Am 1. Februar ist „Ändere-dein-Passwort-Tag“

Was es nicht alles gibt: Am 1.2.2020 ist der "Ändere dein Passwort"-Welttag. Klingt irgendwie seltsam, hat aber seine Berechtigung. Nachfolgend einige Tipps für sichere Passwörter. [...]

Der "Ändere-Dein-Passwort"-Tag am 1.2.2020 erinnert daran, dass Passwörter regelmäßig geändert werden müssen, um die Möglichkeit eines Hacks zu erschweren.
Der "Ändere-Dein-Passwort"-Tag am 1.2.2020 erinnert daran, dass Passwörter regelmäßig geändert werden müssen, um die Möglichkeit eines Hacks zu erschweren. (c) Gerd Altmann / Pixabay

Im Vorfeld des 1. Februar machen Sicherheitsexperten, Lösungsanbieter und Branchenvertrer darauf aufmerksam, dass nach wie vor viel zu viele Anwender dasselbe Passwort für viele Dienste verwenden und dieses zudem schon seit längerer Zeit wohl aus Bequemlichkeit nicht geändert haben. „Ein einziges Passwort für mehrere Online-Dienste ist ein großes Sicherheitsrisiko“, sagt Teresa Ritter, Expertin für IT-Sicherheit beim deutschen Digitalverband Bitkom. „Wenn ein solches Universalpasswort einmal geknackt ist, können Cyberkriminelle gleich mehrere digitale Identitäten von Nutzern übernehmen.“ So verwenden 36 Prozent der Deutschen ein Passwort für mehrere Dienste, aber immerhin schon 63 Prozent achten bei der Erstellung neuer Passwörter auf einen Mix aus Buchstaben, Zahlen und Sonderzeichen. Drei von zehn Internetnutzern (31 Prozent) ändern ihre Passwörter in regelmäßigen Abständen. Und 8 Prozent sagen, dass sie einen Passwort-Generator beziehungsweise einen Passwort-Safe zur Erstellung und Verwaltung ihrer Passwörter nutzen. In Österreich sieht es ähnlich aus. „Lange Wörter mit unterschiedlichen Zeichen – das ist eine einfache Faustregel für gute Passwörter“, so Ritter. Einen perfekten Schutz vor Cyberkriminellen bieten auch die längsten Passwörter nicht. 

Fünf Tipps für ein sicheres Passwort

Um dennoch auf der sicheren Seite zu sein, sollten einige Regeln beachtet werden. SEQIS, ein österreichischer Anbieter in den Spezialbereichen IT-Analyse, Software-Test und Projektmanagement, hat hier einige Tipps zusammengestellt, wobei der erste Tipp bereits eingangs erwähnt wurde.

1. Verwende für jeden Dienst ein anderes, generiertes Passwort

Mittlerweile muss man sich gefühlt überall mit seiner E-Mail-Adresse registrieren, und vergibt genauso oft ein Passwort. Dieses Passwort muss in Kombination mit der E-Mail-Adresse eindeutig sein (am besten mit mehr als 16 Zeichen, bestehend aus Buchstaben, Ziffern und Sonderzeichen)! Der Hintergrund ist einfach: werden Ihre Zugangsdaten bei einem Dienst geknackt oder gestohlen, so ist wirklich nur dieser eine Dienst betroffen. Alle anderen Dienste sind weiterhin sicher! Es hilft also das sicherste Passwort nichts, wenn es (aus welchen Gründen auch immer) bekannt wurde und daraufhin all Ihre Dienste zugänglich sind.

2. Verwende einen Passwortmanager

Eindeutige (generierte) Passwörter haben natürlich einen großen Nachteil: das kann sich einfach keiner merken. Das ist aber auch gar nicht notwendig: Passwortmanager machen nämlich genau das, sie merken sich Passwörter (und generieren sie bei Bedarf auch). Genauer gesagt werden darin Zugangsdaten zu all Ihren Diensten verwaltet. Mittlerweile gibt es sehr viele Passwortmanager mit unterschiedlichsten Features, kostenpflichtig und kostenfrei. Mit LastPass, Dashlane, Bitwarden und 1Password seien nur ein paar davon genannt. Der Zugang zum Passwortmanager selbst ist natürlich wieder mit einem Passwort, dem sogenannten Masterpasswort, gesichert. Das muss besonders stark und gleichzeitig aber auch einprägsam sein, denn das müssen Sie sich merken!

