Grundlagen-Lektion 2, Artikel zum Lesen und Ausprobieren

Warum du für jeden Online-Zugang ein separates, sicheres Passwort benötigst.

Ob Online-Banking, WLAN, Laptop, E-Mail, Shopping oder Social Media Accounts – alle unsere Zugänge zur digitalen Welt werden mit Passwörtern gesichert. Von der Sicherheit dieser Passwörter hängt auch unsere Online-Sicherheit ab.

Unsichere Passwörter und die Verwendung desselben Passwortes in mehreren Accounts ist nach wie vor ein großes Problem.

Und selbst wenn unsere Passwörter sorgfältig gewählt und sicher sind, passiert es häufig, dass Unternehmen unsere Zugangsdaten (Anmeldename, Passwort, usw.) nicht ausreichend vor Angriffen schützen.

Deshalb zunächst ein paar einfache Grundregeln:

(1) Jeder Zugang (Account) den Du besitzt, bekommt ein eigenes, sicheres Passwort. Das ist sehr, sehr wichtig. Wird z.B. Facebook angegriffen und ein Hacker erbeutet auch deinen Zugang, kann er damit nicht in andere Zugänge von dir einbrechen. Du musst wissen, die meisten “Hacks” werden erst bekannt, wenn sie für den Hacker keinen kommerziellen Nutzen mehr haben.

(2) Sichere Passwörter sind:

  • Passwörter mit Buchstaben, Zahlen und Sonderzeichen,
  • zufällig generiert,
  • länger als 10 Zeichen,
  • nicht zu erraten.

Da solche Passwörter sehr schwer zu merken sind und in der Benutzung durchaus die Gefahr besteht sich auszusperren, verwendet man einen vertrauenswürdigen Passwort-Manager, der auf Handy, PC und vor allem auch im Browser als sogenannte Erweiterung (Extension) zur Verfügung steht. So muss man die Passwörter die man für Webanwendungen benötigt, nicht mehr tippen.

(3) Nutze für wichtige Zugänge einen separaten Zugangsnamen (oft eine E-Mail-Adresse), den Du nirgendwo sonst einsetzt. Wichtige Zugänge sind z.B. deine E-Mail, deine Apple-ID oder dein Google-Konto.

(4) Melde dich niemals über Google, Facebook oder Apple-ID an – nutze immer einen eigenen Zugangsnamen/E-Mail-Adresse bei der Anmeldung für einen neuen Dienst.

Warum? Es geht die großen Drei nichts an, wo Du noch angemeldet bist und wurde z.B. dein Facebook-Account gehackt, sind andere Zugänge davon nicht betroffen. Und wenn Facebook wieder mal eine Panne hat, kannst Du dich trotzdem anmelden.

Passphrasen sind die neuen Passwörter?

Da selbst mit einem Password-Manager lange, zufällige Passwörter sehr unhandlich sind, erlauben Sicherheitsprogramme das Erstellen von sogenannten Passphrasen (Bündel von Wörtern und Zeichen).

Passphrasen sollten mindestens 4 besser 5 zufällig, kombinierte Wörter mit insgesamt 25 bis 64 Zeichen enthalten. Dein Master-Passwort für den Passwort-Manager und die Festplattenverschlüsselung des Rechners sollten aus 6 Phrasen bestehen.

Man kann diese Passphrasen mit einem vertrauenswürdigen Passwort-Manager erstellen, oder sich die Passphrasen mittels Diceware™ selber würfeln.

Diceware™ ist eine Methode zum Auswählen von Passphrasen, bei der gewöhnliche Würfel verwendet werden, um Wörter nach dem Zufallsprinzip aus einer speziellen Liste, – der Diceware-Wortliste, –  auszuwählen. Jedem Wort in der Liste ist eine fünfstellige Zahl vorangestellt. Alle Ziffern liegen zwischen eins und sechs, so dass sie die Ergebnisse von 5x Würfeln verwenden, um ein Wort aus der Liste auszuwählen.

Soll ich alles in einem Passwort-Manager speichern?

