.png)
Passwörter sind wie Unterwäsche: Lassen Sie sie niemanden sehen, ändern Sie sie sehr oft, und Sie sollten sie nicht mit Fremden teilen.
- Chris Pirillo
Bei der Cybersicherheit geht es nicht nur darum, komplexe Rahmenwerke zu verstehen oder Zertifizierungen zu erhalten. Es geht um Proaktivität, ständiges Lernen und die Übernahme alltäglicher Gewohnheiten, die Ihre digitale Verteidigung stärken. Eine der wichtigen, alltäglichen Praktiken ist die Sicherheit Ihrer Passwörter.
Wir sind alle daran gewöhnt, dass man uns sagt, wir sollen nicht dasselbe Passwort für viele Dienste verwenden. Passwörter sollten auch stark sein, d. h. ausreichend lang und vielfältig. Für die meisten von uns wurden hier zwei gegensätzliche Ziele genannt. Niemand kann sich lange, undurchsichtige Passwörter merken, so dass wir unweigerlich schwerwiegende Sicherheitsfehler begehen, wenn wir nicht planvoll vorgehen und ein System zur sicheren Verwaltung von Passwörtern verwenden.
.png)
Datenlecks kommen ständig vor. Heutzutage kann man fast jeden Tag in den Nachrichten über neue Datenlecks lesen. Bei einigen Datenlecks handelt es sich um die direkte Weitergabe von Passwortinformationen, wie z. B. das Leck von 164 Millionen Nutzern von LinkedIn im Jahr 2016 - und das Leck von 10 Milliarden Passwörtern für das Hacking Forum im Jahr 2024 mit Passwörtern in einfacher Sprache. Im Jahr 2024 wurde Meta zu einer Geldstrafe verurteilt, weil es 600 Millionen Facebook- und Instagram-Passwörter im Klartext gespeichert hatte. Neben Passwörtern werden durch Datenlecks in der Regel auch Geschäftsgeheimnisse oder persönliche Informationen preisgegeben, die es Betrügern ermöglichen, überzeugendere Phishing-Versuche zu starten.
Haben Sie schon einmal eine Nachricht über ein Datenleck gelesen, in der selbstbewusst behauptet wurde, dass "die durchgesickerten Passwörter doch verschlüsselt waren"? Normalerweise hat jeder intelligent verwaltete Online-Dienst Passwörter mit einem Verschlüsselungsalgorithmus verschlüsselt und gesalzen, aber das verhindert nicht, dass Passwörter offengelegt werden.
Wenn ein Betrüger in den Besitz einer Liste von Passwörtern gelangt, die mit einem Verschlüsselungsalgorithmus verschlüsselt sind, setzt er ein Programm zum Knacken von Passwörtern in Gang. Sind die Informationen erst einmal durchgesickert, kann das Knacken offline erfolgen, und die Beschränkungen für die Anzahl der Versuche mit einem echten Passwort, wie sie bei Online-Anmeldeformularen gelten, gibt es nicht mehr. Mit moderner Computerleistung kann ein 8-Zeichen-Passwort mit den gängigsten Verschlüsselungsmethoden in wenigen Minuten geknackt werden.
Wir leben in einer digitalen Welt, in der wir online einkaufen, soziale Beziehungen pflegen - ja, wir führen alle Arten von Transaktionen und Geschäften durch. Wir sollten uns mehr Gedanken darüber machen, als wir es normalerweise tun.
Ein Hacker kann manchmal versuchen, einen "Key Logger" auf Ihr Gerät zu bekommen, der Ihre Klicks aufzeichnet, oder ein Programm, das den Bildschirm Ihres Telefons dupliziert, und daraus Ihr Passwort ableiten, aber diese können durch die sichere Nutzung des Geräts stark beeinträchtigt werden. Bei geleakten Passwörtern von Online-Diensten und deren Knacken mit einfacher Software zum Knacken von Passwörtern wirkt sich die Länge des Passworts direkt auf die Zeit aus, die zum Knacken benötigt wird. Diese Programme probieren so lange verschiedene Kombinationen aus, bis sie die richtige Kombination gefunden haben. Ein 5-Zeichen-Passwort braucht Sekunden, ein 10-Zeichen-Passwort Jahre.
Da die Rechenleistung und die Methoden, mit denen Hacker den Passwortknackern etwas beibringen, immer besser werden, werden die Knackzeiten immer kürzer.
