Der Sicherheits-Blog
Passwortsicherheit
Ich möchte gerne das Thema Passwörter ansprechen. Viele Benutzer unterschätzen die Gefahr, die durch die Verwendung derselben Login-Daten für verschiedene Online-Dienste entsteht. Die Verwendung eines leicht zu erratenden Passworts für soziale Netzwerke, Online-Shopping, E-Mail und berufliche Aufgaben wie TAC-Management stellt ein großes Risiko für private und geschäftliche Interessen dar.
Moderne Tools, die Passwörter knacken können, finden auch problemlos Ihre Lieblings-Automarke und das Jahr, in dem Sie den Wagen gekauft haben, heraus (Mu$tang2010; Benutzt hier jemand dieses Passwort?). Mu$tang2010 scheint auf den ersten Blick das perfekte Passwort zu sein. Es erfüllt die meisten Sicherheitskriterien, wie Groß- und Kleinschreibung, Zahlen, Sonderzeichen und ist darüber hinaus mehr als zehn Zeichen lang. Aber es ist nicht sicher. Das Wort ist aussprechbar und bekannt, und wenn der Angreifer einige Informationen über Sie gesammelt hat, muss er wahrscheinlich nicht einmal eine Rainbow Table verwenden. Übrigens: der Austausch von S mit $ und von E mit 3 oder was immer mit der Kombination „1337“ zu tun hat, ist ein billiger Trick.
Trotzdem muss ich an dieser Stelle etwas gestehen. Ich wurde selbst erst aus Schaden klug. Ich war eines der Opfer des Sony-Hackerangriffs vom letzten Jahr, bei dem Tausende von Informationen inklusive Login-Daten geklaut wurden. Auch meine. Ich habe für diesen Online-Dienst dieselben Login-Daten verwendet, wie für andere Online-Shopping-Dienste. Zum Glück sind mein E-Mail-und Online-Bankkonto mit einem anderen Passwort geschützt, daher blieb ich von weiteren möglichen Betrugsversuchen verschont. Allerdings wurde mir eine riesige Sicherheitslücke vor Augen geführt.
Was ich dann gemacht habe?
Ich habe diesbezüglich ziemlich radikale Maßnahmen ergriffen. Ich habe sämtliche Passwörter geändert, sodass ich jetzt für jeden Online-Dienst ein eigenes, langes, unaussprechliches und nicht einprägsames Passwort verwende. Zudem merke ich mir meine Passwörter nicht mehr. Ich habe keine Ahnung, wie meine Passwörter für E-Mail, Online-Shopping, soziale Netzwerke und andere Dienste lauten. Dafür gibt es Passwortverwaltungs-Tools wie Password Manager, die man in die Installationsprogramme und als App auf das Telefon herunterladen kann, nämlich MiniKeePass. Wenn ich mich also irgendwo anmelden möchte, führe ich das Programm aus und lasse das Passwort automatisch für kurze Zeit in die Zwischenablage eintragen bzw. kopieren, um sie später in den Login-Bildschirm einzutragen. Natürlich ist das umständlich, aber solange Fingerabdruck- und Netzhaut-Scanner nicht zuverlässig funktionieren, sind Sie mit dieser Prozedur erst mal Ärger los.
Die Anwendungen sind sehr benutzerfreundlich. Erstellen Sie einfach eine Datenbank, tragen Sie sämtliche Dienste ein, die sie nutzen möchten, und lassen Sie den Password Manager Passwörter gemäß Ihren Vorgaben die Passwörter erzeugen. Danach ändern Sie einfach das Passwort in den Kontoeinstellungen des Online-Dienstes mithilfe der Copy-and-Paste-Funktion und verwenden bei der nächsten Anmeldung die automatische Eingabefunktion. Ganz nebenbei sehen Sie auch gleich, wie viele Online-Dienste Sie nutzen. Ich war erstaunt, wie viele Passworteinträge sich angesammelt hatten, als ich mit dem Ändern fertig war.