Sicheres Passwort - Ein Experte empfiehlt

Passwörter sind - zumindest im Moment - das wichtigste in unserem digitalen Leben. Die Sicherheit deines Computers, Smartphones und Tablets hängt davon ab, aber auch die Sicherheit der Geräte von Freunden, Bekannten oder Arbeitskollegen. In diesem Post beschäftigen wir uns eingehend mit dem Passwort. Es sind oft Kleinigkeiten, die zu großen Problemen führen. Am Ende findet Ihr noch ein Bonus: Backup des Passwortmanagers. Dies liegt mir besonders am Herzen, denn das sicherste System nützt nichts, wenn man im Fall eines Falles nicht mehr auf seine Daten zugreifen kann. 

Index - Quick Links zu den Themen

• Passwort Historie - eine kurzer Ausflug in die Vergangenheit.
• Die digitale Entwicklung des Passworts
• Die Zukunft der Passwörter
• Die häufigsten Fehler bei Passwörtern
• Die häufigsten Passwörter die gehackt wurden
• Kennwort Ideen - Wie finde ich ein sicheres Passwort und kann es mir merken.
• Kennwort Verwalten - Passwort Manager 
• Fazit: In wenigen Schritten zum perfekten Passwort und mehr Sicherheit.
• Bonus: Richtiges Backup des Passwortmanagers
• FAQ
• Checkliste

Passwort Historie - eine kurzer Ausflug in die Vergangenheit. 

Passwörter sind sehr alt und es gab diese schon lange bevor es Computer gab. Wir finden in der Vergangenheit viele Spuren von Passwörtern. So war es Alibaba, der sich mittels des Passwortes „Sesam Öffne Dich“ Zugang zur Höhle der Räuber verschaffte. Auch später finden wir immer wieder Erwähnungen. So wurden Kennwörter bei Soldaten verwendet oder Losungen zum Zugang zu schlagenden Verbindungen. Auch komplizierte Varianten wie ein bestimmter Wortlaut auf eine Frage oder Aussage wurde gerne verwendet, um Kontakte zu verifizieren. Oft wurden neben dem Passwort auch weitere Erkennungszeichen berücksichtigt, z. B. Bruderschaft Ring. Wir sehen deutliche Parallelen im Computerzeitalter. 

Die digitale Entwicklung des Passworts

Die digitalen Anfänge waren einfach. Ein Passwort reichte aus, um Zugang zu erhalten (z. B. für den Bildschirmschoner). Später kamen Benutzerkonten hinzu. Die Benutzerkonten regeln die Zugriffsrechte für Benutzer und damit wir das Passwort zweistufig. Im zweistufigen Verfahren wird also nach einem Benutzername und nach einem Passwort gefragt. Durch eine Vielzahl von Systemen und fehlendem Standard gab es die tollsten Einschränkungen (Benutzername durften bestimmte Zeichen nicht enthalten, Passwörter mussten bestimmt Zeichen enthalten) was dazu führte, dass man abweichend Benutzernamen auf verschiedenen Plattformen hatte. Über die letzten10 Jahren hat sich als Benutzername die E-Mail-Adresse durchgesetzt. Was wie ein Vorteil erscheint, hat aber auch Nachteile. Eventuelle Hacker haben es deutlich leichter, da gerade E-Mail-Adressen öffentlich bekannt sind.  

Das 2-stufige Konzept des Benutzernamens und Passworts erlaubt den Zugang nur dann, wenn beides richtig ist. Gute / moderne System geben im Fehlerfall “Benutzername oder Passwort falsch” aus. Und das ist gut, denn es gibt kein Hinweis darauf, ob der Benutzername im System existiert oder nicht und erschwert es damit einem möglichen Angreifer. 

Das ist auch direkt ein gutes Erkennungsmerkmal, ob die Software einigermaßen auf dem neusten Stand ist.

Und damit kommen wir auch schon zurück zu dem Erschweren für den Angreifer, solange der Benutzername ein vom Benutzer vergebener Name war, war er für den Angreifer schwerer zu erraten wie die heutige E-Mail. In der Praxis macht das zwar kaum noch etwas aus, aber es verdeutlicht eines der großen Risiken in der IT. Data Leaks. Hier werden meistens E-Mail-Adressen und Passwörter veröffentlicht. 

Die Zukunft der Passwörter

Nachdem wir uns mit der Vergangenheit und Gegenwart des Passworts bereits beschäftigt haben, werfen wir einen Blick auf die Zukunft. Das Passwort so wie wir es kennen, wird in vielen Bereichen aussterben. Und zwar schon recht bald. Haben wir unser Smartphone noch vor einigen Jahren mit einen PIN geschützt, sind biometrische Zugangsberechtigungen schon fast ein Standard. Fingerabdruck und Gesichtserkennung haben am Smartphone das Passwort abgelöst und erlauben uns ein einfacheres und schnelleres einloggen. 

