Eines der größten Cybersicherheits-Risiken ist der Mensch. Unkenntnis, Flüchtigkeitsfehler und Trägheit führen gerne mal zu massenhaftem Passwort-Klau. Dabei gibt es Passwort-Safes. Wer es noch bequemer möchte, sollte wenigstens einige einfache Grundregeln beherzigen. Welche das sind und welche Hilfsmittel Usern zur Verfügung stehen, beschreibt der Fachdozent und -publizist Jürgen Schuh im IT-Channel von buchreport.de.
Das in Potsdam ansässige Hasso-Plattner-Institut für Digital Engineering (HPI) schreibt mit Stand vom 18. Dezember 2018 auf seiner Website zum Thema Passwörter unter anderem:
„Die Deutschen sind nicht sehr kreativ, wenn es um die Wahl ihrer Passwörter geht. Auch im zurückliegenden Jahr verließen sich viele auf simple Zahlenreihen. Damit gehen sie allerdings erhebliche Risiken ein. ‚Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt. Sie sind geradezu eine Einladung zum Identitätsdiebstahl‘, sagt HPI-Direktor Christoph Meinel, der daher bei der Nutzung von Passwörtern weiterhin digitalen Aufklärungsbedarf sieht. ‚Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl, aber es muss Kriminellen so schwer wie möglich gemacht werden, an das eigene Passwort zu gelangen.‘ Insbesondere die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste ist wirklich leichtsinnig, wenn man bedenkt, welche Schäden einem hierdurch entstehen können.“
Die Top Ten der deutschen Passwörter lauten demnach (aufsteigend von Platz 1 bis Platz 10): 123456, 12345, 123456789, ficken, 12345678, hallo123, hallo, 123, passwort, master. Hier gibt es also Handlungsbedarf. In diesem Beitrag lernen Sie verschiedene Möglichkeiten kennen, wie Sie sichere Passwörter erstellen können.
Das sichere Passwort – Grundregeln
Passwörter, die Sie im digitalen Alltag verwenden, benötigen Sie für Onlineshops, Ihr Onlinebanking und vieles mehr. Aus Bequemlichkeit wird oftmals „eines für alles“ verwendet. Durch Datenlecks können Kriminelle allerdings an Zugangsdaten und Passwörter kommen, die sie dann für ihre eigenen Zwecke nutzen. Wenn Sie für Shop A die gleichen Zugangsdaten wie für Shop B benutzen und die Daten von Shop A werden gestohlen, haben Kriminelle auch Ihren Zugang zu Shop B. Und das ist bestimmt nicht wünschenswert.
Darum lautet die goldene Regel: Für jeden Zugang ein separates Passwort!
Auch wenn es einen gewissen Arbeitsaufwand darstellt, sich für jedes Einloggen in eine Website ein anderes Passwort anzulegen, so dient es doch Ihrer Sicherheit. In meinen Seminaren höre ich immer wieder: „Mein Account bei XYZ wurde gehackt, und jetzt habe ich noch weiteren Schaden, weil meine Zugangsdaten woanders ebenfalls verwendet wurden.“
IT-Grundlagen und Technologien der ZukunftMehr zum Thema IT und Digitalisierung lesen Sie im IT-Channel von buchreport und Channel-Partner knk. Hier mehr
Ein sicheres Passwort sollte mindestens acht bis zehn Zeichen lang sein und aus einer zufälligen Anordnung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Spätestens dann, wenn Sie ein einziges Passwort für alle Online-Accounts benutzen und in den Medien wieder ein Datenleck oder ein Passwortklau bekannt wird, sollten Sie dringend Ihre Passwörter wechseln und auch damit beginnen, für jeden Zugang ein separates Passwort anzulegen.
Passwörter für E-Mail und Social-Media-Plattformen
Für E-Mail-Konten und Social-Media-Plattformen (zum Beispiel Facebook und Instagram) gelten natürlich die gleichen strengen Passwortregeln, die ich bereits vorgestellt habe. Die wichtigste Regel: nie ein und dasselbe Passwort für verschiedene Accounts verwenden. Denn Ziel von Hackerangriffen sind immer wieder die Server von E-Mail-Providern und Social-Media-Plattformen, um an die Zugangsdaten der Nutzer zu gelangen.
An dieser Stelle möchte ich daran erinnern, dass im April 2019 publik wurde, dass 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Amazon-Cloud-Servern gespeichert wurden. Erklärt wurde, der Fehler sei externen Firmen unterlaufen, die bei Facebook unter Vertrag stehen. Bereits im März 2019 musste Facebook eine Datenpanne einräumen: Passwörter von Millionen Nutzern waren für Angestellte des Unternehmens im Klartext zugänglich.
