Es ist Welt-Passwort-Tag!

Zum diesjährigen World Password Day geben Eddy Willems und Tim Berghoff einige Tipps rund um das Thema Passwortsicherheit.

Die Methoden zur Erstellung eines sicheren Passwortes sind eigentlich recht einfach. Es wurde bereits viel zu dem Thema gesagt und geschrieben - man könnte sogar so weit gehen, zu sagen "das Thema wurde erschöpfend behandelt" - dennoch wiederholen wir einige dieser Vorgaben, da sie vielfach noch immer nicht umgesetzt werden. Vor allem sollte ein Passwort aus einer Kombination von Groß- und Kleinbuchstaben bestehen, zusammen mit Zahlen und Sonderzeichen. Dadurch erschwert man es, ein Passwort zu erraten. Schaut man sich die Berichte über die letzten großen Datenlecks an, wird deutlich, dass Passwörter wie "1234546" noch immer viel zu weit verbreitet sind. Tatsächlich ist dies die schlechteste Wahl, die man bei der Vergabe eines Passwortes treffen kann. Vor diesem Hintergrund wäre ein Passwort wie “AGdhjIKLOmp,12!?AAAzdrt” die bessere Wahl - das kann sich nur kein Mensch merken. Dennoch gibt es Strategien, die es einfacher machen, ein sicheres Passwort zu erstellen. G DATA Sicherheitsexperte Eddy Willems empfiehlt beispielsweise, kurze Sätze zu verwenden (wie zum Beispiel IreallylikeGDATAsince2000!). Das kann man sich merken, es ist lang genug und enthält sogar Zahlen und Sonderzeichen. Man könnte sogar eine Zeichnung dazu machen, sodass jedes Kind sich das Passwort merken könnte.

Nehmen wir an, Sie haben mit Hilfe der oben genannten Methode ein ausreichend sicheres Passwort erstellt. Die Versuchung ist groß, einfach dieses Passwort für jedes Online-Konto zu vergeben. Da das Passwort lang genug ist und Sonderzeichen enthält, ergibt diese Überlegung zwar durchaus Sinn - jedoch haben auch einige Prominente auf die sprichwörtliche harte Tour gelernt, dass es keine Gute Idee ist, dasselbe Passwort für mehrere Konten zu nutzen. Wir können (oder besser gesagt: sollten) also Passwörter nicht mehrfach verwenden. Was kann man also hier tun? Man kann zum Beispiel den Namen der Webseite mit in das Passwort einfließen lassen oder etwas, das man mit der Seite in Verbindung bringt - vielleicht etwas wie DoyouReallylikeFBsince2010?.  Machen Sie nur nicht den Fehler, dasselbe Passwort für Alles zu verwenden. Sollte das Passwort in die falschen Hände gerade, kann es passieren, dass Sie auf keines Ihrer Online-Konten mehr zugreifen können, wenn jemand beschließt, Ihre Online-Identität anzunehmen.

Auch hier ist das Prinzip einfach: man erstellt ein ausreichend komplexes und langes Passwort - aber diesmal muss man es nicht im Kopf behalten oder gar irgendwo aufschreiben. Es gibt Programme, die einem das abnehmen. So benutzt G DATA Sicherheitsexperte Tim Berghoff zum Beispiel einen Passwortmanager, um seine zahlreichen Onlinezugänge zu verwalten. Es gibt zahlreiche Lösungen, entweder lokal installiert oder cloudbasiert. Das Wichtigste ist: man muss sich nur noch das Passwort merken, mit dem man auf den Passwortmanager zugreift. Viele Passwortmanager haben auch eine Funktion, die automatisiert Passwörter erstellen kann. Schließlich sind von Menschen erstellte Passwörter selten wirklich zufällig und oft einfach zu raten. Ein Passwortmanager (wie der von G DATA) speichert alle Anmeldeinformationen und erlaubt den Zugriff auf die Anmeldeinformationen, sobald man diese benötigt. 

Falls möglich sollte man sich jedoch nicht ausschließlich auf ein Passwort verlassen, wenn es um die Sicherung von Onlinezugängen geht. Viele Plattformen bieten ihren Kunden und Nutzern die Möglichkeit, die Anmeldung um einen weiteren Faktor zu erweitern. Sinn dieser Einrichtung ist es, ein Sicherheitsnetz zu schaffen, wenn das Passwort in die falschen Hände gerät. Eine so genannte "Zweifaktor-Authentisierung" sichert das Konto ab, selbst, wenn das Passwort gestohlen wird. Diese Form der Anmeldung kombiniert "etwas, das man weiß" (also das Passwort) mit "etwas, das man besitzt". Es kann sich hier um ein Token handeln, das man am Schlüsselbund trägt oder ein Einmalcode, den man per SMS geschickt bekommt (oder in einer App auf dem Mobilgerät generiert).

Facebook, LinkedIn, Dropbox, Google, PayPal und einige andere Plattformen bieten diese Optionen an.

Wie in unserem Artikel "P@55w03rt3er: Sind sie Fluch oder Segen?", schon einmal erklärt, gibt es Wege, herauszufinden, ob das eigene Online-Benutzerkonto kompromittiert worden ist. Es existieren große Datenbanken, die Informationen über alle aktuellen größeren Datenlecks enthalten. Diese Datenbanken sind durchsuchbar. Wenn Sie sich also fragen, ob die Zugangsdaten zu einem Ihrer Online-Konten bekannt geworden sind, kann man die Datenbanken anhand des Benutzernamens oder der Email-Adresse durchsuchen. Selbst wenn es einen Treffer gibt, ist das noch nicht unbedingt ein Grund zur Panik: ein Treffer bedeutet nur, dass die Zugangsdaten irgendwann einmal zugänglich waren. Es bedeutet nicht, dass tatsächlich Missbrauch mit Ihrem Konto getrieben wurde. 
Allerdings ist das sicherste Passwort der Welt nichts Wert, wenn Dienstanbieter ihre Plattformen nicht korrekt absichern. Leider sind einige Dienste in dieser Hinsicht in der Vergangenheit negativ aufgefallen. Die vergangenen fünf Jahre zeichnen ein recht düsteres Bild, in dem durch mangelhafte Sicherheit Millionen von Benutzerkonten und persönlichen Informationen potenziell kompromittiert wurden.

Ein anderes oft übersehene Problem ist die Nutzungsdauer eines Passwortes. Falls Sie also heute noch immer für Ihren Facebook-Login das gleiche Passwort verwenden wie vor vier oder fünf Jahren, ist es definitiv Zeit für einen Wechsel. Es ist nicht weiter schwer - und wenn Sie schon einmal dabei sind, können Sie auch gleich die Login-Bestätigungen mit aktivieren.

Passwörter sollten regelmäßig gewechselt werden. Eine Faustregel, die für die meisten gut funktioniert ist, die Passwörter mindestens so oft zu wechseln wie die Zahnbürste, also etwa alle 3-4 Monate. Wenn Sie einen Passwortmanager benutzen, braucht es nur ein paar Klicks, um ein neues Passwort zu erstellen. Es macht keine Mühe und verbessert deutlich die Sicherheit.

Arbeiten wir daran, dass Passwörter wie "123456", "passwort" or "qwertzuiop" bald der Vergangenheit angehören.