Gestern hatte ich noch versprochen, dass ich etwas über Passwortsicherheit schreiben will. Und schwupps, ist heute „Nationaler Ändere-Dein-Passwort-Tag“.
Ich schwöre, ICH habe das nicht verbrochen. So einen Unsinn würde nämlich noch nicht einmal ich verzapfen.
Aber es gehört zu den heiligen Mythen des Internets, dass Passwörter regelmäßig gewechselt werden sollen. Und wer einmal bei einem größeren Betrieb (oder in einer Kirchenverwaltung) gearbeitet hat, erinnert sich an die dauernden Mails des IT-Beauftragten: „Bitte wechseln Sie Ihr Passwort“. Ich musste sogar unterschreiben, dass ich spätestens alle drei Monate wechsle.
Aber wozu um Himmels willen?
Nein, ein sicheres Passwort muss nicht gewechselt werden. Warum auch? Damit es leichter geknackt wird?
Wie kommen diese schlechte Menschen überhaupt an Dein Passwort?
Da gibt es wohl hauptsächlich drei Hauptwege.
Wie kommen schlechte Menschen an Dein Passwort?
Weg Nr.1: Sie gucken auf Deinem Schreibtisch
Sie sehen es an Deinem Schreibtisch oder probieren direkt an Deinem Computer (Smartphone oder wo auch immer) aus. Wir kennen das aus Krimis, zuerst guckt man nmal unter die Schreibunterlage oder in die Griffelschublade, ob da ein Zettelchen mit dem Passowrt liegt. Oder noch besser: ein Post-It am Bildschirm. Wenn das nicht der Fall ist, probiert man die gängigen Passwörter aus. Hat der Besitzer einen Hund, ist das der Name – groß oder klein geschrieben, vielleicht mit einer Jahreszahl dabei.
Du siehst, das betrifft nur Menschen, die Zugang haben oder – sehr selten – sich verschaffen. Arbeitest Du in einem Büro, kann das leichter passieren als wenn Du nur zuhause vor dem Bildschirm sitzt. im Büro kann Dir auch einer mal über die Schulter gucken.
Einbrecher könnten natürlich auch kommen, aber die haben es selten auf Passwörter abgesehen. Trotzdem: keinen Ordner auf den Schreibtisch, auf dem dick „Passwörter“ steht.
Weg Nr. 2: Sie schicken Dir eine Nachricht
Sie schicken Dir etwas auf Dein Gerät. Eine Mail z.B. getarnt als Mail von Payback, Amazon oder so was. „Eine Bestellung wird ausgeliefert“. Du hast aber nichts bestellt, also klickst Du auf den angegeben Link und kommst scheinbar auf die täuschend echte Seite, wo Du Benutzername und Passwort eingibst. Schwupp. Niemals in einer Mail von Deiner Bank oder ähnlichem auf den Link klicken, am besten gar nicht öffnen. Wenn Du unsicher ist, gehe im Internet selbst auf die betreffende Seite. Und wenn Du dann bei Amazon keine Bestellung findest, gab’s auch keine.
Manchmal siehst Du gar nicht, dass Du etwas geschickt bekommen hast. Auch das beste Virenprogramm schützt nicht hundertprozentig vor sogenannter Malware. Dann wird z.B. ausspioniert, welche Tastatureingaben Du machst. Deshalb empfiehlt sich, sensible Passorteingaben nicht direkt über die Tastatur zu machen. Virenschutzprogramme haben z.B. eine Funktion dafür.
Weg Nr.3: Sie durchforsten Portale
Sie spionieren nicht bei Dir, sondern bei den Portalen. Das ist wahrscheinlich die häufigste Variante. Drei Milliarden (!!!) Zugänge sind auf diese Weise gehackt worden. Ob Deine Daten dazugehören, kannst Du z.B. auf Firefox Monitor erfahren. Hattest oder hast Du ein Konto bei Adobe, Dropbox, freenet oder wo auch immer, gehörst Du wahrscheinlich dazu.
Aber keine Panik. Wenn Du eine „positive“ Meldung bekommst, heißt das nur, dass deine Daten irgendwann einmal dort mit gehackt wurden. Es heißt nicht, dass damit etwas angestellt wurde. Und wahrscheinlich hast Du darüber bereits eine Mitteilung bekommen. Also in Ruhe das Passwort ändern, wenn Du das noch nicht gemacht hast.
