Liebe Leserinnen, liebe Leser,
dass Sie hier bei connect45plus Artikel lesen und/oder nach Informationen suchen ist ein sicherer Hinweis darauf, dass Sie sich – wie die meisten von uns – in der digitalen Welt bewegen. Ein, wie ich finde, mittlerweile unangenehmer Nebeneffekt davon ist, dass man für immer mehr Seiten im Internet, für immer mehr Dienste (wie z. B. E-Mail, Dropbox etc.) ein Passwort braucht. Manchmal habe ich das Gefühl, die Anzahl meiner Passworte verdoppelt sich jährlich. Zumindest steigt sie inflationär, Ihnen dürfte es vermutlich nicht anders gehen.
Eins für alles? – Keine gute Idee!
Was macht man also, damit man sich die vielen Passworte merken kann? Richtig: Man denkt sich eines aus, das vielleicht sogar ein bisschen kompliziert ist, lernt es gut auswendig und nutzt es überall. Immerhin ist es ein sicheres Passwort. Es enthält Groß- und Kleinbuchstaben und Ziffern und vielleicht sogar ein paar Sonderzeichen.
Ich möchte Ihnen gerne erklären, warum es keine gute Idee ist, überall das gleiche Passwort zu verwenden: In den letzten Jahren mussten wir immer wieder aus den Medien davon erfahren, dass bei großen Dienstleistern Daten gestohlen wurden. Dabei handelte es sich mal um Benutzernamen, mal um E-Mail-Adressen und manchmal auch um Zugangs- oder Kreditkartendaten.
Stellen wir uns also vor, Sie sind angemeldet bei einem kostenlosen Online-Chat. Dieser hat keinerlei Kreditkarten- oder sonstige Zahlungsdaten von Ihnen. Eigentlich kann Ihnen da doch gar nichts passieren, oder? Bei diesem Online-Chat werden nun Zugangsdaten gestohlen. Ok, die E-Mail-Adresse und das Chat-Passwort. Nichts schlimmes.
Naja… Damit haben die Hacker zwei ganz wichtige Informationen. Zum Einen Ihr Passwort (das Sie ja an vielen Stellen verwenden) und zum Anderen Ihre E-Mail-Adresse, die Sie als Login-Namen verwenden mussten, wie das bei vielen Seiten im Internet üblich ist.
E-Mail-Account weg …
Was passiert also als nächstes? Die Hacker können (und werden!) nun versuchen, sich an Ihrem E-Mail-Account anzumelden. Wenn Sie dort das gleiche Passwort benutzen, haben die Hacker damit Zugriff auf Ihr E-Mail-Konto. „Na und?“ werden Sie vielleicht fragen. „Sollen sie die doch lesen. So spannend bin ich nun auch nicht“. Das mag sein, aber stellen Sie sich vor, die Hacker ändern jetzt Ihr E-Mail-Passwort. Damit wären Sie plötzlich aus Ihrem E-Mail-Postfach ausgesperrt, denn Sie kennen Ihr (neues) E-Mail-Passwort ab diesem Zeitpunkt nicht mehr.
… digitale Identität weg
Im nächsten Schritt versuchen sich die Hacker bei diversen Online-Shops anzumelden. Benutzername: Ihre E-Mail-Adresse. Vielleicht klappt das ja bei Amazon, weil Sie dort auch das gleiche Passwort genutzt haben. Kurzerhand wird dort auch das Passwort geändert und danach fröhlich auf Ihre Kosten bestellt. Sie können nichts dagegen tun, denn bei Amazon sind sie auch ausgesperrt und die Passwort-Rücksetz-Funktion sendet alle Informationen an Ihr E-Mail-Konto, aus dem Sie auch ausgesperrt sind. Damit können Sie nur noch schriftlich Änderungen an Ihrem Konto bei Amazon vornehmen. Hoffen wir, dass in zwei Tagen, wenn der Brief dort eingeht und mit Glück schnell bearbeitet wird, Ihr Kontostand noch positiv ist…
Das könnte jetzt mit ziemlich vielen Diensten (Facebook, Twitter, Dropbox, diverse Reiseanbieter, Onlineshops etc.) auf die gleiche Art durchgezogen werden. Natürlich nur unter der Voraussetzung, dass Sie überall das gleiche Passwort einsetzen. Und alles nur, weil Sie für viele Logins im Internet das gleiche Passwort verwendet haben.