Eine wesentliche Frage taucht in diesem Zusammenhang auf, wie oft sollte man die Person authentifizieren oder wie lange sollte eine Authentifizierung gültig sein? Gerade die Gesichtserkennung oder der Fingerabdruck am Mobiltelefon kann problemlos und vom Benutzer unbemerkt, im Hintergrund geprüft werden. So kann man also feststellen, ob noch immer der User am System ist, der sich vor wenigen Sekunden oder Minuten eingeloggt hat. Das hat bei verschiedenen Angriffsmethoden ein gutes Schutzpotenzial. Eine andere Technik ist hier jedoch auf dem Vormarsch. Machine Learning (ML) und künstliche Intelligenz (KI/AI). Mit dieser Technik wird ein typisches Benutzerverhalten erfasst und analysiert. Dazu gehören unter anderem das Scrollverhalten, Druckart, Druckfestigkeit und Tipp-Geschwindigkeit. Dieses Verhaltensmuster wird nun mit dem Verhalten des aktuellen Benutzers verglichen und wenn sich das unterscheidet, wird aus Sicherheitsgründen eine neue biometrische Erkennung durchgeführt oder Passworteingabe verlangt. Der Einsatz ist im Moment jedoch nur vereinzelt und noch im Erprobungsstadium. Man kann sich leicht die Nachteile vorstellen, z.B. wenn man das Smartphone jemanden zum Reparieren gegeben hat, oder seinem Partner, um etwas zu lesen. Es ist aber gut vorstellbar, dass solche Systeme schon sehr bald in sensitiven Bereichen eingeführt werden, z. B. Online-Banking.

Kommen wir nun jedoch zurück zum Passwort.

Die häufigsten Fehler bei Passwörtern

Leider werden nur allzu oft unsichere Passwörter verwendet. 

Dazu kommt das das identische Passwort bei verschiedenen Diensten verwendet wird, z.B. Das Passwort für deinen E-Mail-Account ist das Gleiche was du ebenfalls für Facebook verwenden. Das nennt man auch Password-Recycling.

Ein anderes Problem ist, dass man Passwörter in Klartext speichert oder sogar (wie früher häufig) mit „Post It“ unter der Tastatur geklebt hat.

Auch Passwort Sharing (speziell, wenn es auf unsicheren Kanälen wie E-Mail stattfindet) ist ein Problem.  

Letztlich ist gleichermaßen das regelmäßige Ändern von Passwörtern ohne Grund (z.B. Data Leak) ein Sicherheitsrisiko, weil meistens nur leichte Abwandlungen vom vorherigen Passwort benutzt werden, so werden laufende Nummern angehängt oder Buchstaben durch Zahlen getauscht (z.B. S wird zu 5, o zu 0 usw.). Die Verwendung von gleichaussehenden Zahlen anstelle von Buchstaben nennt man auch Leetspeak. 

Die Frage stellt sich aber, ob man überhaupt Sicherheit gewinnt, wenn man Passwörter regelmäßig ändert. Die Antwort ist klar nein. Zumindest so lange kein Data Leak vorliegt. Und im Falle eines Data Leaks bietet dann auch das regelmäßig geänderte Passwort meistens keinen Schutz, da es eben durch die oben beschriebenen Methoden unsicher ist und leicht erraten werden kann. Insofern ist das regelmäßige Ändern von Passwörtern meistens kontraproduktiv, zumindest solange man keine generierten Passwörter benutzt.

Die häufigsten Passwörter die gehackt wurden

Aus Datenleaks wissen wir, dass eine erschreckend große Zahl an Personen noch immer unsichere Passwörter verwendet. Das unterscheidet sich zwar zwischen verschiedenen Sprachen, jedoch sind viele Passwörter auch sprachübergreifend identisch. Typischer weise verwendet werden gebräuchliche Wörter und kurze Sätze wie z. B. Passwort, Superman, Iloveyou, 123456. Andere Kombinationen haben ihren Ursprung in der Anorernung der Tastatur, wie z.B. asdfgh oder qwerty. Diese Passwörter sollte man unbedingt vermeiden. Deswegen schauen wir uns jetzt an, wie man ein sicheres Passwort findet und es sich auch merken kann. 

Kennwort Ideen - Wie finde ich ein sicheres Passwort und kann es mir merken.

Hier ein paar Regeln für ein gutes Passwort.

• Das Passwort sollte in keinen Zusammenhang zu ihnen stehen (e.g. Name der Kinder)
• Das Passwort sollte Großbuchstaben, Kleinbuchstaben, Zahlen und auch Sonderzeichen enthalten.
• Das Passwort sollte mindestens 8 Zeichen lang sein.
• Das Passwort sollte keine doppelten Zeichen hintereinander haben (z. B. aa11cc22)
• Das Passwort sollte für Sie gut zu merken sein.

