Starke Passwörter, schwache Passwörter
In diesem Artikel zeige ich einmal auf, warum sichere (starke) Passwörter eigentlich unverzichtbar sind, wie du sie erzeigt und warum ein Passwort-Manager die beste Lösung ist.
Besonders cool finde ich die Möglichkeit einen Familien-Passwort-Manager einzurichten. D.h. ihr verwaltet eure gesammelten Passwörtern in der Familie zusammen. Natürlich teilt ihr nur die, die ihr wirklich teilen wollt. Privat bleibt privat. Aber so kannst du gut aussteuern, dass du und deine Partner oder deine Partnerin ebenfalls schnall und unkompliziert – aber trotzdem sicher – auf bestimmte Online-Plattformen zugreifen kannst.
Was sind die häufigsten Probleme bei Passwörtern?
Es gibt eine Menge Klischees, die die Handhabung von Passwörtern bedienen. Aber sind das wirklich alles nur Klischees? Steckt da nicht doch wie so fort auch ein Fünkchen Wahrheit drin?
Ja, ganz eindeutig! Verschiedene Studien und Umfragen haben folgende sechs Hauptfehler im Umgang mit Passwörtern identifiziert.
Das ist leider nicht ausgedacht oder übertrieben, denn ich vermute mal jeder von uns kennt bestimmt genau diesen einen, der das auch so macht oder eben ... nicht macht.
1. Passwort-Recycling
Man glaubt es kaum, aber laut einer Umfrage verwenden rund 52% das gleiche Passwort mehrfach und stolze 13% nutzen für alle Accounts ein und dasselbe Passwort.
2. Einfache Passwörter
Tatsächlich gibt es immer noch viele Anwender, die triviale Passwörter verwenden. Vielleicht sogar in Kombination mit dem oben genannten Recycling.
Einfache Passwörter sind zum Beispiel: 12345, qwertz, Vornamen aus der Familie, Geburtsdaten oder Haustiernamen.
3. Klartext-Speichern
Häufig kommt es auch vor, dass Passwörter auf dem Computer in Klartext abgespeichert werden. Zum Beispiel in einem Word-Dokument, das dann ungetarnt auf dem Desktop liegt. Oder auf einem Post-It, der auf dem Monitor klebt.
Sehr, sehr ungünstiges Post-It
4. Sharing
Sehr ungünstig ist es natürlich auch, wenn Passwörter via Social Media oder E-Mail hin- und hergeschickt werden oder generell schnell mal an Kollegen oder Freunde weitergegeben werden.
5. Regelmäßiges, unzureichendes Ändern
Viele Unternehmen schreiben eine regelmäßige Passworterneuerung bzw. Passwortänderung vor (z.B. alle 60 Tage). Was an sich eine sehr gute und lobenswerte Initiative ist.
Oft schleicht sich aber aus Bequemlichkeit dann ein „Raufzählmechanismus“ ein, bei dem beispielsweise die letzte Ziffer des Passworts immer nur raufgezählt wird. Oder es wird das aktuelle Monatsdatum (05 für Mai) ans Passwort gehängt. Das ist natürlich ebenfalls ungünstig, weil stark reproduzierbar.
6. Keine 2-Faktor-Authentifizierung (2FA)
Ein großer Knackpunkt ist ebenfalls häufig, dass die von vielen Plattformen empfohlene 2-Faktor-Authentifizierung nicht wahrgenommen und eingerichtet wird. Denn die „2FA“ bietet eine zweite Sicherheitsebene für deine Accounts an. Hierbei wird das Passwort quasi um ein zweites Sicherheitsmerkmal ergänzt.
In der Praxis sieht das so aus: Nachdem du dich mit deinem Passwort in einem Account eingeloggt hast, musst du noch einmal eine zweite Abfrage bestätigen. Das kann beispielsweise ein PIN sein, der dir auf dein Smartphone geschickt wird.
Ab wann spricht man von einem schwachen Passwort?
Ein starkes Passwort hat die Eigenschaft, dass es von einem Menschen oder einer Maschine nur sehr schwer entschlüsselt bzw. ermittelt werden kann. Dementsprechend ist ein Passwort schwach, wenn es schnell und sogar leicht herausgefunden werden kann.
Ein typisches schwaches Passwort ist sehr kurz und besteht nur aus kleingeschriebenen oder nur großgeschriebenen Buchstaben oder nur aus Ziffern. Denn erst wenn das Passwort in einer Gemischtschreibweise (große und kleine Buchstaben sowie Ziffern) aufgebaut ist, fängt es langsam an „sicherer“ zu werden.
Was ist ein sicheres bzw. starkes Passwort?
Ein typische starkes Passwort ist also nicht allzu kurz (mehr als 8 Zeichen möglichst), verfügt über kleine und große Buchstaben, Ziffern und auch Sonderzeichen. Zudem sollte es als Begriff in keinem Wörterbuch zu finden sein. Denn sonst könnten Angreifer mit so genannten „Wörterbuchangriffen“ versuchen das Passwort zu entschlüsseln.
Im Internet gibt es natürlich gute Tools, die dir helfen ein starkes Passwort zu erstellen. Solche Passwort-Generatoren sind ziemlich hilfreich. Übrigens, Passwort-Manager haben ein solches Feature natürlich eingebaut.
Als guter Workaround für die Erstellung eines starkes Passwort hat sich die Satz-Methode etabliert. Hierbei denkst du dir einen Liedvers oder einen Satz aus, nimmst jeweils die Anfangsbuchstaben der Wörter und kombinierst die noch mit Ziffern und Sonderzeichen. Voila, fertig ist dein starkes Passwort
Beispiel:
Ich habe zwei alte Kater zuhause, Tim und Struppi.