3. Verwende Passphrases

Wenn es wirklich notwendig ist sich sichere Passwörter zu merken, geht die Empfehlung klar weg vom Passwort und hin zur Passphrase: das ist im weiteren Sinn einfach ein normaler Satz. Er darf aber nicht aus einem Buch, Lied, Gedicht, Film usw. stammen. Am besten ist, wenn er keinen Sinn ergibt: „Ein kalter Tag ist kürzer als 2 dunkle Nächte, das weiß doch jeder!“ – sinnlos, aber sicher und einprägsam und eignet sich daher z.B. als Masterpasswort für Ihren Passwortmanager.

4. Verwende biometrische Hilfsmittel

Die meisten Smartphones bieten die Möglichkeit statt der Eingabe von Passwörtern oder PINs die integrierte Fingerprint oder Gesichtserkennung zu verwenden. Ebenso unterstützen das immer mehr Notebooks. Verwenden Sie diese Hilfsmittel z.B. als Masterpasswort für Ihren Passwortmanager. Das eigene Gesicht muss man sich nicht merken, verlieren kann man es auch nicht und nachmachen ist wirklich schwierig. Die Sicherheit dieser Features wird immer wieder von IT-Security-Firmen getestet mit dem Ergebnis, dass eine Umgehung nur mit enormem Aufwand möglich ist. Für den aller größten Teil der Nutzer ist das eine massive Verbesserung.

5. Verwende Zwei-Faktor-Authentifizierung

Viele Dienste bieten die Möglichkeit einer Zwei-Faktor-Authentifizierung (2FA oder TFA) an. Dabei wird zusätzlich zum Passwort noch ein zweiter Faktor zur Authentifizierung verwendet. Die meisten kennen das vermutlich vom Online-Banking, wo eine Überweisung zusätzlich durch einen per SMS versendeten Code autorisiert werden muss. Das SMS-System wurde von sog. OTP (One-Time-Passwords) und den passenden Apps (z.B. Google Authenticator oder OTP Auth) abgelöst. Das eigene Handy wird mit Hilfe der OPT-App beim jeweiligen Dienst registriert und ab da an muss man nach der Authentifizierung mit E-Mail und Passwort ein zusätzliches generiertes Einmal-Passwort (meist sind das sechs Ziffern) angeben, das die OTP-App am Handy anzeigt. Nach der Eingabe ist dieses Einmal-Passworts ungültig, daher auch der Name. Selbst wenn also die Zugangsdaten bekannt sind, ist ein Login nur dann möglich, wenn der Angreifer zusätzlich auch mein Handy hat.

Klemens Loschy, Principal Consultant bei SEQIS
Klemens Loschy, Principal Consultant bei SEQIS (c) SEQIS

Dazu sagt Klemens Loschy von SEQIS: „Es macht also keinen Sinn, eindeutige generierte Passwörter zyklisch zu ändern. Genauso wenig macht es Sinn, zyklisch eine starke Passphrase zu ändern. Eine Änderung macht natürlich dann Sinn, wenn ein von mir verwendeter Dienst kompromittiert wurde: viele große und bekannte Unternehmen „verlieren“ immer wieder Zugangsdaten ihrer Benutzer (das ist weit wahrscheinlicher, als dass mein Passwort durch Angreifer geknackt wird) und davor schützt uns nicht das sicherste Passwort, auch dann nicht, wenn wir es zyklisch ändern. Das Gute ist: mit dem eindeutigen Passwort kann man sich sicher sein, dass mit den Zugangsdaten keine anderen Dienste verwendet werden können.“

Loschy selbst verwendet erst seit ca. drei Jahren einen Passwortmanager. Er weiß: Der Anfang ist aufwändig, „denn jeder von mir verwendete Dienst musste auf ein neues generiertes Passwort geändert werden.“ Jetzt möchte er den Komfort aber nicht mehr missen und weiß, dass dadurch seine Daten und Zugänge viel besser geschützt sind als zuvor.

Neben dem Passwort ist natürlich auch ein aktueller Virenscanner zu empfehlen, der dabei auch immer auf dem letzten Stand gehalten werden muss, also ein regelmäßiges Update ist ein Muss. Auch Backups sind wichtig . Durch regelmäßige Sicherungskopien, auch Backups genannt, bleiben persönliche Daten auch dann erhalten, wenn Geräte defekt sind oder verloren gehen. Die gesicherten Daten lassen sich anschließend auf einem neuen Gerät problemlos wiederherstellen. 


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*