Passwörter

Warum Passwörter?

Neben den Authentifizierungsmethoden wie Gesichtserkennung, Muster und Fingerabdruck ist das Passwort wohl der gebräuchlichste Schutz.

Der Chaos Computer Club z.B. hat schon einen „work around“ für den Fingerabdruck und den Iris-Scanner gefunden. Ebenso wurden Gesichtserkennungssysteme mit einfachen Gesichtsmasken ausgetrickst. Natürlich werden solche Systeme immer weiter verbessert, aber bisher wurden sie auch immer wieder ausgehebelt, oder versagen gerne mal ihren Dienst und das Ganze gleicht eher einer netten Spielerei, bei der man nicht mehr an seinen Daten kommt.

 

Authentifizierung (was für ein Wort!?) bedeutet dabei, dass die Identität des Benutzers mit seiner Kennung und seinem Passwort eindeutig ist. Deshalb ist es auch in Firmen nicht gestattet, dass man seine Kennung und das persönliche Passwort an andere weiter gibt. Im Umkehrschluss bedeutet es aber auch, dass man den Rechner beim Verlassen sperren sollte, oder sich ganz abmeldet. Dadurch schützt du dich vor Repressalien, Mobbing, blöden Scherzen deiner Kollegen und nicht zuletzt deine stundenlange Arbeit.

 

Wo brauche ich Passwörter?

Das ist die einfachste Frage überhaupt… Man braucht sie mittlerweile überall. Und weil das mit der Zeit so lästig wird, nehmen viele EIN PASSWORT FÜR möglichst ALLES… ihr Email-Konto, die Anmeldung bei den sog. sozialen Netzwerken, den Cloud- und Video-on-Demand-Diensten, beim Online-Shopping, -Banking, -Gaming, aber auch bei der Verschlüsselung von Daten auf der Festplatte.

 

EIN PASSWORT FÜR ALLES

Bei einer Schulung in einem renomierten IT-Unternehmen sah ich bei deren Hotline einen DIN A4-Zettel an der Wand hängen:

 

„Ja, das können Sie so machen,
aber es ist eben Kacke!“

 

Warum ist das mit Passwörter auch so?

Millionen von Datensätzen geklauter Passwort-Datenbanken, also Zugangsdaten aus Email und Passwort, kursieren im Internet und werden dort vertickt.

Glaube nicht, dass sich da jemand deine Zugangsdaten per Hand heraus- und zusammensucht. Das geht natürlich alles, in Bruchteilen von Sekunden, automatisch und niemand hat es wirklich auf dich abgesehen. Deine Daten sind einfach nur Beifang… wie ein Fisch, der zu falschen Zeit am falschen Ort herum schwimmt und nun am Hacken hängt.

Das größte Problem hast du dann, wenn es zum Diebstahl deiner Identität kommt. Wenn also eine Maschine oder jemand mit deiner EINEN Email-Adresse und deinem EINEN Passwort, all deine Seiten heraus gefunden hat, deine privaten Sache anschaut, liest, kopiert, für dich schreibt, shoppen geht, spielt usw…. das alles auf deine Kosten – nicht nur im monetären Sinne. Du bringst damit unter Umständen nicht nur dich in Gefahr, sondern auch die, mit denen du auf irgendeine Art in Verbindung stehst. Warum? Weil sie denken, dass das was von dir an Information kommt auch von dir stammt.

 

Für alles ein anderes Passwort!?

Wer merkt sich denn so was?? UFF!!

Ja, man kann Passwörter auch mal vergessen, gerade dann wenn man sie dringend bräuchte, es stressig wird und man sie schon lange nicht mehr benutzt hat.
 

Es gibt verschiedene Techniken (ja Eselsbrücken) dafür, aber die einfachste und sicherste Methode ist, sich für jede Anmeldung ein einprägsames Sätzchen auszudenken.

 

Beispielsätzchen: "Man, ich kann die Zahlen 1 und 2 auf den Tasten kaum noch erkennen!

 

Mit den Anfangsbuchstaben und Sonderzeichen bildest du dir dann ganz leicht folgendes Passwort mit 16(!) Zeichen:

M,ikdZ1&2adTkne!

 

Damit hast du, da die Zeichen möglichst nicht doppelt vorkommen, eine vernünftige Mischung aus:

Großbuchstaben: M,Z,T

Kleinbuchstaben: i, k, d, a, d, k, n, e

Zahlen: 1, 2

Sonderzeichen: Komma, &, Ausrufezeichen

 

Aber... benutze keine ausgeschriebenen Namen oder Geburtsdaten, Zahlenfolgen wie 12345678, Wörter aus Wörterbüchern oder irgendwelche Kraftausdrücke. Das wird lustigerweise alles zu oft verwendet und könnte mit einem Wörterbuchangriff (Brute Force) durch einen Computerprogramm rasch ermittelt werden.

 

Was ist nun mit der Anzahl der Zeichen?

8 Zeichen wären schon mal prima, aber es dürfen gerne auch 15 sein... Je mehr desto besser, denn dann brauchen Angreifer auch in Zukunft eine Menge Zeit und die wird durch immer schnellere Rechner von alleine immer kürzer.

