Am 06. Mai war Welt-Passwort-Tag. Habt ihr das gewusst? Ich jedenfalls nicht. Aber ich wollte es trotzdem Mal aufgreifen, denn ich habe mir in den letzten Wochen Gedanken zu diesem Thema gemacht und möchte an dieser Stelle etwas über meine persönlichen Erfahrungen zur Konto- und Passwortsicherheit berichten.

Aber was meine ich überhaupt mit „gehackt“ werden? Schaut man im Wörterbuch nach, so bedeutet der Begriff „gehackt werden“

„durch geschicktes Ausprobieren und Anwenden verschiedener Computerprogramme mithilfe eines Rechners unberechtigt in andere Computersysteme eindringen “ (Quelle: Duden.de)

Dabei denkt man natürlich erst einmal an einen Virus auf dem eigenen Rechner (oder an die verdächtige E-Mail mit dem Anhang), was ja auch grundsätzlich ein mögliches Szenario ist. Ich behaupte aber an dieser Stelle einfach mal, dass man in den meisten Fällen nicht einmal etwas für einen Passwort-Hack kann. Denn auch die Server von Online-Dienstleistern, sei es das kleine Hobby-Forum oder ein großer Online-Händler eurer Wahl, sind regelmäßig von solchen Angriffen betroffen. Und dabei werden nicht selten Nutzerdaten abgegriffen, die sich kurze Zeit später im Internet wiederfinden. Wie gut eure Daten dort geschützt sind, liegt in der Hand des Betreibers. Ausschlaggebend ist, in welchem Ausmaß die eigenen Dateien und Anmeldedaten betroffen sind.

Beispiele dafür finden sich genug. Im Jahr 2012 etwa wurde der beliebte Cloudspeicher-Anbieter Dropbox gehackt, wobei Millionen Benutzerpasswörter im Internet auftauchten. Auch Social-Media-Plattformen wie Facebook, sind immer wieder von solchen Angriffen betroffen. Ein besonders populäres Beispiel ist sicher auch der Datenklau im Deutschen Bundestag 2019, der große Wellen geschlagen hat.

Neben der Wahl eines sicheren Passwortes haben sich in den letzten Jahren meiner Meinung nach für Internet-Nutzer zwei weitere wichtige Sicherheitsfunktionen etabliert, welche man sich unbedingt zu Nutze machen sollte: Die 2-Faktor-Authentifizierung und die automatische Überprüfung der Kontointegrität. Auf diese drei Punkte möchte ich im Folgenden nun eingehen.

Sichere, unterschiedliche Passwörter wählen

Wusstet ihr, dass an die Öffentlichkeit geratene Datenlecks bis zu 4% aus dem Passwort „123456“ bestehen? [1] Dass triviale Passwörter wie „1234abc“ oder „passwort“ nicht sicher sind, sollte eigentlich als selbstverständlich gelten. Andererseits empfinde ich es aber auch als eine Zumutung, eine Passwort wählen zu müssen, was z.B. 20 Zeichen lang ist, aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht und natürlich nicht den 10 letzten Passwörter ähnelt.

Klar kann ich jedes Passwort zufallsgenerieren und in meinem Browser speichern, aber was nützt mir das, wenn es mir unterwegs auf einem anderen Rechner nicht einfällt? Das Internet lebt ja schließlich davon, dass man von überall darauf zugreifen kann (möchte). Hier ist es, so denke ich, das Beste ein gesundes Mittelmaß zwischen Merkbarkeit und Sicherheit zu finden. Wer gerne ein paar konkrete Empfehlungen zur Wahl eines individuellen Passworts haben möchte, findet unter anderem beim BSI Informationen dazu.

Auch sollte man nicht für alle Onlinedienste das selbe Passwort wählen, aus offensichtlichen Gründen. Bei mir persönlich haben sich, im Sinne des eben genannten Kompromisses, über die Jahre „Passwortpools“ gebildet. Dazu habe ich meine (zahlreichen) Online-Dienste in verschiedene Kategorien eingeteilt, je nach Sensibilität der gespeicherten Daten. Meine „kritischen“ Accounts, also z.B. Zahlungsdienstleister, Händler besitzen alle individuelle Passwörter. Für Konten mit mittlerer bzw. niedrigerer Priorität habe ich ein Set von verschiedenen, der Situation entsprechend sicheren Passwörtern, die ich ggf. durchrotiere. Parallel dazu führe ich eine Liste mit allen Passwörtern, so dass ich im Falle einer Kompromittierung schnell sehen kann, welche Konten noch betroffen sein könnten und die Passwörter ändern kann.

Passwörter nicht im Klartext speichern

Google Chrome verschlüsselt standardmäßig die gespeicherten Zugangsdaten mit den Informationen des eingeloggten Windows-Nutzers [3], bei Mozilla Firefox kann man ein Master-Passwort setzen, um die Zugangsdaten selbst zu sperren. Auch externe Programme wie keypass (open source) gibt es für solche Zwecke, habe ich ehrlicherweise aber noch nie genutzt. Keinesfalls sollte man alle seine Passwörter in einer Textdatei ablegen. Ich bevorzuge es, meine Passwörter „analog“, also handschriftlich zu sichern. So brauche ich mir zumindest keine Gedanken über „gehackt“ werden oder einen Datenverlust machen.

2-Faktor-Authentifizierung nutzen

Bei der 2F-Authentifizierung wird beim Log-In neben dem Passwort noch eine weitere Kontrollinstanz hinzugefügt. So muss ich nach der Eingabe des Passworts den ersten Login auf einem Rechner zusätzlich noch per Authenticator-App, SMS oder E-Mail mit einem Code bestätigen. Das verbessert die Kontosicherheit erheblich, mit geringem Aufwand. Mehr Informationen dazu…

Bei meiner letzten „großen“ Passwort-Revision im Mai (als ich diesen Beitrag begonnen habe…), konnte ich bei fast der Hälfte meiner Online-Dienste eine 2F-Überprüfung aktivieren. Also, gleich umstellen! Außerdem sollte man die Backup-Codes gut aufheben (am Besten nicht auf dem PC), damit man 2F-Authentifizierung im Falle eines Verlusts (des benötigten Tokens) wieder zurücksetzen kann.

Kontointegrität prüfen

Einige Anbieter (darunter Google) ermöglichen es einem zu prüfen, wann und vor allem von wo der letzte Login stattgefunden hat und benachrichtigen einen z.T. automatisch, wenn dort verdächtige Aktivitäten erkannt werden (bei mir wurde mal vor einem Login-Versuch aus China gewarnt).

Außerdem gibt es seit längerer Zeit verschiedene Online-Anbieter, die an die Öffentlichkeit geratene, gestohlene Datensätze analysieren und einen kostenlos darüber informieren, wenn eigene Daten wie die E-Mail Adresse oder die Telefonnummer darunter sind. Das kann man einfach und unkompliziert z.B. bei haveibeenpwned oder avast prüfen.

Bei Google Chrome findet dies seit längerem automatisch und unbemerkt statt (Einstellung „Warnen, wenn Passwörter durch eine Datenpanne preisgegeben werden“). Auch bei Mozilla Firefox gibt es dieses Feature inzwischen. [2]

Auch interessant: Was tun, wenn die eigenen Daten Teil eines großen Leaks sind? (Spiegel Online, 2019)

Wie handhabt ihr eure Passwörter? Schreibt mir doch in die Kommentare, was eure Strategie bei der Passwortwahl ist!