World Password Day: 6 Mythen rund um sichere Passwörter
Dieser Artikel ist älter als ein Jahr!
Der erste Donnerstag im Mai ist traditionell der World Password Day. An diesem Tag soll daran erinnert werden, möglichst sorgsam mit seinen Passwörtern umzugehen. Im Laufe der Jahre haben sich in diesem Zusammenhang aber auch sehr viele Mythen entwickelt, an die man sich nicht halten sollte. Auch sind manche Passwort-Praktiken, die früher tatsächlich sinnvoll waren, heute nicht mehr zeitgemäß. Wir haben 6 Mythen rund um Passwörter gesammelt:
Mythos 1: „Ich brauche kein sicheres Passwort, mich hackt eh niemand.“
Seine Online-Konten gut abzusichern, ist mit Aufwand verbunden. Zwar ist jener in der Regel überschaubar, aber es reicht aus, um viele Menschen davon abzuhalten, sich um sichere Passwörter, Zwei-Faktor-Authentifizierung und ähnliches zu kümmern. Anstatt 10 Minuten pro Konto zu investieren, denken viele dann einfach: „Mein Konto interessiert ohnehin niemanden, ich habe nichts zu verbergen.“
Das ist allerdings ein Trugschluss. Der wichtigste Punkt ist, dass es Angreifer nicht auf einzelne Nutzer abgesehen haben, erklärt Andreas Türk, Sicherheitsexperte bei Google im Gespräch mit der futurezone. "Sie versuchen einfach an so viele Passwörter wie möglich zu kommen und möglichst viel Schaden zu erzeugen", sagt Türk. So kann ein kompromittierter Account oft nur ein Einfallstor sein. Geht es etwa um das E-Mail-Konto, können sich Angreifer damit Zugriff zu einer Reihe anderer Konten verschaffen. Gleiches gilt für Facebook, vor allem dann, wenn man sich damit auch bei verschiedenen anderen Diensten einloggt.
Eine weitere Gefahr ist, dass die eigenen Konten für Phishing und Betrügereien genutzt werden können. „Es kann auch passieren, dass Freunde angeschrieben werden und versucht wird, sie in Phishing-Fallen zu locken“, so Türk. „Durch schlechte Passworthygiene kann also im gesamten Bekanntenkreis ein großer Schaden entstehen“, warnt der Experte.
Mythos 2: „Nur lange Passwörter sind sicher.“
Zwar stimmt es, dass lange Passwörter grundsätzlich sicherer sind, allerdings kann man auch mit (relativ) wenigen Zeichen ein akzeptables Maß an Sicherheit erreichen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI empfiehlt etwa dann ein Passwort mit 8 Zeichen, wenn es 3 Zeichenarten enthält und der Account zusätzlich durch Zwei-Faktor-Authentifizierung (also etwa Fingerabdruck oder SMS-Tan) gesichert ist. Letzteres ist generell immer ratsam.
Ohne Zwei-Faktor-Authentifizierung sollten es 8 bis 12 Zeichen sein. Wenn nur 2 Zeichenarten (also etwa Buchstaben und Zahlen) vorkommen, empfiehlt die Behörde ein Passwort von 20 bis 25 Zeichen.
Mythos 3: „Sichere Passwörter kann man sich niemals merken.“
Ein weiterer weitverbreiteter Irrglaube ist es, dass sich komplexe und sichere Passwörter ohnehin niemand merken kann. Zwar ist es generell richtig, dass Sicherheitsexperten möglichst lange Phrasen mit Zahlen und Sonderzeichen empfehlen, die sich in keinem Wörterbuch finden lassen, um möglichst gut geschützt zu sein. Allerdings gibt es auch hier Tricks, mit denen man sich derartige Passwörter dennoch merken kann.
Experten und Organisationen wie das BSI raten etwa, sich einen Satz zu überlegen, aus dem sich dann das Passwort zusammensetzt. Der Satz könnte etwa lauten: „Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!“. Das Passwort, das sich daraus ergibt, lautet „AleiPm4Z+eK!“
Mythos 4: „Ich darf meine Passwörter nirgendwo aufschreiben.“
Ein weiterer Mythos ist es, tunlichst zu vermeiden, sich Passwörter auf Papier zu notieren. Klar: Wenn man die neugierigen Kollegen vom Einloggen in den eigenen Account abhalten möchte, ist es nicht klug, sein Passwort auf einem Post-it neben dem Bildschirm kleben zu haben. In den eigenen 4 Wänden sich auf einem Zettel am Schreibtisch das Twitter-Passwort aufzuschreiben, dessen Account ohnehin noch zusätzlich durch Zwei-Faktor-Authentifizierung gesichert ist, ist hingegen weniger problematisch. Besser man hat ein komplexes Passwort und notiert es sich an einem sicheren Ort, als man verwendet eine einfach merkbare Phrase, die aber in jedem Wörterbuch steht.
