Zeit für gute Vorsätze

Das Jahr hat gerade begonnen – Zeit für gute Vorsätze? Bei mir ist der Januar eine gute Zeit, um Dinge, die ich lange vor mir hergeschoben habe, endlich anzugehen. Bei dir auch?
Dann habe ich diese Artikelserie extra für dich geschrieben: Risiko-Faktor Passwort heißt diese Artikelserie: Ich erkläre verständlich, was Passwort-Sicherheit bedeutet und suche eine alltagstaugliche Lösung.

Risiko-Faktor Passwort-Sicherheit

Was ist mit deiner Sicherheit im Internet? Hast du da auch manchmal ein mulmiges Gefühl? Alle paar Wochen berichten die Zeitungen über einen neuen großen Datenklau.

Meistens lehnst du dich entspannt zurück, weil du gerade bei diesem Dienst kein Konto hast. Aber das schlechte Gefühl bleibt, denn auch du weißt, dass nur die spektakulären Fälle in der Zeitung stehen.

Mir geht es genauso, und ich halte das schlechte Gefühl für berechtigt. Ich habe das Jahr damit begonnen, über eine pragmatische Verbesserung deiner und meiner Sicherheit im Internet nachzudenken.

Wie immer und überall: Das größte Risiko sind wir selbst und unsere Bequemlichkeit. Der Risiko-Faktor Nummer 1 sind schwache Passwörter.

Die Top Ten der deutschen Passwörter

Mit diesem Problem stehtst du nicht alleine da. Alle Jahre wieder veröffentlicht das Hasso-Plattner-Institut der Universität Potsdam eine Hitliste mit den Top Ten der deutschen Passwörter. Wir finden dort in dieser Reihenfolge:

"123456", "123456789", "1234", "12345", "12345678", "hallo", "passwort", "1234567", "1111111", "hallo123"

Hier kann man wirklich nicht von Passwort-Sicherheit sprechen. Das geht deutlich besser!

Wie hat das Hasso-Plattner-Institut der Uni Potsdam diese Liste erstellt? Ein Passwort ist doch geheim? Das Hasso-Plattner-Institut verfolgt seid Jahren, wo Daten geklaut, und später veröffentlicht werden. Wenn ein Passwort dort unverschlüsselt gespeichert ist,
kann es für die Statistik verwendet werden.

Ist deine Mail-Adresse auch schon geklaut?

Hauptziel dieser Datensammlung ist jedoch nicht die Statistik – das Hasso-Plattner-Insitut gibt Dir hier  die Möglichkeit, zu überprüfen, ob deine Mailadresse in einem dieser geklauten Datenbestände enthalten ist, und welche deiner sensiblen Daten evt. im Internet herumschwirren.

Was ist denn ein sicheres Passwort?

Genauso wie es sichere und unsichere Türen gibt, genauso unterschiedlich ist die Sicherheit eines Passworts. Bei Haus- und Wohnungseinbrüchen sagt die Kripo, dass Einbrecher nur ein paar Minuten versuchen, ins Haus einzudringen. Wenn Fenster und Türen stark genug sind, diesen Angriff ein paar Minuten zu überstehen, dann geht der Einbrecher zum Nachbarn.

Mit einem Passwort ist es so ähnlich. Es gibt Programme, die Passwörter durchprobieren. Sie versuchen es zunächst mit den einfachen und häufigen Passwörtern. Auch die ziehen weiter, wenn wir ihnen das Leben schwer machen. Analog zum Haustürschloss sprechen wir auch hier von schwachem und von starkem Schutz.

Nach aktuellem Stand solltest du für ein starkes Passwort mehr als 15 Zeichen verwenden. Der wesentliche Faktor für die Passwort-Sicherheit ist die Länge des Passworts. Bitte verwende darüberhinaus eine bunte Mischung aus Klein- und Großbuchstaben, Sonderzeichen und Ziffern – dabei muss nichts unmerkbares entstehen, sondern einfach ein Satz, z.B. „EndlichEinLangesPW“  (Quelle: Hasso-Plattner-Institut).