 

 

Apropos „paranoid“… Leider kam es in der Vergangenheit schon öfter mal vor, dass auch gleich ganze Passwort-Datenbanken (wie oben erwähnt) geklaut wurden, weil die Anbieter es mit der Sicherheit nicht ganz so genau genommen haben. Und manchmal kam das erst sehr viel später (Jahre) ans Tageslicht. Es gibt da aber einen engagierten Menschen, der versucht diese Datenbanken zusammen zu tragen. Man kann auf seiner Website (https://haveibeenpwned.com/) überprüfen, ob die eigene Email-Adresse betroffen ist. Damit hat man natürlich keine Sicherheit. Nur, wenn du dich dort findest, hast du Glück, wenn deine Anmeldedaten noch überall funktionieren. Also auf jeden Fall, steht jetzt eine Passwört-Änderung an.

 

Passwort-Änderung

Nein, es macht keinen Sinn, sein Passwort wöchentlich zu ändern, wenn es gut ist und nur du es weißt. Lege lieber sehr viel mehr Wert darauf, dass du überall ein anderes hast.

Und wie wäre es, sich Alias-Email-Adressen für die verschiedenen Dienste einzurichten?! Nicht selten gibt es diese Möglichkeit auf der Website der Email-Anbieter. Email-Anbieter helfen dir übrigens auch, gute Passwörter zu erstellen. Da kann man zumindest mal ein bisschen herum probieren und an den grünen Balken sehen, wie stark es ist.

 

Gute Passwörter sind toll! Ja, aber

 

Beispiel Online-Banking:

Du hast dich angemeldet und eine Überweisung gemacht. Was hast du dann schon immer bekommen oder bereithalten müssen? Richtig! Mindestens eine TAN-Nummer.

Es wurde also über eine andere Quelle (Papier oder Handy) deine Authentizität (also DU) verifiziert, d.h. geprüft und festgestellt.

Warum macht man das? Man bringt einen weiteren, zweiten Faktor ins Spiel, um mehr Sicherheit zu schaffen, eben dass du tatsächlich derjenige bist, der gerade am Computer sitzt und angemeldet ist. Man ging natürlich davon aus, dass du die TAN-Liste gerade aus deinem persönlichen Tresor geholt hast... ;-)

Heute spricht alles von iTAN und macht dein Smartphone quasi zum Tresor. Du hast also eine spezielle App des Bankunternehmens deines Vertrauens und solltest damit sicherstellen, dass deine Online-Überweisungen tatsächlich nur von dir authorisiert werden. Der Vorgang, dein Handy für diese verantwortungsvolle Funktion fit zu machen, erklärt dir deine Bank.

 

Diese Zwei-Faktor-Authentifizierung haben sich große Anbieter (ich möchte keine Werbung machen) ebenfalls ähnlich wie die Banken zu eigen gemacht.

 

Die alte Art:

Du hinterlegst beim Anbieter deine Handynummer erhälst per SMS eine Zahlenfolge, die beim Anmelden zusätzlich einzugeben ist. Das ist aber mittlerweile Schnee von gestern, weil zu unsicher.

 

Die neue Art:

Sehr viel sicherer sind Authentifizierungs-Apps. Schau dazu einfach mal nach dem Begriff „ Authenticator“ in den App-Stores nach. Mit FreeOTP beispielsweise, kannst du gleich für mehrere Anbieter, einen Authentifizierungs-Code erzeugen lassen. Dazu scannst du mit dem OTP-Programm des Smartphones den QR-Code auf der Website, des jeweiligen Anbieters. Durch diesen Vorgang werden Telefon und Website "verheiratet". Danach meldest du dich mit Kennung, Passwort und dem dargestellten Code dieses Authendicators an. Das ist die Kurzform.

Achtung! Ohne Smartphone und dieses OTP-Programm kannst du dich danach aber nicht mehr anmelden! Das Passwort allein hilft also nicht mehr. Was ja der Sinn des Ganzen ist. Dann hilft nur noch die Telefonseelsorge. Und hoffentlich hast du dann alles parat, was die wissen wollen...

 

Alles paranoider Unsinn! - Ich mach das mit nem Passwort-Manager!

Ja, das kann man so machen…

Zugegeben in einer geschlossenen Firmenumgebung, in der man keinen direkten Zugang zum Internet hat, kann das durchaus hilfreich und sinnvoll sein. Und wenn die Administratoren solchen Programmen zustimmen, dann wissen sie auch in der Regel, was sie da tun.

Auf dem heimischen Rechner musst du dich allerdings darauf verlassen, dass dein Virenscanner einen Dienst tut, den er nicht leisten kann, nämlich deinen Rechner vor jedem schädlichen Programm 100% zu schützen. Wirst du mal ungewollt „ferngewartet“, hilft der Passwort-Manager auch noch deinem Besucher, deinen Identität auszuleihen.

Egal wie blumig man solche Passwort-Manager auch anpreist … es geht nur um Bequemlichkeit. Und außerdem, was bringt er dir, wenn du dich mal irgendwo anmelden musst und deinen Rechner nicht zu Hand hast?

Wenn du dir vor Augen hälst, dass dieses eine Programm deine komplette Identität im Internet verwaltet, sollte dir vielleicht doch der eine oder andere Zweifel durch den Kopf schießen.

 

 

Ach… sollte man noch erwähnen, dass Passwörter nirgendwo auf dem Computer oder der Tastatur kleben sollten…??