Es gibt verschiedene Methoden, um ein gutes Passwort zu generieren. Neben Sie zum Beispiel die Anfangsbuchstaben Ihres Lieblingszitats samt Urheber und Geburtsjahr.

Die reinste Form des Wahnsinns ist es, alles beim Alten zu lassen und gleichzeitig zu hoffen, dass sich etwas ändert. Albert Einstein 1879.

Das Passwort würde lauten:

DrFdWis,abAzlugzh,dseä.AE1879

Wir haben Groß- und Kleinbuchstaben, Umlaute, Sonderzeichen (Punkt und Komma) und vier Zahlen. Und das Beste daran ist, sie können es jederzeit ableiten und laufen so nicht Gefahr das Passwort zu vergessen. Zugegeben, dies ist etwas lang und ich bin mir sicher, dass du ein kürzeres Zitat finden wirst. Es dient hier nur der Veranschaulichung des Prinzips. Anstelle von Zitaten kann man auch Buchtitle, Redewendungen usw. verwenden.

Kennwort Verwalten – Der Passwort Manager 

Nachdem wir soeben ein sicheres Passwort erstellt haben, kommen wir nun zum 2. Akt. Du brauchst für jeden Zugang ein eigenes Passwort. Kein Passwort-Recycling. Aber wie soll man sich die Passwörter alle merken? 

Passwort Manager sind die Lösung. Und die meisten von uns kennen zumindest die Browser Passwort Manager wie zum Beispiel in Google Chrome, die ständig fragen, ob sie das Passwort speichern sollen. 

Diese Browser-Passwortmanager haben einige Nachteile, sie lassen sich nur sehr schwer sichern (Backup) und stehen meistens nur in diesem Browser zur Verfügung. Bessere Lösungen sind die Passwortmanager Programme.

Es gibt einige gute Programme, kostenlose und auch kostenpflichtige. Bei dem meisten gibt es eine Free und eine Paid Version und in aller Regel wird die Free Version für dich vollkommen ausreichend sein.

Persönlich habe ich mit diesen Passwortmanagern gearbeitet:

• 1Password
• Lastpass
• Dashlane
• Bitwarden
• Keepass

Eine besondere Stellung nehmen die sogenannte self-hosted Passwortmanager ein. Hier vertraust du deine Passwörter nicht einem Cloud-Dienst an, der dir verspricht, die Daten sicher und verschlüsselt zu speichern, sondern du verlässt dich auf dich selbst. Dies solltest du aber nur dann einsetzen, wenn du wirklich weißt, was du tust. Wie du ein Backup davon erstellen usw. Ansonsten kann dies schnell zu einem größeren Desaster werden. Keepass ist ein Open Source Projekt das self-hosting unterstützt. 

Viele Programme bieten Wiederherstellungsmöglichkeiten an oder auch Erbenregeln. Gerade die Erbenregeln eignen sich gut als Hintertür zur Wiederherstellung. Dabei wird das Passwort angefordert und du erhältst vom Passwortmanager eine Nachricht, wo du diese Passwort Anforderung ablehnen kannst. Im Falle deines Ablebens würdest du diese E-Mail nicht beantworten, und so erhält der Anfordernde dein Passwort nach Ablauf einer Frist und bekommt so Zugang zu all deinen Passwörtern. Zur Sicherheit trägt hier dazu bei, dass man den anfordernden Personenkreis (E-Mail-Adresse) einschränken kann und zum andern kannst du ein Zeitfenster wählen, wo du sicher die entsprechend Passwort Anforderungsmitteilung gelesen hast, um diese im Fall vom Missbrauch abzulehnen. 

Passwort Manager melden auch aktiv Data Leaks, recycelte Passwörter, unsichere Passwörter usw. 

Fazit: In wenigen Schritten zum perfekten Passwort und mehr Sicherheit.

1. Du verwendest ein sicheres Passwort wie oben beschrieben, um damit deinen Passwort Manager zu entsperren. Wir nennen das dann das Super-Passwort.
2. Für alle Dienste verwendest du Passworte die der Passwortmanager generiert und speichert. Du must dir diese Passwörter nicht merken und kannst diese jederzeit mit deinem Super-Passwort ansehen.
3. Du hast dafür gesorgt, dass sie eine Hintertür (zurücksetzen, Erbenregel) besteht und funktioniert, um Zugriff zu erhalten.
4. Du hast ein funktionierendes Backup von deinem Passwort Manager 

Bonus: Richtiges Backup des Passwortmanagers

Der Passwortmanager bietet eine Funktion zum Backup aller Passwörter. Das ist wichtig, dass du das regelmäßig erstellt. In einem anderen Post gehen wir auf Backup im Generellen detaillierter ein. Hier ein Auszug davon. 

