Jedes Jahr ist der erste Donnerstag im Mai, der Tag wo wir wieder an unsere unsicheren Passwörter erinnert werden.
Vom Sicherheitsaspekt her ist das erschreckend, aber für mich nicht verwunderlich.
Menschen sind faul, wir mögen einfache Dinge. Bill Gates sagte einmal, dass er am liebsten faule Programmierer und Techniker einstellt, da diese für die kompliziertesten Probleme die einfachste Lösung suchen.
Und trotz all der Schreckensgeschichten, welche man hört, werden weiterhin leicht zu merkende Passwörter genutzt. Serversysteme von Firmen werden verschlüsselt, welche dann Beträge in Millionenhöhe zahlen dürfen. Oft passiert das, weil ein Mitarbeiter als Passwort etwas Einfaches wie 12345678, Passwort, Computer123 oder ähnliches genommen hat. Es kann auch sein, dass ein Server eines Onlinedienstes übernommen wurde, aus welchem dann E-Mailadressen und Passwörter entwendet wurden.
Es gibt diverse Seiten, auf welchen man über Angabe seiner E-Mail-Adresse Auskunft bekommt, ob diese in einem Daten-Leak vorkommen. Es gibt die deutschsprachige Webseite des Hasso-Plattner-Instituts, https://sec.hpi.de/ilc/search?lang=de, auf welcher einem nach Angabe der E-Mail innerhalb der nächsten 5 Minuten eine Mail mit dem Ergebnis zugeschickt wird.
Für die Englischsprachigen unter uns ist die Seite https://haveibeenpwned.com/ mein persönlicher Favorit. Dort bekommt man direkt die Rückmeldung über seine Login Daten, zusätzlich kann man auch die Telefonnummer, welche bei manchen Webseiten ja mit angegeben werden muss, überprüfen lassen (im internationalen Format, also statt der 0 die +49).
Wenn Ihre Adresse in einem dieser Services aufgeführt wird und sie seitdem nicht Ihr Passwort geändert haben, sollten Sie dies schnellstmöglich nachholen und durch ein sicheres Passwort ersetzen.
Wofür brauche ich überhaupt ein sicheres Passwort? Viele Menschen denken, bei ihnen gibt es nichts zu holen. Es gibt diverse Gründe sichere Passwörter zu nutzen.
Der reine finanzielle Schaden, der damit anzurichten wäre, liegt bei einigen Tausend Euro (Unter uns Gamern: Es sammeln sich mit der Zeit ein paar gekaufte Spiele an) und ohne Zugriff auf meine Mails kann ich vieles davon nicht mehr retten.
Ein unsicheres Kennwort löst unter Umständen eine Kettenreaktion aus. Was kann passieren?
Von meinem E-Mail Account und sozialen Netzwerken werden fremde Menschen, und vor allem auch meine Freunde angeschrieben mit diversen Anfragen. “Kannst du mir etwas Geld leihen? Ich sitze in München fest und brauche ein Zugticket zurück” ist noch harmlos. Es können auch Links auf infizierte Seiten dabei sein, und bei Freunden klickt man da eher drauf, als bei Fremden.
Das ist der persönliche Schaden. Wenn ich auf der Arbeit ein unsicheres Passwort verwende, dann kann der reine finanzielle Schaden auch gerne mal in die Millionenhöhe gehen (Je nach Unternehmen ist die Forderungshöhe unterschiedlich.). Wir erinnern uns im November 2021, als Saturn/Media Markt einen Totalausfall aller Systeme hatten. Sollten dabei noch Kundendaten abhandenkommen. Wer vertraut schon einem Unternehmen, welches mit solchen Daten nicht verlässlich umgehen kann?
Jede Webseite sagt mir, ich soll mindestens acht Zeichen, Groß- Kleinbuchstaben, mindestens eine Zahl, und mindestens ein Sonderzeichen nehmen:
Auf der Arbeit kann ich dann ja auch etwas nehmen wie “iT.PUR2022ist_super!”, das wäre zwar ein gutes Passwort, aber immer noch unsicher.
Aber ich habe doch alle Regeln befolgt? Warum ist das immer noch ein schlechtes Passwort?
Die Antwort: Es ist erratbar. Viele Passwörter können durch sogenanntes Social Engineering erraten werden.
Keine Namen, keine Wörter aus dem Wörterbuch irgendeiner Sprache, keine Datumsangaben, keine aufeinanderfolgenden Buchstaben oder Ziffern.
Eine gute Seite, auf welcher man seine Passwortstärke testen kann ist https://lastpass.com/howsecure.php dort werden einem auch noch ein paar Hinweise angezeigt, wie man sein Passwort verbessern kann. Je mehr Stellen, je mehr verschiedene Zeichen, desto besser.
Warum ist das so? Pro Stelle müssen von einem Angreifer mehrere Kombinationen durchgegangen werden, um das Passwort mit einem sogenannten Brute-Force-Angriff zu knacken.
Wer will sich schon ein Passwort mit 16 Stellen, Groß- Kleinschreibung, Zahlen und Sonderzeichen merken? T(4np8R”lB6/1v7_ ) sieht zwar schön aus (und ist sicher, denn alle möglichen Kombinationen für dieses Passwort sind ca. 44,5 Quintillionen), merken kann sich das aber keiner.
Die Nutzung eines Passwortmanagers erleichtert Ihnen die Aufgabe. Passwörter niemals aufschreiben, mit sich herum tragen oder einen Zettel unter die Tastatur legen. Bitte auch keine Passwortliste auf dem Rechner abspeichern. Ein Passwort-Manager macht das Ganze dann doch etwas einfacher. Dabei handelt es sich um ein Programm, in dem alle Passwörter hinterlegt werden, welche dann mit einem sogenannten Master-Passwort verschlüsselt werden. Ohne dieses Master-Passwort ist kein Zugriff auf den Inhalt der gespeicherten Passwörter möglich.
Der Password Manager erstellt für Sie sichere Passwörter für alle Logins, aber man muss sich nur noch ein sicheres Passwort merken, alle anderen sind im Passwort-Manager verschlüsselt hinterlegt.
Für den Browser empfehlen wir von der iT.PUR das kostenlose Add-On LastPass, welches automatisch Kennwortfelder ausfüllt. Wer Browser-Add-Ons nicht vertraut, dem legen wir das Open Source Programm KeePass ans Herz. Die Passwortdatei wird mit den besten derzeit bekannten Algorithmen verschlüsselt. Dadurch, dass es Open Source ist, wird durch viele unabhängige Programmierer die Sicherheit überprüft und bestätigt. Mit einem dieser Programme sind Ihre Passwörter sicher verwahrt und für Sie jederzeit abrufbar.
Vielen ist der Unterschied nicht bekannt. Daher klären wir auf. Es gibt keinen Unterschied. Der eine sagt Password, der nächste Kennwort. Aber beides ist das gleiche und hat auch die gleiche Funktion. Möchten Sie weitere Tipps zur Passwortsicherheit oder zur allgemeinen IT-Sicherheit? Dann rufen Sie uns an.
iT.PUR ist ein Netzwerk aus professionellen IT-Dienstleistern in NRW und Pinneberg. Wir bieten Computerlösungen für Ihren Erfolg. Von der klassischen IT bis hin zu Cloud -und Managed Services.