Natürlich versuchen sie auch, Ihr Passwort direkt aus Ihnen herauszufischen
Phishing ist eines der häufigsten Sicherheitsprobleme. Dabei versucht ein Betrüger, sich als Ihre Kreditkarte auszugeben und Sie dazu zu bringen, vertrauliche Informationen preiszugeben - zum Beispiel Ihr Login für den fraglichen Dienst. Phishing-Betrügereien sind heutzutage sehr ausgeklügelt und es ist nicht immer leicht zu erkennen, ob es sich um einen Betrug oder eine legitime Anfrage handelt.
Eines der beliebtesten Passwörter scheint das ewige "Passwort" zu sein. Es ist auf der oben erwähnten Website https://haveibeenpwned.com/Passwords zu finden , wo Millionen von Benutzerdaten geleakt wurden, und dennoch rangiert es in den jüngsten Umfragen immer noch unter den "Top Ten" der beliebtesten Passwörter. Auch das raffinierte Ändern von o in 0 oder a in @ bringt keine Rettung. Dies sind die Ergebnisse von haveibeenpwned, die zeigen, wie oft das betreffende Passwort bei Datenlecks gesehen wurde:
Wenn ich das Zufallspasswort '8oQ%z7$hJTOL3!RV', das von meinem Passwortverwaltungssystem empfohlen wird, auf der Website teste, ist die Antwort gleich null. Das Vernünftigste ist also, Tools zu finden, die es Ihnen ermöglichen, Zufallspasswörter zu verwenden, die Sie selbst nicht kennen müssen, geschweige denn, dass Sie versuchen, sie sich zu merken.
Aleksi86! oder Tampere20#. Sieht das nach einem bekannten Passwort aus? Die meisten Kennwörter, die Sie sich selbst ausdenken, sind eigentlich sehr geläufig und vorhersehbar. Wir verwenden zum Beispiel einen Namen, einen Ort oder ein anderes gebräuchliches Wort als erstes Wort, vielleicht in Großbuchstaben. Es folgt eine Zahl und am Ende ein übliches Sonderzeichen, das unbedingt erforderlich ist (!, @, # oder was auch immer).
Das Ergebnis ist, dass ein Programm zum Knacken von Kennwörtern dieses Muster erwarten kann und viele richtige Vermutungen anstellt, noch bevor das eigentliche Knacken des Kennworts beginnt. Es sind so viele Passwörter durchgesickert, dass die Cracker viel über die gängigen Techniken zum Knacken von Passwörtern wissen - verwenden Sie diese also nicht, und halten Sie sich an völlig zufällige Passwörter.
Vielleicht haben Sie schon einmal gehört, dass es sinnvoller ist, ein Passwort mit vier Wörtern zu verwenden als ein kürzeres Passwort. Das mag in der Tat sicherer sein, ist aber oft völlig irrelevant, da jedes System ohnehin ein anderes Passwort erfordern würde. Wenn sich jemand 100 Vier-Wort-Passwörter merken kann, nur zu. Für die meisten von uns ist der Versuch, Passwörter einprägsam zu machen, sinnlos - es gibt einfach zu viele, die man sich merken muss, ganz gleich, wie einfach sie sind.
Die durchschnittliche Person verwendet jedes Passwort 14 Mal. Die Wiederverwendung von Passwörtern für mehrere Konten ist ein entscheidender Fehler. Wenn ein Konto kompromittiert wird, sind alle anderen Konten mit demselben Passwort gefährdet. Diese Praxis kann zu einem Dominoeffekt führen, bei dem eine Sicherheitslücke in einem Dienst sensible Informationen auf mehreren Plattformen offenlegen kann.
Wenn also Passwörter nicht wiederverwendbar sind, könnte man auf die Idee kommen, einen eigenen erfinderischen Algorithmus zur Generierung von Passwörtern zu entwickeln. Die Betrüger, die Passwörter knacken, und die von ihnen verwendete Software sind jedoch in der Regel mindestens genauso einfallsreich. Wenn Sie eine ausgeklügelte Methode zur Generierung von Kennwörtern verwenden, bedeutet die Aufdeckung eines Kennworts in der Regel, dass nicht viel Aufwand erforderlich ist, um die Methode selbst und andere Kennwörter zu entschlüsseln.
Hand aufs Herz: Erinnern Sie sich daran, ein Konto zu besitzen, das Jahr für Jahr dasselbe Passwort hat? Einige Plattformen können die Nutzer dazu zwingen, ihr Passwort regelmäßig zu ändern, und auch wenn es sich wie eine lästige Aufgabe anfühlt, wenn sie im ungünstigsten Moment auftaucht, sind die Vorteile, die sich daraus ergeben, es allemal wert. Nicht alle Sicherheitsverletzungen und Schwachstellen werden sofort entdeckt. Wenn ein Kennwort bei einer Datenpanne oder durch Schadsoftware aufgedeckt wird, minimiert die regelmäßige Aktualisierung des Kennworts das Zeitfenster, in dem ein Angreifer es ausnutzen kann.