Daraus könnte werden, in dem du die Groß- und Kleinschreibung beibehältst und Ausrufezeichen und die Ziffer 2 ergänzt: IhzaKzTuS2!
Wie erzeuge ich ein sicheres Passwort?
Wie du bereits gelernt hast, gibt es also mehrere Möglichkeiten, um an ein starkes und sicheres Passwort zu kommen, Zunächst einmal ist es wichtig, dass das Passwort einzigartig bleibt und nicht mehrfach verwendet wird. Du kannst grundsätzlich drei Methoden verwenden:
1
Online-Tool wie Passwort-Generator2
Passwort selbst „kreieren“3
Funktion in (d)einem Passwort-Manager
Wo oder wie verwahre ich meine Passwörter am besten?
Eigentlich versteht es sich von selbst, dass Passwörter nicht auf einer Datei auf dem Computer oder dem Smartphone abgespeichert werden sollten. Sie sind zu leicht auszuspionieren. Auch der klassische Post-It am Monitor oder auf dem Schreibtisch sollte es lieber nicht sein.
Erhalte eine E-Mail, sobald ein neuer Blogbeitrag erscheint
Empfohlen wird oft der handschriftliche Zettel, der dann im Safe gelagert wird. Tunlichst solltest du vermeiden, deine Passwörter im Klartext aufzuschreiben. Notiere dir lieber Hinweise oder Eselsbrücken.
Und so langsam siehst du auch, warum ein Passwort-Manager gar nicht so unsinnvoll ist. Wenn du nämlich für jeden einzelnen Account, jeden Login, jedes Passwort solche Sicherungsmaßnahmen entwickelst, kann es schnell sehr unübersichtlich und ggf. auch fehleranfällig werden.
Dass du auf gar keinen Fall mehrfach das gleiche Passwort verwenden sollst, hast du ja bereits gelernt.
Wie funktioniert ein Passwort-Manager?
Passwort-Manager sind hilfreiche Programme, die dem Nutzer zwei Funktionen anbieten: Zum einen das Generieren von starken Passwörtern und zum anderen das Speichern dieser Passwörter (je Account) in einem sicheren Passwort-Tresor.
Da diese Tools auch als Browser-Erweiterung sowohl auf dem Desktop-Computer als auch komfortabel auf dem Smartphone funktionieren, sind sie recht pflegeleicht und hilfreich in der Anwendung.
Im Grunde schaltet sich der Passwort-Manager immer dann in Browser-Dialoge ein, wenn es um das Anmelden in einem Account (Login) oder das Registrierung für einen neuen Account (Signin) geht.
Und auch das Einloggen in Apps auf dem Smartphone wird so erleichtert und ist oft auch noch mit Gesichtserkennung (FaceID bei Apple) oder Fingerabdruckerkennung (TouchID bei Apple) kombinierbar.
Login bei Instagram – hierbei würde ein Passwort-Manager helfen
Der Vorteil ist hierbei ganz klar, dass der Passwort-Manager geräteübergreifend arbeitet. Egal, ob am Desktop-Computer, Smartphone oder Tablet – du greifst auf den gleichen Passwort-Tresor zurück.
Wie ist der Passwort-Manager gesichert?
Damit kommen wir natürlich zur Gretchenfrage: Wie ist denn dieser Tresor abgesichert? Das ist ganz einfach zu beantworten. Durch ein sehr langes Passwort (so genanntes Master-Passwort), dass z.B. aus vielen einzelnen Wörtern besteht, aber aufgrund seiner Länge nur sehr schwer bis gar nicht zu knacken ist.
Wichtig zu wissen ist auch: Ein Wiederherstellungsmechanismus sorgt dafür, dass du bei einem vergessenen Master-Passwort trotzdem noch an deine Daten kommst. Hierzu gibt es gesonderte abgesicherte Mechanismen bei den verschiedenen Anbietern der Passwort-Manager.
Welches ist der beste Passwort-Manager?
Auf dem Markt tummeln sich einige Anbieter, die viele gute Passwort-Manager anbieten. Es gibt häufiger kostenpflichtige Tools als kostenlose. Ich bin der Ansicht, dass man sich die erzielte Sicherheit auch etwas kosten lassen darf und verwende daher selbst einen kostenpflichtigen Passwort-Manager.
Die beiden Platzhirsche, die sowohl auf Apple- und Windows-Computern funktionieren als auch auf iPhone und Android-Geräten, scheinen Lastpass und 1password zu sein.
Video-Tutorial für 1password
Verfolgt man Testberichte und Vergleiche, dann scheint die Sicherheit bei 1password einen Tick besser zu sein, die Bedienbarkeit bei Lastpass hingegen ausgefeilter. Meines Erachtens spielen aber beide Tools in einer Liga, wo das schon fast eine Glaubensfrage wird.
Was ist ein Familien-Passwort-Manager?
Sowohl Lastpass als auch 1password bieten inzwischen Familien-Tarife an. Das bedeutet, dass man sich einen Passwort-Manager für die gesamte Familie besorgen und teilen kann.
Natürlich können die einzelnen Passwörter in getrennten Tresoren liegen, manche Passwörter (z.B. Zugang zum WLAN-Router, zu gemeinsamen Konten und zu gemeinsamen Accounts) können geteilt werden. Und wenn du willst, kannst du mithilfe des Tools auch genau checken, was deine Familie wo genau macht.
Woher bekomme ich einen Familien-Passwort-Manager?
Schau hier einmal rein, was 1password für Familien dir bietet. Wenn du bereits 1password benutzt, ist ein Upgrade auf das Familienprogramm vielleicht eine gute Option.