“Wd1sPWs”* oder: Wie dich ein sicheres Passwort schützt
Das Jahr 2023: In der Garage steht das autonom fahrende E-Auto, das Licht im Haus kann via App programmiert werden und das Passwort auf dem Computer? Das lautet „123456“ – wie sollte es auch anders sein. Zum 5. Mal in Folge stellte das Hasso-Plattner-Institut im vergangenen Dezember fest, dass das beliebteste Passwort in Deutschland diese einfache Zahlenfolge ist. Auf dem zweiten Platz rangiert wieder einmal der Begriff „passwort“. Das ist in etwa so, als würde man das eigene Fahrrad mit einem Strick am Baum festbinden, damit es nicht gestohlen wird.
Trotz des technologischen Fortschritts und der zunehmenden Digitalisierung scheint es, als würde das Thema Passwortsicherheit von weiten Teilen der Gesellschaft immer noch ignoriert werden. Obwohl gerade jetzt ein adäquater Schutz besonders wichtig ist. Denn in Zeiten der Corona-Pandemie verschiebt sich das Sozial- und Arbeitsleben von vielen Menschen noch mehr in den digitalen Raum. Gleichzeitig hat sich die Zahl der Cyberattacken, wie Phishing oder Doxxing, in diesem Zeitraum verfünffacht. Während es eine stetig wachsende Hacker*innen-Community gibt, die sich in vielen Fällen für die Gesellschaft einsetzt und unentgeltlich auf wichtige Sicherheitslücken hinweist, gibt es leider auch solche, die sich illegal Zugang zu Daten verschaffen, um anderen zu schaden. Es ist gar nicht so lange her, dass die Welt geschockt auf das Datenleak mit 2,2 Milliarden E-Mail-Adressen und Passwörtern geblickt hat, das plötzlich im Internet aufgetaucht ist.
Mangelhafter Schutz kann weh tun
Warum also nicht mal wieder die eigenen Sicherheitsmaßnahmen hinterfragen und den diesjährigen „Ändere-dein-Passwort-Tag“ zum Anlass nehmen, Accounts und Zugänge optimal zu schützen? Denn wenn Täter*innen erst einmal Zugang zu sensiblen, persönlichen Daten haben, dann ist es oftmals schwer, den entstehenden Schaden einzudämmen. Das berichtet auch unsere Betroffenenberatung, die regelmäßig dabei hilft, Daten nach einem unberechtigten Zugang zu sichern.
So auch bei einer Klientin, die einem Freund Passwörter anvertraute. Er hatte ihr zuvor angeboten, sie bei der Arbeit für einen gemeinnützigen Verein zu unterstützen. Kurz darauf veränderte sich allerdings die Dynamik in der Beziehung: Der Freund zeigte plötzlich romantisches Interesse an der Klientin. Diese wies ihn ab. Daraufhin nutzte er seinen Zugang zu den Profilen aus, änderte die Passwörter und postete beleidigende Kommentare und Verleumdungen über die Klientin.
Auch wenn unsere Mitarbeitenden in der Betroffenenberatung in solchen Situationen schnell und zuverlässig helfen können, ist es natürlich am besten, wenn es gar nicht erst zum Ernstfall kommt. Vor allem, wenn man bedenkt, dass ein ausreichender Schutz schon durch einige wenige präventive Maßnahmen bei der Passwortvergabe sichergestellt werden kann.
Gefahrenquellen und Kriterien für ein sicheres Passwort
Um zu verstehen, was ein sicheres Passwort ausmacht, ist es hilfreich, vorher drei geläufige Gefahrenquellen zu beleuchten, die Täter*innen nutzen, um Zugang zu Konten zu erhalten:
1. Gib dein Passwort nicht weiter!
Behalte dein Passwort besser für dich. Auch wenn du deiner Oma oder deinem Papagei vertraust – manche Dinge sollten einfach geheim bleiben. Du kannst nie sicher sein, dass sich nicht jemand versehentlich verplappert oder sich die Beziehung zu deinem Haustier plötzlich drastisch verschlechtert.
