01.02.2019 – Ändere Dein Passwort-Tag… und? Hast Du’s getan?

Alle Jahre wieder ein kleiner nutzloser Tag! Aber der Ändere-Dein-Passwort-Tag ist ein besonders nutzloser! Klar, bevor man es nie macht und auch nie Aufmerksamkeit dafür bekommt, ist ein jährlicher Reminder besser, als gar nichts. Aber: es ändert nichts… JEDER TAG ist Ändere-Dein-Passwort-Tag!

Vor ein paar Tagen war es wieder soweit: duzende Banner im Netz und bei sämtlichen LogIn-Masken erinnerten uns daran, dass heute Tag des zu ändernden Passwortes ist.

Und obwohl, dank einem aktuellen Hack, der wohl auch etliche alte Hacks zusammenfasst, zweistellige GIGABYTE von Usernamen, email-Adressen und Passwörtern im Netz kursieren, ist das Bewusstsein vieler User immer noch nicht angekommen.

Dabei wäre es heute so einfach, von „123456“ oder „ficken“ als Passwort wegzukommen. Oder billige Ableitungen, die aus „ficken“ fickön“ machen – Passworter wie diese sind heutzutage binnen Sekunden geknackt, mit der Rechenleistung eines Solar-Rechners der lokalen Bank.

Stellt Euch doch nur mal eine Sekunde vor, jemand kommt, dank Eures unsicheren Passworts und ohne Zwei-Wege-Anmeldung (gleich mehr!) in Eure email. DEINE EMAIL! FREIER ZUGRIFF JEDERZEIT!

Ja ja, ich kann Dich schon hören: ich verschicke und bekomme keine Nacktbilder, was soll da schon so schlimm dran sein?
Nun gut: geh zu amazon. gib Deine email ein und drücke Enter. Und dann klicke auf „Passwort vergessen“: und schwupps, bekommt Dein Gast eine Mail, mit der er/sie problemlos Dein Passwort zurück setzten kann… und dann? VOLLER email und VOLLER amazon-Zugriff. Mit ALL DEINEN ZAHLUNGSMITTELN!

Schwupps, eine DHL-Paketbox von einem anderen gehackten Account eingeben – und schon hast Du eine Bestellung bezahlt, die mit Sicherheit nicht nur ein paar Euro kosten wird.

Und weiter? Was hast Du noch? Online-Banking? Klar, Du hast Pin-Tan über SMS, was soll da schief gehen?
Tja – wie wäre es mit einer Lastschrift, nach dem LogIn sieht jeder sofort Deine Kontonummer! Zieh doch einfach 50 oder 100 Euro ein. Ein verschmerzbarer Verlust? Aber was, wenn dieser jemand das 1000 Mal am Tag macht? Jeweils bei anderen Konten? Oder einfach Deine Anschrift ändert und eine neue Karte mit PIN bestellt?

Auch Dein Handy ist dann nicht mehr sicher: Dank iCloud bei Apple oder dem vergleichbaren Account und Online-Services von Google, ist es ein leichtes, auch hier ein neues Passwort abzufordern: und schwupps: schon liest jemand Deinen Kalender mit, greift auf Deine Cloud zu, kennt Deine Bilder und ist der vollen Übernahme Deiner digitalen Identität zu 95% nahe gekommen.

Und jetzt stelle Dir vor, was passiert, wenn mit dieser einfachen Masche auch Dein Social-Media-Account fällt: Dann bist Du virtuell ganz schnell weg vom Fenster… und jeder wird glauben, das bist alles Du!

Was nun, sprach Zeus?
Wenn Dich das jetzt alles immer noch völlig kalt lässt, kennst Du die nachfolgenden Schritte schon oder Du willst es einfach wissen.
Wenn Du jetzt so ein wenig in ein schlechtes Gewissen bekommst, don’t panic! Es ist zwar mal ein Tag Aufwand (je nach Accounts und LogIns), aber dann bist Du sicher!