5 Regeln, was Du tun kannst
- Wähle ein sicheres Passwort
- Nimm für jeden Account ein anderes Passwort
- Wenn nötig, bewahre die Passwörter sicher auf.
- Wenn ein Account möglicherweise gehackt worden ist, nehme ein völlig anderes Passwort
- Sorge dafür, dass eine Vertrauensperson an Deine Passwörter kommt.
Wähle ein sicheres Passwort
Heute besteht ein halbwegs sicheres Passwort aus mindestens 10 Zeichen, dabei auch Groß- und Kleinschreibung und Sonderzeichen. Wähle kein Wort, das in einem Wörterbuch steht, auch nicht in Verbindung mit einer Zahl. Je zufälliger, desto besser. Es gibt Seiten, auf denen Du sichere Passwörter generieren kannst. Ich nutze z.B. bei Bedarf im Internet den passwort-generator.eu.
Du kannst natürlich auch ein Passwort erfinden. Merke dabei: „Leicht merkbar“ ist der Feind von „Sicher“. Nimm ein Nimm zum Beispiel Dein Lieblingssprichwort „Lügen haben Kurze Beine“. Dazu dann das Geburtsdatum Deiner Schwiegermutter. 24.12.1950. Ergibt „Lue-24-ha-KB?!*“.
Nimm für jeden Account ein anderes Passwort
Ehrlich gesagt: ich beherzige das nicht. Ich unterscheide zwischen trivialen Accounts, bei denen es mir im Grunde egal ist, ob sie gehackt werden oder nicht. Für die nehme ich mein (einfach zu merkendes) Standardpasswort. Für alle anderen unbedingt jeweils ein anderes sicheres Passwort!
Übrigens auch für Facebook. Beispielsweise. Der Account wird gerne gehackt und vor allem: mit dem Facebookaccount kann man sich auch bei vielen anderen Accounts anmelden.
Wenn nötig, bewahre die Passwörter sicher auf
Ich verwende ein einfach gemachtes und ästhetisch nicht sehr schönes Tool namens KeePass. Das kannst Du auf einem Stick speichern oder sogar auf Dropbox. In ihm sind alle Passworte gespeichert, so dass ich sie bei Bedarf dort abrufen kann. Nur das „Masterpasswort“ musst Du Dir natürlich merken. Nimm dafür lieber 12 Zeichen. Deiner Phantasie sind keine Grenzen gesetzt.
Aber sind die da sicher? Ja – keine Angst. Alles ist verschlüsselt. Du benötigst das Passwort und – wenn Du willst – zusätzlich eine Schlüsseldatei, um an die Passwörter ranzukommen.
Es gibt auch Clouddienste, in denen Du die Passwörter speichern kannst und die sehr gut gesichert sind.
Wenn ein Account möglicherweise gehackt worden ist, nehme ein völlig anderes Passwort
Eigentlich trivial. Also, wenn Du Dein Passwort änderst, nicht von Gerda-2016 auf Gerda-2017.
Sorge dafür, dass eine Vertrauensperson an Deine Passwörter kommt.
Das wird oft vergessen. Wenn Dir etwas geschehen sollte – Gott bewahre – muss eine Person Deines Vertrauens an Deine Passwörter kommen und es muss eine Liste geben, welche Accounts er sich vornehmen sollte. Dafür ist Keepass in der Dropbox (oder ähnlichem) gut, weil Deine Passwortliste sich ja ändert. Wenn Du nicht willst, dass diese Person jetzt schon Dein Bankkonto anguckt, wird es schwieriger. Du kannst das Passwort zu Deinem Testament legen oder in einen Banksafe, zu dem Dein Erbe Zugang hätte.
Aber damit ist der Fall nicht gelöst, was wäre, wenn Du nicht mehr handlungsfähig bist und auch nicht mehr Auskunft geben kannst – aber eben noch lebst.
Der Onlinedienst LastPass hat dafür eine ziemlich geniale Lösung gefunden. Wenn die Person Deines Vertrauens Zugang haben will, wirst Du per Mail informiert. Und erst wenn, Du binnen einer von Dir wählbaren Zeit nicht reagierst, wird der Zugang gewährt. Dafür muss man aber bezahlen, natürlich. Eine ähnliche Funktion habe ich sonst noch nirgends gefunden.
Eine schriftliche Passwortliste kannst Du auch in einem unauffälligen Ordner in Deinem Regal aufbewahren. Es muss nur jemand wissen wo.
Bild: Security, Downpatrick, May 2011.JPG wikipedia