Auch das Post-It am Bildschirmrand ist keine besonders gute Idee. Deine PIN schreibst du ja hoffentlich auch nicht auf deine EC-Karte. Solche vertraulichen und sensiblen Informationen sollten sicher verwahrt sein. Umso erschreckender ist es, dass in einer Studie 27 Prozent der Befragten angaben, ihre Passwörter auf einem Zettel zu notieren. Dadurch steigt die Gefahr, dass Unbefugte die Möglichkeit haben, diese Informationen böswillig zu missbrauchen. Deshalb gilt: Passwörter niemals aufschreiben oder weitergeben. Auch nicht an Verwandte oder Freunde. Den Personalausweis oder die Geburtsurkunde würde man schließlich auch nicht einfach so verleihen.
2. Schütze dich vor Phishing-Attacken!
Sei vorsichtig, wenn du Mails von unbekannten Adressen bekommst. Besonders, wenn du darin dazu aufgerufen wirst, Login-Daten einzugeben. Die Eingabemaske könnte deine Zugangsdaten an Dritte weiterleiten und schon ist das entsprechende Konto gehackt. Hier hilft in erster Linie ein kritischer Blick. Wenn E-Mail-Adressen oder Webseiten seltsam aussehen, dann lieber dem Bauchgefühl folgen und Aufforderungen von Eingabe-Seiten ignorieren. Es ist immer eine gute Option, die Seite persönlich über den Browser neu aufzurufen. Bei Unsicherheit bezüglich des vermeintlichen Senders lohnt es sich, kurz telefonisch Rücksprache zu halten und sich der Authentizität zu vergewissern.
3. Wähle ein schwer entschlüsselbares Passwort!
Gestalte dein Passwort komplex genug. Eine Zusammensetzung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen und eine Länge von 8 Zeichen ist die Grundvoraussetzung für ein sicheres Passwort. Einen persönlichen Bezug wie Geburtstage oder Namen solltest du ohnehin vermeiden. Denn bei der Brute-Force-Methode testet ein Computer innerhalb kürzester Zeit eine Vielzahl von Kennwort-Kombinationen, bis das richtige dabei ist.
Das Programm prüft zuerst Begriffe und Kombinationen aus geläufigen Datenbanken. Bei einfachen Wiederholungs- oder Tastenmustern wie „123456“ oder Wortkombinationen dauert es deshalb nicht lange, bis das Passwort entschlüsselt wird. Darum ist es wichtig, dass Kennwörter eine gewisse Grundkomplexität vorweisen – und mit jedem zusätzlichen Zeichen wächst die Zahl der möglichen Kombinationen exponentiell an. Das heißt, dass es für Computer um ein Vielfaches länger dauert, um das Passwort zu knacken.
Benutze zudem für unterschiedliche Konten unterschiedliche Passwörter und führe regelmäßige Passwortänderungen durch. Dadurch reduziert das Sicherheitsrisiko auf ein Minimum.
Pass-Satz statt Passwort
Jetzt fragst du dich sicher: „Ja, schön und gut – aber wie kann ich das alles umsetzen, ohne den Überblick zu verlieren?“. Schließlich soll es dir nicht wie der Person gehen, die das Passwort zur Festplatte mit Zugangsdaten zu Bitcoins im Wert von 200 Millionen Euro vergessen hat. Wie also ein Passwort erstellen, das gleichzeitig schwer zu knacken, aber einfach zu merken ist? *Die Lösung ist der Pass-Satz. Denk dir einfach einen Satz aus und mach ihn zu einer Kombination aus verschiedenen Zeichen. Zum Beispiel wird der Satz: „Dieses Jahr will ich drei neue Städte besuchen und an den Strand!“ zum sicheren Passwort „DJwi3nSb+adS!“.
Eine andere Möglichkeit bietet die Diceware-Methode, bei der du spielerisch ein neues Passwort erstellen kannst. Alles, was du dafür brauchst ist ein Würfel und eine Liste mit Begriffen, die den verschiedenen Kombinationen zugeordnet sind. Jetzt nur noch ein paar Mal würfeln und schon hast du ein sicheres, neues Passwort erstellt.