Sehr wichtige Passwörter und Passphrasen für:

  • Passwort-Managers,
  • Festplattenverschlüsselung des Computers,
  • Logins für Computer und Handy,

erstelle ich manuell (z.B. mit Diceware™) als lange Passphrasen. Ich versuche mir diese Passphrasen einzuprägen und verwahre sie nur auf Papier an einem sicheren Ort.

Wurde ich gehackt? Was bedeutet das eigentlich?

In der Regel greift dich zunächst niemand persönlich an. Die meisten “Hacks”, bzw. Angriffe erfolgen auf Unternehmen, meist bekannte Anbieter bei denen viele Nutzer einen Zugang (Account) halten. Oft erlangen Angreifer dann Zugriff auf alle Accounts mit Informationen wie:

  • Namen, Geburtsdatum, Wohnort
  • E-Mail-Adresse, Handynummer
  • Aufenthaltsorte
  • hinterlegte Kreditkarte

Diese von dir beim Anbieter hinterlegten Informationen können dann genutzt werden, um dir persönlich zu schaden. Etwa durch Abbuchung von Kleinbeträgen von deiner Kreditkarte, durch toxische E-Mails oder SMS und z.B. die Kontrolle über dein SmartPhone oder dein Computer zu erlangen.

In der Regel werden diese gehackten Daten zunächst im Stillen “unter Hackern” verkauft. Sie werden erst veröffentlicht, wenn sie a) kommerziell nutzlos sind oder b) ethisch handelnde Personen diese “Hacks” publizieren. Das zwingt dann auch die betroffenen Unternehmen:

  • ihre Nutzer zu informieren, damit die ihre Zugänge ändern
  • (hoffentlich) Ihre Cyber-Sicherheit zu verbessern

Der Aktivist Troy Hunt, ein leitender Microsoft-Mitarbeiter, betreibt privat eine “Sammlung” der bekannt gewordenen “Hacks” und bietet auf seiner Seite HaveIBeenPwnd einen kostenlosen Service an, mit dem jeder überprüfen kann, ob seine E-Mail-Adresse, Handynummer oder Passwort in einem “Hack” aufgetaucht sind.

Solltest du von einem Dienstleister (oder via HaveIbeenPwnd) erfahren das deine Identität gestohlen wurde, musst du handeln und die Login- und Password-Kombination sofort ändern.

Pro Tip – Multi-Faktor-Authentifizierung (MFA)

In den letzten Jahren drängen viele Dienstleister darauf neben der einfachen Authentifizierung mit einer Benutzer/Password-Kombination weitere Merkmale zur Authentifizierung hinzuzufügen. Das erhöht den Schutz vor Identitätsdiebstahl, da du ein Einmal-Password auf einem zweiten Kanal (z.B. Mobiltelefon, E-Mail) erhältst. Für eine erfolgreiche Anmeldung muss dieses Einmal-Password ebenfalls eingegeben werden.

An sich eine sehr wertvolle Sache, die allerdings in der Realität oft einen Haken hat. Viele Anbieter konzentrieren sich als zweiten Kanal häufig auf SMS und wollen so deine Handynummer benutzen. Die solltest du auf keinen Fall herausgeben! Es sollte immer die Möglichkeit geben z.B. eine zweite E-Mailadresse zu nennen oder einen sogenannten Token-Generator zu nutzen. Das kann ein kleiner Schlüsselanhänger sein der Einmal-Passwörter generiert  oder eine App oder Website mit der selben Funktion.

Zum Abschluss einige “Hacks” in 2021:

Quellen, Tipps und Links zum Weiterlesen

Electronic Frontier Foundation (EFF), Creating Strong Passwords, 05-05-2020

ProtonMail, Let’s settle the password vs. passphrase debate once and for all , 05.05.2021

Arnold G. Reinhold, The Diceware Passphrase HomePage, 05.05.2020

Troy Hunt, I am running Have I Been Pwned, 05.05.2021

Security Insider, Token für Multi Faktor Authentifizierung (MFA), 05.05.2021