Zurück zum Anfangsthema: Wir benötigen für jedes einzelne Login ein eigenes Passwort. Ich habe mal geguckt, bei mir wären das Stand heute 168 verschiedene Logins mit 168 verschiedenen Passworten. Natürlich nur „gute“ Passworte, also welche, die nicht leicht zu erraten oder zu errechnen sind.
verwürfelte Hyperventilationstherapie
Gundsätzlich einfach zu erraten, bzw. zu errechnen, sind echte Worte. Hierfür gibt es in Hackerkreisen extra Programme, die nichts anderes tun, als automatisiert Wörterbücher mit Millionen von Einträgen abzuarbeiten, bis ein Passwort geknackt ist. Auch Kombinationen von Wörtern werden gleich mit abgearbeitet. Findige Menschen haben sich deshalb einmal ausgedacht, dass man doch einfach bestimmte Zeichen durch Ziffern ersetzen könnte: I wird zu 1, E zu 3, A zu 4, S zu 5, T zu 7, B zu 8, O zu 0. Aus dem Wort „Hyperventilationstherapie“ wird so „Hyp3rv3n71l4710n57h3r4p13“. Das sieht doch schon ganz gut aus, könnte man meinen. Leider ist dieser Trick auch schon bis zu den Hackern durchgedrungen und die Passwort-Knack-Programme machen diese Ersetzungen gleich mit. Sicherheitsgewinn dadurch also: Null.
Erweiterung der Strategie: Wir bringen Sonderzeichen mit rein. So könnte das o. g. Passwort erweitert werden auf: „Hyp3r.v3n71l4710n5-7h3r4p13?“. Das ist schon nicht schlecht und könnte vermtulich als sicheres Passwort durchgehen, wobei es ungeschickt ist, die Sonderzeichen immer auf Wortgrenzen zu haben, denn das könnten die Wörterbuch-Attacken-Programme mit abdecken. Die Sonderzeichen sollten besser irgendwo mittendrin stehen, z. B. „Hyp#3rv3-n71l4710n.57h3r%4p13?“. Dieses Passwort würde ich relativ entspannt nutzen.
Das kann sich doch keiner merken!
Langsam wird es aber so kompliziert, dass sich das entstehende Passwort kein Mensch mehr merken kann. Und wenn doch, dann vielleicht dieses eine oder auch zwei oder drei. Meine 168 Passworte kann ich mir zumindest nicht mehr merken. Dazu gleich noch mehr.
Wenn wir also jetzt bei nicht mehr merkbaren Passworten sind, warum machen wir uns überhaupt noch Gedanken darüber und lassen uns nicht von einem Programm zufällige Passworte generieren? Für jedes Login ein 20- oder mehrstelliges zufälliges Passwort aus Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen. Wild zusammengewürfelt.
PERFEKT!
Genau so sollen Passworte aussehen. Hier mal drei, die ich sofort verwenden würde (wenn sie nicht hier veröffentlicht worden wären): „EOO0L$@ZTaz=m1629OkkwE7RF“, „-rxTXQlJeyq7p4t2!-609Yckm“, „9v2#
Die Nina-Strategie
Ok, jetzt zurück zur Frage: Wie merke ich mir die alle? Einfachste Möglichkeit: Auf einen Zettel schreiben und den zuhause gut verstecken. Allerdings ist das unpraktisch, wenn man auch mal unterwegs, z. B. auf dem Smartphone oder Tablet etwas machen möchte. Den Zettel immer mitnehmen ist umständlich und auch gefährlich. Was ist schließlich, wenn man den Zettel verliert oder er gestohlen wird?
Man könnte die Passworte auch in einer Datei abspeichern, die man auf dem Computer, dem Smartphone und dem Tablet immer dabei hat. Diese Lösung ist noch schlechter, als die mit dem Zettel. Was ist, wenn das Smartphone gestohlen oder verloren wird? Da wären alle(!!) Passworte im Klartext drauf abgespeichert.
