Ändere-dein-Passwort-Tag: Die 5 schlechtesten Passwort-Ratschläge
Die 5 schlechtesten Passwort-Ratschläge
Dieser Artikel ist älter als ein Jahr!
Es ist wieder Ändere-Dein-Passwort-Tag. Gemäß diesem Motto sollte man sich am 1. Februar daran erinnern, seine Passwörter zu ändern. Doch ist das wirklich eine so gute Idee, die der Sicherheit zugutekommt? Nein, ist es nicht! Der erste Ändere-Dein-Passwort-Tag war angeblich 2012. Damals war das regelmäßige Ändern des Passwortes vielleicht noch ein passabler Ratschlag.
In den vergangenen 11 Jahren hat sich aber vieles verändert und es sind zahlreiche neue technische Möglichkeiten hinzugekommen, seine Online-Accounts vor unberechtigten Zugriffen zu schützen. Insofern bringt uns schon das Motto dieses Tages zum 1. schlechten Passwort-Ratschlag.
Schlechter Ratschlag 1
"Du musst dein Passwort regelmäßig ändern"
Beim regelmäßigen Ändern des Passwortes, muss man sich nämlich immer neue Passwörter überlegen, die man sich auch leicht merken kann. Es hat sich herausgestellt, dass die meisten Personen dabei nach einem fortlaufenden Schema vorgehen, was der Sicherheit nicht zugutekommt.
Verwendet man ein starkes Passwort, braucht man es nicht regelmäßig ändern. Es gibt aber eine große Ausnahme: Hat ein Dienst ein Sicherheitsproblem oder es gab einen Datendiebstahl, bei dem auch Login-Informationen abgegriffen wurden, sollte man das Passwort bei dem betroffenen Dienst schnellstmöglich ändern.
Mit den vertrauenswürdigen Diensten "Have-I-Been-Pwned" und dem "HPI Identity Leak Checker" lässt sich herausfinden, ob Login-Daten zu meinen Online-Accounts in gestohlenen Datenbanken auftauchen. Wenn dies der Fall ist, sollte man ebenso sein Passwort bei den jeweiligen Diensten ändern.
Schlechter Ratschlag 2
"Wer soll sich für mich interessieren, mich hackt schon niemand."
Das ist wohl der größte Blödsinn, den man in Sachen Passwort-Sicherheit von sich geben kann. Bei den allermeisten Angriffen - viele davon laufen etwa vollautomatisiert ab - interessiert sich ja tatsächlich kaum jemand für die Person. Vielmehr liegen aber deren Online-Konten im Visier und mit denen kann allerhand Schaden anrichten.
Mit einem kompromittierten E-Mail-Konto, können sich Kriminelle beispielsweise Zugriff zu einer Reihe anderer Konten verschaffen. Selbiges gilt für zentrale Accounts wie Google, Facebook, iCloud, Dropbox, WhatsApp, usw..
Außerdem können gekaperte Online-Konten den Ausgangspunkt für Phishing-Attacken darstellen, bei denen Bekannte und Freunde ins Fadenkreuz von Cyberkriminellen gelangen.
Schlechter Ratschlag 3
"2-Faktor-Authentifizierung ist zu kompliziert, das verwirrt dich nur"
2-Faktor-Authentifizierung klingt tatsächlich ziemlich kompliziert. Wer aber Online-Banking nutzt und schon einmal einen TAN-Code für eine Überweisung eingegeben hat oder in diesem Zusammenhang eine Identity-App nutzt, hat bereits mit dieser 2-Faktor-Authentifizierung Bekanntschaft gemacht.
Bei all jenen Diensten, die eine solche Login-Methode anbieten, sollte sie auch genutzt werden. Theoretisch wird dadurch das Passwort - sollte es in fremde Hände gelangen - mehr oder weniger wertlos, weil man ja den 2. Faktor benötigt, um sich einzuloggen.
Leider bieten nicht alle Online-Dienste eine 2-Faktor-Authentifizierung an. Manchmal gibt es aber auch die Möglichkeit, sich per Mail benachrichtigen zu lassen, wenn es einen Login gab. Das hilft zwar nicht vor unberechtigten Zugriffen, man kann aber damit zumindest feststellen, dass es einen Login oder einen Login-Versuch gab. Sollte dies der Fall sein, dann gilt: Schnellstmöglich das Passwort ändern.
Schlechter Ratschlag 4
"Passwortmanager sind auch nicht sicher"
Zugegeben, diese Aussage ist nicht ganz unkorrekt und bringt uns zu einer weiteren schwülstigen Weisheit aus der IT-Security, die da lautet: "100-prozentige Sicherheit kann es nie geben." Also was gilt nun?
Auch wenn Passwortmanager in der jüngeren Vergangenheit durch Hacks nicht unbedingt positiv aufgefallen sind, sind diese Dienste immer noch deutlich sicherer als selbst ausgedachte Passwörter, die man dann vielleicht bei mehreren Diensten gleichzeitig verwendet.
Mit Passwort-Manager-Diensten kann man für jede Website ein einzigartiges, ausreichend langes und starkes Passwort nutzen und muss sich nicht alle Passwörter merken. Merken muss man sich nur das Master-Passwort, mit dem man Zugriff auf die weiteren Passwörter erhält. Und hier sollte man dann auf jeden Fall auch die 2-Faktor-Authentifizierung aktivieren.
Eine Übersicht über empfehlenswerte Passwort-Manager ist hier zu finden. Alternativ dazu bieten Google und Apple ihre eigenen Passwortmanager, die zum Teil im Betriebssystem integriert sind. Für viele ist dies wohl die einfachste Art und Weise einen sicheren Passwort-Manager zu nutzen.
Schlechter Ratschlag 5
"Dieses passwortfreie Einloggen ist noch in ferner Zukunft"
Stimmt nicht! Im Apple-Ökosystem gibt es bereits die Funktion namens "Passkey". Windows sowie Google inklusive Android werden demnächst folgen. Bei dieser Methode wird auf ein Passwort verzichtet.
Stattdessen nutzt man ein Gerät zur Authentifizierung, wie etwa das eigene Smartphone, das in der Regel ja auch durch Biometrie (Fingerabdruck oder Gesichtsscan) oder einem Passcode geschützt ist.
Will man sich etwa auf seinem Rechner bei einem Online-Dienst einloggen, gibt man lediglich seinen Benutzernamen ein. Anschließend entsperrt man das Handy per Fingerabdruck, Gesichtsscan oder Passcode und erlaubt darüber den Zugriff. Am Rechner ist man dann eingeloggt.
Wie Apples "Passkey" funktioniert, haben wir in diesem Artikel detailliert zusammengefasst.
Kommentare