Dein digitales Gedächtnis
Dennoch wird die Anzahl der Zugangsdaten schnell zweistellig. Social-Media-Accounts, E-Mail-Adressen, Online-Banking, Krankenkasse, Versicherungen und Mobilfunkanbieter: Ab einer gewissen Anzahl solltest du nicht mehr nur deinem Gedächtnis vertrauen. Denn sicher hast du Besseres zu tun, als die ganzen Pass-Sätze zu einer verwirrenden Passgeschichte zusammenzusetzen. Wir empfehlen dir, stattdessen einen Passwort-Manager zu verwenden. Entsprechende Anwendungsprogramme speichern deine Zugangsdaten verschlüsselt ab und sorgen dafür, dass du trotz maximaler Sicherheit stets den Überblick behältst.
Passkeys – Nie wieder Passwörter merken!
Unterschiedliche Menschen, unterschiedliche Bedürfnisse: Wenn dir ein Passwortmanager zu viel Aufwand ist, dann sind Passkeys die Lösung für dich. Dieser Login-Service kommt ganz ohne Benutzernamen und Passwörter aus und wird von immer mehr Diensten angeboten.
Was sind Passkeys und wie funktionieren sie?
Seit ungefähr zehn Jahren ist die IT-Branche dabei, das Passkey-Verfahren als sicherere Alternative zum Passwort zu etablieren. Das Prinzip folgt dabei grob runtergebrochen einem Schlüsselpaar, bei dem der eine Schlüssel privat und der andere öffentlich ist. Dieses Schlüsselpaar stellen dir die Dienste anstelle eines Benutzernamen- und Passwortkontos zur Verfügung.
Einen öffentlichen Schlüssel behält dabei der Dienst, bei dem du Passkey als Login-Verfahren verwenden willst.
Den privaten Schlüssel händigen dir die Anbieter*innen wie z. B. Google oder PayPal aus. Das Aushändigungsverfahren handhaben die Dienste manchmal unterschiedlich. Bei manchen Diensten erfolgt eine automatische Speicherung auf dem Gerät, während andere den Passkey auch als Download zur Verfügung stellen. Informiere dich am besten beim jeweiligen Dienst darüber, wie dieser das Passkey-Login-Verfahren handhabt.
Der private Schlüssel wird je nach Anbieter*in mit deinem Gerät, einer App oder dem Browser verknüpft und an einem verschlüsselten und sicheren Ort auf dem Gerät gespeichert. Dieser private Schlüssel kann je nach Gerät nur per Fingerabdruck, Passwort, Face ID, Muster oder Code entsperrt werden. Willst du dich irgendwo einloggen, musst du also nur noch deine Display-Sperre aufheben bzw. das Schlüsselpaar bestätigen und wirst ganz einfach und schnell eingeloggt. Auf Smartphones heißt dieses Entschlüsselungsverfahren oft vereinfacht auch „biometrisches Verfahren”.
Was macht Passkeys so sicher?
Während Passwörter prinzipiell geknackt werden können, können Hacker*innen mit Passkeys nichts anfangen. Jedes Schlüsselpaar existiert nur einmal. Logins auf einer modifizierten Phishing-Website sind damit ausgeschlossen. Zudem speichern die Dienstanbieter*innen in ihren öffentlichen Schlüsseln keinerlei Informationen, die zu dir oder deinem Gerät rückverfolgbar sind.
Hacker*innen müssten also physischen Zugriff auf dein entsperrtes Gerät mit dem passenden Schlüssel haben, um online Schaden anzurichten. Deshalb ist es wichtig, dass du den Zugriff auf dein Gerät per biometrischem Verfahren schützt.
Wer bietet Passkeys als Login-Service an und wo stelle ich dieses Verfahren im Account ein?
Große Anbieter*innen und Dienste wie Google, Apple, Microsoft, Amazon, PayPal, eBay und viele mehr bieten den Service bereits an. Eine grobe Übersichtsliste findest du z. B. hier oder hier. In den meisten Fällen kannst du innerhalb deiner Account-Einstellungen zum Passkey-Login-Verfahren wechseln. Bei vielen Anbieter*innen findest du das im Einstellungsbereich, wo du z. B. dein Passwort ändern kannst.
So bist du vor möglichen Angriffen gewappnet und sowohl sensible Daten als auch deine digitale Identität bleiben geschützt. Falls sich jemand bereits unbefugt Zugang zu einem deiner Konten verschafft hat und dich bedroht, erpresst oder vertrauliche Daten veröffentlicht, dann stehen wir dir bei HateAid natürlich jederzeit zur Seite.