Nina hat in Ihrem Blogbeitrag „Mein mitgewachsenes Passwort“ geschrieben, dass sie sich ihre neuen Passworte mit einem Geheimcode versehen per E-Mail zuschickt und diese E-Mails dann an einem zentralen Ort ablegt, wo sie jederzeit nachsehen kann. Das ist schon besser, denn die Passworte sind irgendwie verschlüsselt.
Passwortmanager
Ähnlich, aber deutlich bequemer und auch noch deutlich sicherer sind Passwortmanager. Passwortmanager sind Programme, die Passworte hochgradig verschlüsselt abspeichern. Für die Verschlüsselung muss man sich also doch noch ein Passwort merken, das Master-Passwort. Aber alle anderen liefert dann der Passwortmanager auf Knopfdruck.
Am Markt verfügbar sind diverse Passwortmanager für unterschiedliche Betriebssysteme, die auch plattformübergreifend funktionieren und die Daten über mehrere Geräte hinweg synchron halten können. Also z. B. auf Privat-PC, Firmen-PC und Smartphone. Es gibt kostenfreie und kostenpflichtige. Was ihnen allen gemeinsam ist, ist, dass sie einem auch die Arbeit des Abtippens abnehmen. Sie füllen die Login-Formulare im Internet auf Knopfdruck automatisch aus. Es besteht also beim Einsatz eines Passwortmanagers gar keine Notwendigkeit mehr, irgendein Passwort außer dem Master-Passwort jemals zu Gesicht zu bekommen. Übrigens bringen vernünftige Passwortmanager auch gleich einen Passwortgenerator mit, der sichere Passworte generieren kann.
Gängige mir bekannte Passwortmanager sind:
- 1Password (für Mac, iOS und Android) allerdings kostenpflichtig und nicht ganz billig
- KeePass (für Windows, iOS und Android) OpenSource und damit kostenfrei
Wenn Sie die Suchmaschine Ihres Vertrauens bemühen, werden Sie sicher noch weitere Passwortmanager finden. Achten Sie aber immer darauf, dass die Passworte mit einer starken Verschlüsselung (z. B. AES256) gespeichert werden. Und vergessen Sie auf keinen Fall das Passwort zur Entsperrung des Passwortmanagers, ansonsten sind alle Ihre Passworte auf einen Schlag unwiderbringlich verloren.
Es ist m. E. eine gute Idee, das Passwort des Passwortmanagers auf einen Zettel zu schreben und den in einem verschlossenen Umschlag an einem sicheren Ort aufzubewahren. Da dort der Generalschlüssel zu allen Ihren Identitäten in der digitalen Welt liegt, halte ich es auch nicht für übertrieben, ihn in einem evtl. vorhandenen Bankschließfach zu deponieren und den Umschlag entsprechend zu beschriften. Im Übrigen hilft das auch – jetzt wird’s makaber – im Ernstfall Hinterbliebenen oder Menschen, die eine Vormundschaft übernehmen müssen. Ich jedenfalls habe entsprechende Vorkehrungen getroffen.
Ich hoffe, ich konnte etwas Licht in den Passwort-Dschungel bringen und Ihnen vielleicht ein paar Anregungen für den sicheren Umgang mit Ihren Login-Daten geben. Wenn Sie weitere Passwortmanager kennen, nennen Sie diese doch vielleicht in den Kommentaren und schreiben Sie auch gleich dazu, auf welchen Plattformen sie laufen und welche positiven oder negativen Erfahrungen Sie damit gemacht haben.
Ihr Tobias Mauß
Über den Autor
Tobias Mauß ist selbstständiger Berater für betrieblichen Datenschutz und geprüfter EDV-Sachverständiger. Er ist in zahlreichen Unternehmen als externer betrieblicher Datenschutzbeauftragter bestellt und führt auch Schulungen zum Thema Datenschutz und Datensicherheit durch. Seine Webseite finden Sie auf: https://www.tobias-mauss.de
