notieren. Wenn möglich auch nicht das Passwort und den dazugehörigen Dienst nebeneinander. Gerät dieser Zettel in die falschen Hände, bist du deine Accounts schnell los. Bewahre deinen Zettel daher immer an einem sicheren Ort, der nur von dir zugänglich ist oder trage ihn am besten immer bei dir. Einfacher und bequemer ist natürlich die Verwendung von Passwortmanagern.

Teilen von Passwörtern

Kommst du in die Situation, dass du ein Passwort teilen musst, mache dies über einen sicheren Kanal. Der Mailverkehr gehört nicht dazu, da die zuständigen Protokolle alles Klartextprotokolle sind. Wenn du deine E-Mail verschlüsselst, geht das in Ordnung. Teile Benutzername und Passwort über zwei unterschiedliche Kanäle, wie es die DSGVO vorsieht. Am sichersten ist es, wenn du dein Passwort der Person persönlich mitteilst.

Verdacht auf Passwortmissbrauch

Hast du den Verdacht, dass ein Passwort von dir missbraucht wurde, solltest du dieses Passwort so schnell wie möglich ändern. Handelt es sich um ein Passwort zu einer E-Mail-Adresse, ändere unbedingt alle Passwörter, bei denen du mit dieser E-Mail eingeloggt bist.

Sonstiges

Verwende wirklich nie dasselbe Passwort mehrmals und ändere immer alle voreingestellten Passwörter, bevor du den Account oder das Gerät verwendest. Versehe außerdem alle Geräte mit einem Passwortschutz, falls vorhanden Zweifaktor Authentisierung. Was das genau ist, erfährst du später. Deine Geräte sollten zudem nach einer Abwesenheit von circa fünf Minuten automatisch gesperrt werden.2

passwort

Vorteile

Bei der Verwendung eines Passwortmanagers musst du dir statt allen nur noch ein Passwort merken, das Masterpasswort. Mit diesem erhältst du Zugang zum Passwortmanager. Es ist daher wichtig, ein starkes Masterpasswort zu wählen. Ein weiterer Vorteil von Passwortmanagern ist, dass teils eine automatische Anmeldung für Webseiten und Apps unterstützt wird. Du musst somit nicht ständig von Hand dein Passwort eingeben. Es gibt zudem Passwortmanager mit einem geräteübergreifenden Passwortspeicher.

Nachteile

Die Ersteinrichtung eines Passwortmanagers ist meist mühsam, da du deine existierenden Passwörter zuerst einpflegen musst. Zudem kann ein Verlust des Masterpassworts fatale Folgen mit sich bringen. Nicht bei jedem Passwortmanager hast du dann noch die Möglichkeit, mit viel Aufwand dein Masterpasswort zurücksetzen zu lassen. Mit dieser Möglichkeit verringert sich jedoch die Sicherheit, da der Betreiber mit dem Zurücksetzen des Masterpassworts auch an deine Passwörter rankommen könnte. Lies dir daher vor der Nutzung eines Passworts die Datenschutzrichtlinien und AGBs durch.

Funktionsweise

Im Grunde funktionieren alle Passwortmanager gleich. Sie bieten dir die Möglichkeit, alle Passwörter unterschiedlicher Plattformen an einem Ort zu speichern, in einer Art Tresor. Einige Programme bieten zusätzlich einen integrierten Passwortgenerator. Passwörter werden dabei mittels AES-256 oder PBKDF2 (Password Based Key Derivation Function) verschlüsselt. Bei der Erstverwendung des Passwortmanagers muss ein Masterpasswort angelegt werden.

Entscheidest du dich für die cloudbasierte Variante achte darauf, dass sich der Serverstandort in Deutschland oder zumindest in Europa befindet. Damit der bestmögliche Datenschutz gewährleistet werden kann. Bei lokal arbeitenden Passwortmanagern ist es wichtig, dass der Anbieter eine App zur Verfügung stellt. So kannst du dein Passwortmanager auf dem Smartphone einrichten und hast deinen Tresor auch fast immer dabei.

Zweifaktor Authentisierung

Zweifaktor Authentisierung (2FA) ist eine zusätzliche Funktion, welche du bei manchen Accounts aktivieren kannst, um mehr Sicherheit zu garantieren. Bei der Anmeldung werden dann zwei voneinander unabhängige Faktoren benötigt, die korrekt sein müssen, um eingeloggt zu werden. Auf der Seite Two Factor Auth kannst du überprüfen, ob ein von dir genutzter Dienst Zweifaktor Authentisierung anbietet oder auf der entsprechenden Seite unter Einstellungen oder Sicherheit.