Die Multi-Faktor-Authentifizierung, oder besser bekannt als MFA, fügt eine zusätzliche Sicherheitsebene hinzu, indem sie zusätzlich zum gewählten Passwort eine weitere Form der Verifizierung verlangt. Dies kann ein SMS-Code, eine Authentifizierungs-App oder ein biometrischer Faktor wie ein Fingerabdruck oder eine Gesichtserkennung sein. Selbst wenn ein Passwort kompromittiert wird, kann MFA also einen unbefugten Zugriff verhindern. Ohne MFA verlässt sich Ihr Konto ausschließlich auf Ihr Passwort, was die Anfälligkeit erhöht.
.png)
Der durchschnittliche Nutzer hat über 90 Online-Konten, für die er ein Passwort benötigt. Was tun Sie also, wenn Sie Ihre Passwörter sicher aufbewahren wollen? Sie sollten eine Software für die Passwortverwaltung verwenden.
Eine solche Software ist wie das kleine schwarze Buch, in dem Sie alle Ihre Passwörter notieren, aber verschlüsselt und einfacher zu benutzen. Der Schutz von Passwörtern ist eine Kernkompetenz dieser Passwortmanagement-Anbieter, und LastPass zum Beispiel beschreibt recht ausführlich die Grundsätze, die sie verwendet haben, um einen mehrschichtigen Schutz für unsere "Tresore" aufzubauen. Damit soll sichergestellt werden, dass selbst im Falle eines Einbruchs der verschlüsselte Inhalt der Tresore nicht gefährdet ist. Darüber hinaus liegt es im Interesse eines solchen Anbieters zu prüfen, ob die von anderen Diensten durchgesickerten Passwörter mit den Master-Passwörtern der Nutzer übereinstimmen. Es ist gut, einen solchen Partner im täglichen Leben zu haben.
Das Passwortverwaltungssystem lässt Sie zum Zeitpunkt der Registrierung immer entscheiden, wie komplex das Passwort diesmal sein soll, und merkt es sich für Sie. Passwortverwaltungssysteme sind außerdem so konzipiert, dass sie mit mehreren Geräten funktionieren. Ganz gleich, ob Sie sich über Ihr Telefon, Ihren Laptop oder Ihr Tablet für einen neuen Dienst anmelden, Ihr Kennwort und Ihr Benutzername werden automatisch in einem Tresor abgelegt, wo sie bei der nächsten Anmeldung abgerufen werden können, ganz gleich, welches Gerät Sie verwenden.
Es gibt noch mindestens eine weitere Herausforderung. Wie findet man ein Passwort, das stark genug für das Hauptpasswortverwaltungssystem ist? In diesem Fall könnte die bereits erwähnte Passphrase funktionieren. Hilfe/Ideen für die Erstellung einer Passphrase finden Sie zum Beispiel unter severalpassphrase.com.
Die zweite Möglichkeit ist, sich auf Ihr Gedächtnis zu verlassen und sich zu zwingen, das Hauptpasswort oft genug zu verwenden, damit Sie es nicht vergessen. Dies funktioniert in der Regel gut genug für Passwörter auf Ihrem Telefon oder Tablet, die Sie sich natürlich für den Zugang zum Passwortmanager merken müssen.
Viele Benutzer tappen in die üblichen Fallen, wie z. B. die Verwendung von schwachen Passwörtern, die Wiederverwendung desselben Passworts für verschiedene Konten oder die Verwendung von leicht zu erratenden Informationen, was ihre Anfälligkeit erheblich erhöht. Wenn Passwörter nicht regelmäßig aktualisiert werden, sind die Konten zudem anfällig für Angriffe.
Glücklicherweise können Tools wie Passwortverwaltungssysteme und Multi-Faktor-Authentifizierung stärkere Sicherheitsmaßnahmen bieten. Ein Passwort-Manager vereinfacht die sichere Erstellung und Speicherung von Passwörtern, während die Multi-Faktor-Authentifizierung eine wichtige zusätzliche Verteidigungsebene darstellt, die es Hackern erheblich erschwert, sich unbefugt Zugang zu verschaffen. Diese Tipps und häufigen Fehler zu beachten, ist nicht nur sinnvoll, sondern notwendig, um Ihre digitale Identität zu schützen.