Das Backup sollte sicher verwahrt sein und Ihr sollte in einem Katastrophenfall Zugriff, darauf erhalten (denk daran, was passiert, wenn es brennt oder es einen Wasserschaden gibt, Diebstahl …). Das Backup ist wie eine Versicherung, im besten Fall braucht man die Versicherung nie, aber wenn man sie braucht, dann findet man sehr schnell heraus, dass es besser gewesen wäre, wenn man sich mehr mit den Bedingungen beschäftigen hätte. Deswegen nimm dir Zeit, um über das Backup und die Aufbewahrung in Ruhe nachzudenken. 

Gute Möglichkeiten sind, das Backup auf zwei verschiedene USB Drives zu sichern und einen in der Firma zu deponieren. Das 2 Drive könnte man bei einem guten Freund hinterlegen, oder vielleicht im Fahrzeug aufbewahren. Es sollte aber so aufbewahrt sein, dass man es einfach austauschen kann, ohne dem Freund zu sehr auf die Nerven zu gehen. Ein Cloud Storage - verschlüsselt versteht sich - ist auch denkbar, allerdings sollte man sich dann auch das Passwort zu diesem Dienst merken - und ja, es sollte nicht das gleiche Passwort wie für den Passwort Manager sein. Legt auf jeden Fall zwei Backups an und trennt diese räumlich. Macht einen Eintrag im Kalender, der euch daran erinnert, ein neues Backup zu erstellen, z. B. jeden Monat. 

FAQ

Sollte oder kann man mehrere Passwort Manager benutzen?

Die Antwort ist nein. Bei Browser Extension bietet es sich an, sowohl die Extension als auch den Passwortmanager zu benutzen. Allerdings hat dies ein Nachteil. Jeder, der Zugang zu deinem System hat, kann auch auf die im Browser vorgeschlagenen Benutzernamen und Passwörter zurückgreifen. Außerdem können sich Fehler einschleichen, z. B. Werde bei einer Passwort Änderung nur die Extension geändert, der Passwort Manager hat aber nach wie vor das alte Passwort gespeichert und das fällt natürlich erst auf, wenn man aus welchen Gründen auch immer auf dem Passwort Manager angewiesen ist. Insofern würde ich empfehlen, davon Abstand zu nehmen und sich für ein System zu entscheiden.

Wie teile ich meine Kennwörter richtig?

Auf keinen Fall per E-Mail. Wenn überhaupt, dann bitte in einer verschlüsselten Verbindung. Z.B. WhatsApp. Hier würde ich davon abraten, das gesamte Passwort zu senden und auch keinen Text wie “Hi, hier mein Passwort:” zu verwenden. Teile das Passwort in 2 Teile und sende ein Teil über WhatsApp und den 2. Teil über einen anderen Dienst wie Skype. Das wird dir im Fall eines Data Leaks helfen, da es keinen Hinweis darauf gibt, dass es sich um ein Passwort handelt und selbst wenn es erraten wird, ist das Passwort unvollständig. 

Die meisten Passwortmanager haben eine Sharing-Funktion mit verschiedene Methoden Passwörter mit Gruppe, Familienmitgliedern usw. zu teilen. Das hat auch den Vorteil, dass im Falle einer Passwort Änderung die andere Person direkt auf das neue Passwort zugreift. Außerdem stellst du so auch sicher, dass dein Passwort nicht unsicher irgendwo auf dem Computer oder Smartphone/Tablet gespeichert ist. Schließlich geht es um deine Sicherheit. Gib den Link zu diesem Artikel an deine Familie, Freunde und Bekannten weiter, damit auch die in Zukunft ein bisschen sicherer sind. 

Wie kann ich prüfen, ob ich von Data Leaks betroffen bin?

Dazu gibt es verschiedene Webseiten, wo man meistens nach seiner E-Mail-Adresse (oder Benutzernamen) suchen kann. Passwort Manager melden auch aktiv Data Leaks. 

https://haveibeenpwned.com

https://cybernews.com/personal-data-leak-check/

https://monitor.firefox.com

https://www.f-secure.com/en/home/free-tools/identity-theft-checker

Was kann ich tun, um meine Sicherheit zu erhöhen?

Neben dem Passwort bieten viele Dienste 2FA oder MFA Funktionen an. Einige bieten auch sogenannte physikalische Keys an z. B. FIDO oder Yubikey. Darauf gehen wir im nächsten Blogbeitrag ein. 

Passwort Checkliste  

Die Checkliste zu mehr digitaler Sicherheit in deinem Alltag. Melden dich kostenlos an und erhalte Zugriff auf die Passwort Checkliste und weitere wertvollen Checklisten und Informationen.