Der Vorteil von 2FA ist, dass selbst wenn ein Angreifer dein Passwort zu einem Account besitzt, trotzdem noch kein Zugang zu deinen Daten hat, da er den zweiten Faktor nicht besitzt. Jedoch kann die Usability darunter leiden, wenn der zweite Faktor auf ein weiteres Gerät gesendet wird, was dabei immer mitgeführt werden muss.

Der zweite Faktor

Beim zweiten Faktor werden grundsätzlich drei verschiedene Typen unterschieden (Art der Information). Bei Typ 1 handelt es sich um etwas, das man besitzt. Zum Beispiel ein bestimmter USB-Stick, der zur Anmeldung benötigt wird oder ein externes Gerät. Bei Typ 2 wird eine Information zur Authentisierung benötigt, die man hat. Häufig ist das ein biometrisches Merkmal wie dein Fingerabdruck. Bei Typ 3 wird eine Wissensinformation abgefragt. Das könnte eine PIN, ein zusätzliches Kennwort oder eine Antwort auf eine Sicherheitsfrage sein. Die generierten Authentisierungscodes aus Apps wie zum Beispiel Google Authenticator zu Beispiel gehören zum Typ 3.

FIDO2

FIDO2 ist ein lizenzfreier Standard des W3C und der FIDO-Allianz mit dem es weltweit möglich ist, sich im Web sicher zu authentifizieren. Zum Teil auch ganz ohne Benutzername und Passwort.

Im Registrierungsprozess bei einem Webservice wird ein Schlüsselpaar aus öffentlichem und privaten Schlüssel erzeugt. Der öffentliche Schlüssel wird auf dem öffentlichen Server des Webservices und der private Schlüssel auf dem verwendeten Gerät gespeichert. Versucht man nun sich bei dem Dienst anzumelden, wird die Anmeldungsbestätigung mit dem privaten Schlüssel verschlüsselt und an den Server geschickt. Dort wird diese mit dem hinterlegten öffentlichen Schlüssel entschlüsselt. Gelingt die Entschlüsselung, so hat man sich erfolgreich authentifiziert, andernfalls nicht.

Ein FIDO2-Sicherheitsschlüssel ist meist in Form eines USB-Sticks erhältlich, die erst durch eine Nutzeraktion (Passworteingabe, Fingerabdruck, Knopfdruck) entsperrt werden müssen. Willst du mehr zu FIDO2 erfahren, kannst du dich auf der offiziellen Seite der FIDO-Allianz informieren oder den Artikel “FIDO2: Der neue Standard für den sicheren Web-Log-in” von IONOS durchzulesen.

HPI Identity Leak Checker

Willst du überprüfen, ob deine Identität geleakt wurde kannst du auf den Service “HPI Identity Leak Checker” des Hasso-Plattner-Instituts zurückgreifen. Deine E-Mail-Adresse, die du in das vorgesehene Eingabefeld eingegeben hast, wird mit der Datenbank bekannt gewordener Leaks verglichen. Befindet sich die Mailadresse und mit dieser in Verbindung stehenden persönlichen Daten offengelegt im Netz, wirst du per Mail benachrichtigt. In dieser Mail werden dir auch Verhaltenstipps für die weitere Herangehensweise geschildert.

Eine Alternative zum “HPI Identity Leak Checker” ist der Firefox Monitor, welcher dieselbe Funktionalität anbietet. Zusätzlich kannst du hier deine E-Mail regelmäßig automatisch überprüfen lassen und wirst benachrichtigt, falls diese in einem Leak aufgetaucht ist. Die Voraussetzung hierfür ist aber, dass du dich bei Firefox Monitor angemeldet hast. Dieser Dienst wird dir kostenlos zur Verfügung gestellt. Firefox Monitor basiert auf den Service “Have I been Pwned”, welches dir in einem separaten Text vorgestellt wird.

Du suchst nach den perfekten Lernunterlagen für dein Studium? Dann schau doch mal auf Studydrive vorbei.

Hier findest du viele, viele kostenlose Lernunterlagen, Übungsblätter, Altklausur-Lösungen und kannst dich mit anderen Studis austauschen.

Zeig mir Studydrive