Experten sind sich nicht einig darüber, wie oft ein Passwort geändert werden muss. So empfiehlt zum Beispiel die Seite klicksafe.de anlässlich des Ändere-dein-Passwort-Tags, ein Passwort regelmäßig zu wechseln.
Gegenteiliges lässt sich im Internet aber auch finden: Der Tech-Blog ArsTechnica hat auf seinem englischsprachigen Webauftritt Gründe dafür zusammengetragen, dass ein regelmäßiger Passwortwechsel als nicht zwingend angesehen werden muss. Ich denke, die Mischung beider Darstellungen macht’s. Je sicherer ein Passwort ist, desto weniger muss es gewechselt werden.
Die Merksatzmethode für Passwörter
Legen Sie Ihr Passwort mithilfe einer Eselsbrücke an. Überlegen Sie sich einen Merksatz, nehmen Sie die Anfangsbuchstaben, Zahlen und Sonderzeichen und bilden das Grundpasswort. Dies kann zum Beispiel sein:
Unser Kaninchen heißt Wuschel und wurde am 01.06. im Jahr 17 geboren!
Daraus wird: UKhWuwa01.06.iJ17g!
Da verschiedene Passwörter für verschiedene Accounts verwendet werden sollen, lässt sich das Grundpasswort dann noch individuell anpassen (falls es Ihnen bereits jetzt schon zu lang ist, kürzen Sie es entsprechend). Haben Sie zum Beispiel einen Zugang beim Verkaufsportal Amazon, nehmen Sie hiervon den ersten und den letzten Buchstaben und setzen diese an den Anfang und das Ende Ihres Grundpassworts:
AUKhWuwa01.06.iJ17g!n
Überlegen Sie sich eine weitere Individualisierung (zum Beispiel die Anzahl der Buchstaben des Accounts) und fügen Sie diese dem Passwort hinzu:
AUKhWuwa01.06.iJ17g!n6
Das alles klingt am Anfang etwas schwierig, doch wenn Sie einmal Ihr eigenes Schema gefunden haben, erstellen Sie mit dieser Methode die individuellsten Passwörter im Schlaf. Ich selbst nutze diese Methode bevorzugt.
Die Passwortkarte
Auf der Internetseite www.sicher-im-netz.de/dsin-passwortkarte stellt der Verein Deutschland sicher im Netz (DsiN) die Passwortkarte zum Erstellen eines sicheren Passworts zur Verfügung. Die Passwortkarte ist eine gemeinsame Entwicklung von Datev aus Nürnberg und Deutschland sicher im Netz aus Berlin.
Auf der DsiN-Homepage ist nachzulesen: „Die Muster-Passwortkarte soll eine regelkonforme Passwortbildung sowie das Merken und Aufbewahren erleichtern. Sie besteht aus einem Koordinatensystem, dessen Achsen von links nach rechts mit den Buchstaben A–Z und von oben nach unten mit den Zahlen 1–12 versehen sind. Das Zeichenfeld beinhaltet alle Zeichen, die zur Passwortbildung erlaubt sind.“
Die Passwortkarte (2019), eine gemeinsame Entwicklung von Datev und DsiN
Tatsächlich ist die Verwendung der Passwortkarte denkbar einfach: Sie merken sich einen Einstiegspunkt, legen einen individuellen Verlauf fest und bestimmen schließlich einen Ausstiegspunkt. Schon haben Sie ein sicheres Passwort, das den Anforderungen genügt. Achten Sie nur noch darauf, dass es eine ausreichende Anzahl von Zeichen hat. Das in der Abbildung erstellte Beispielpasswort lautet x5K@25#9. Durch individuelle Anpassungen (siehe voriger Abschnitt) lassen sich auch mithilfe der Passwortkarte verschiedene Passwörter für verschiedene Zugänge kreieren.
Die Passwortkarte kann auf der Seite von DsiN als Desktopvariante heruntergeladen und darüber hinaus auch kostenfrei über die Seite www.sicher-im-netz.de bestellt werden.
Mit freundlicher Genehmigung von O’Reilly Media.
Jürgen Schuh: Cybercrime. Wie Sie Gefahren im Internet erkennen und sich schützen.
- Oktober 2019. 256 Seiten.
- Broschur: 19,90 Euro
- E-Book (PDF + ePub + Mobi): 15,99 Euro
Verschiedene Passwörter ist logisch, aber die Passwortkarte ist ja sowas von überholt. Das als Aufhänger zu bringen ist peinlich.