Generell besser als jegliche Zettelwirtschaft ist das Verwenden eines Passwortmanagers. Mittlerweile gibt es mehrere verschiedene Anbieter – von gratis und Open Source bis geschlossen und kostenpflichtig. Türk sieht Passwortmanager als den wichtigsten Faktor bei Internet-Sicherheit. "Ohne einen Passwortmanager kann ich viele der Ratschläge gar nicht umsetzen. Wenn ich einen Passwortmanager verwende, löse ich 99 Prozent meiner Sicherheitsprobleme" so Türk. Damit kann man für jede Website ein einzigartiges, ausreichend langes Passwort nutzen und muss sich nicht alle merken.
Empfehlenswerte Passwort-Manager
KeePass
Die Software KeePass zählt zu den ältesten und bekanntesten Passwort-Managern. Vor allem der Umstand, dass die Software unter einer GNU General Public License veröffentlicht wird, sorgt für breites Vertrauen. Dafür ist sie nicht ganz so bequem und hübsch gestaltet wie die anderen Alternativen.
LastPass
Ebenfalls sehr bekannt ist LastPass, das mittlerweile zum Bostoner Softwareunternehmen LogMeIn gehört. In der Basisversion kostenlos punktet das Tool vor allem mit seiner leichten Bedienbarkeit. Erstellen, abrufen und verändern kann man seine Passwörter über eine Web-Oberfläche. Die kostenfreie Version wurde zuletzt jedoch massiv eingeschränkt. Wenn man LastPass auf mehreren Geräten gleichzeitig verwenden möchte, muss man bezahlen. Ein Premium-Account kostet 2,90 Euro im Monat.
1Password
Die Software 1Password zählt ebenfalls zu den beliebten und vertrauenswürdigen Adressen. Eine besondere Funktion ist der “Watchtower”, der über Sicherheitslücken bei gespeicherten Diensten informiert.
Bitwarden
Quelloffen aber noch nicht so bekannt wie KeePass ist Bitwarden. Der Fokus des Managers liegt auf seinen App-Funktionalitäten. Die Basis-Version ist kostenlos, für einen Premium-Account wird 1 Dollar pro Monat fällig.
Enpass
Die Software Enpass setzt anstelle eines Abo-Modells auf eine Einmalzahlung und bringt ebenfalls alle essenziellen Funktionen mit, die ein Passwortmanager benötigt.
Mehr Details zu den Passwortmanagern und ihre Apps für Android und iOS lest ihr hier.
Mythos 5: „Ich muss meine Passwörter regelmäßig ändern“
Es gilt als alter Security-Tipp in der IT-Branche und manche Unternehmen zwingen ihre Mitarbeiter auch dazu, regelmäßig ihre Passwörter zu ändern. Für Türk ist dies der "größte Mythos" im Bezug auf Passwörter. "Es gibt keinen Grund, sie regelmäßig zu ändern - es sei denn, die jeweilige Website hat ein Sicherheitsproblem", so der Google-Experte. Sollte dem so sein, sind die Dienste aber auch verpflichtet, die Nutzer zu informieren.
Einzig, wenn man sein Passwort auf mehreren Diensten gleichzeitig verwendet, würde ein regelmäßiges Ändern Sinn machen. Das ist laut Türk aber ohnehin das "größte Sicherheitsdesaster, das ich machen kann", weswegen man grundsätzlich für jeden Dienst ein einzigartiges Passwort verwenden sollte.
Mythos 6: "Passwörter wird es immer geben"
Bei Google überlegt man schon, was nach dem Passwort kommt: „Wir wollen Passwörter eliminieren“, so Türk. Anstelle über eine Passphrase soll man künftig ein Gerät zur Authentifizierung verwenden, wie etwa das eigene Smartphone, das in der Regel ja auch durch Biometrie (Fingerabdruck oder Gesichtsscan) geschützt ist. Manche Websites oder Web-Dienste haben ähnliche Lösungen bereits implementiert. Man gibt also auf dem Rechner lediglich seinen Benutzernamen ein. Anschließend entsperrt man das Handy per Fingerabdruck oder Gesichtsscan und erlaubt darüber den Zugriff. Am Rechner ist man dann eingeloggt.
Kommentare