Es gibt ein großartiges Video, das anschaulich erklärt, warum Länge die Stärke eines Passworts erheblich erhöht:

Die Passwort-Sicherheit verringert sich wieder, wenn du Sprichworte oder bekannte Zitate aus der Literatur verwendest, oder Sätze, die sich leicht erraten lassen.

Umstritten ist, ob sich das regelmäßige Ändern von Passwörtern lohnt. Auf jeden Fall ist es wichtig, nach einem Datenklau zügig die Passworte zu verändern. (Quelle: Süddeutsche)

Du fühlst dich ertappt? Ich mich auch! Ich bin noch auf 8-Zeichen Passwörter eingestellt,

Wieviele Benutzerkonten hast Du eigentlich?

Du denkst, du hast nur eine Benutzerkennung und ein Passwort? z.B. die, die du beim Anmelden am PC eingibst? Das ist falsch. Du hast mindestens noch zwei weitere:

Um eMails zu empfangen und zu schicken, hast ein Konto bei deinem Mail-Dienstleister (z.B. T-Online, gmx, web.de, …). Hier ist dein Benutzername deine Mailadresse.

Darüberhinaus zwingt dich dein Gerät (meistens), dich bei Microsoft/Apple/Google anzumelden, oft darüberhinaus auch noch bei dem Hardware-Hersteller (Samsung, Medion,…).

Auch wenn du überall den gleichen Benutzernamen, z.B. deine eMail-Adresse benutzt, sind es verschiedene Benutzerkonten. Bei den allermeisten von uns sind es weit mehr als 2 oder drei Konten. Statistisches Mittel sind wohl 26 Konten.

Wieviele verschiedene Passworte hast du?

Im richtigen Leben hat jede Wohnung im gleichen Haus einen eigenen Schlüssel. Im Internet ist es nicht anders: es wird dringend empfohlen, für jedes Benutzerkonto ein eigenes, sicheres Passwort zu vergeben. Dann ist bei einem Datenklau wenigstens nur ein Dienst betroffen.

Ertappt? – Ich auch!

Zum Trost: Wir befinden uns in guter Gesellschaft: die Statistik mit den 26 Benutzerkonten sagt, dass zu den 26 Benutzerkonten im Mittel 5 Passwörter gehören.

Passwort-Flut, Passwort-Chaos, Passwort-Dschungel

Egal wie man es nennt: Es gibt ein Problem. Du und ich, wir sind gefangen zwischen Pest und Cholera:

Einerseits kann ich mir unmöglich mehrere, viele lange Passworte merken. Und selbst wenn ich es könnte, wie soll ich sie jemals korrekt eingeben? Wenn ich es andererseits nicht tue, dann mache ich es den Hacker ziemlich leicht und erhöhe ich die Gefahr, das meine digitale Identität missbraucht wird.

Mit Auswegen aus diesem Dilemma beschäftigen sich die weiteren Teile dieser Reihe.
Bis dahin habe ich eine konkrete Aufgabe für dich:

Aufgabe: Wurden deine Daten bereits geklaut?

Prüfen inzwischen, ob deine Mailadresse(n) bereits geklaut wurde(n). Wie geht das?

  • Klick auf diesen Link des Hasso-Plattner-Instituts (https://sec.hpi.de/ilc/search)
  • gibt die Mailadresse ein, die geprüft werden soll
  • Klick auf Prüfen
  • Das Ergebnis bekommst du als Mail zugeschickt.

Zum Weiterlesen/Quellen:

Und jetzt?

Deine Passwörter sind verbesserungswürdig? Um diese Sicherheitslücke zu schliessen, solltest du zuerst darüber nachdenken, was genau die schützen willst. Lerne, welche Aspekte wichtig sind:

Passwort (Teil 2): die passende Passwort-Strategie

Smartphone für Senioren einrichtenkostenloses eBook