  • Schritt 1:
    KEIN, und ich meine wirklich kein, Gottverdammtes-noch-so-unbekanntes-LogIn hat eine identische Kombination aus Passwort und Username! Also: Passwörter ändern!
  • Schritt 2:
    Sofern wir Dich nicht alle aus Funk und Fernsehen ob Deiner Merkfähigkeiten kennen, schaff Dir einen Passwort-Manager an. Von KeePass als open source bis 1Passw oder LastPass: Er sollte auf Handy, Tablet und Rechner sowie direkt im Web erreichbar sein. Und Dir auch Passwörter generieren!
  • Schritt 3:
    Auch ein Passwort-Manager hat einen „Passwort vergessen“-Link. Also: Zwei-Wege-Authentifizierung aktivieren: ÜBERALL, wo möglich, ABER GANZ BESONDERS im Passwort-Manager!
    Dafür eine der diversen Code Generatoren Apps für Dein Handy laden (Achtung: hier das Gerät wählen, dass Du IMMER zur Hand hast, diese Apps gehen nur 1x pro Account, also nicht mehrfach installieren!).
    Barcode scannen, zack: Schon hast Du einen neuen „Service“ in der App installiert, der Minimum sechsstellige Code in einem vorgegebenen zeitlichen Rhythmus anzeigt.
  • Schritt 4:
    Über Wegwerf- oder weitere email-Accounts nachdenken.
    Idealerweise nicht für Deine lebensbedrohlichen Accounts wie Online-Banking oder amazon/ecommerce oder Cloud-Dienste nutzen… aber wenn mal eine Single-Börse oder ein „Sharing-Dienst“ benutzt werden soll, bietet sich, UNTER BERÜCKSICHTIGUNG ALLER VORSTEHENDEN SCHRITTE!!!!, eine Wegwerf-email-Adresse in Verbindung mit den Passwortmanager einfach an.
  • Schritt 5:
    Immer bewusst sein: täglich wird gehackt, täglich werden Hacker besser. Auch eine zwei-Wege-Authentifikation ist heutzutage keine 100%ige Sicherheit mehr: aber es wird „Interessenten“, die ihr Know-How testen wollen, zumindest abschrecken und nach was leichterem suchen lassen.
    Daher: Passwort des Passwort-Managers REGELMÄßIG ändern, bei verdächtigen emails, dass jemand versucht hat, sich in Deinen Account einzuloggen, sofort aktiv werden! Passwort ändern, an den Service-Anbieter wenden und Hack-Versuch melden!
  • Schritt 6:
    Deine essentielle email-Adresse regelmäßig bei sicheren Quellen prüfen, ob sie Bestandteil eines Hacks waren und welche Daten durchgesickert sind. Das Hasso Plattner Institut ist eine Anlaufstelle oder haveibeenpwned.
  • Schritt 7:
    Nachrichten, dass wieder Accounts gehackt wurden oder Passwörter frei im Internet stehen, sollten Dich aufschrecken und nicht in Sicherheit wiegen! Finde heraus, ob Du dabei sein könntest!
  • Passwort-Basics:
    Und zum Schluss das wichtigste:
    Ein (aktuell) sicheres Passwort besteht aus MINIMUM 15 Zeichen: Sonderzeichen, Klein- und Großschreibung und Zahlen. Und, im Unterschied zu früher, keine Anfangsbuchstaben aus Sätzen: Ew3durN (Es war eine dunkle und regnerische Nacht) – das haben Hacker und ihre vollautomatisierten Passwort-Hack-Datenbanken mittlerweile locker drauf!
    Also: Passwort-Manager möge 15 oder mehr beliebige Zeichen in klein und groß zusammen fügen und für Euch speichern. Dann noch zwei-Wege-Login aktivieren – und ein Hack endet im schlimmsten Fall bei der Eingabe der Code Generator-Nummer.
    Und, noch zwei Anmerkungen: NIEMALS jemand bei der Eingabe ZUSEHEN LASSEN! Keine Passwörter weiter geben! Und, auch klar: auf öffentlichen Rechnern NIEMALS Passwörter im Browser speichern lassen – die sind am schnellsten weg!

Acht Schritte, das hört sich nach viel Arbeit an. Ist aber, wenn man es mal in Angriff genommen hat, auch nicht mehr, als die Haustür hinter einem zuzuschließen, wenn man das Haus verlässt. Und, letztenendes, müsst ihr Euch ja nur noch EIN Passwort merken: das, von Eurem Passwort-Manager!

Also: HEUTE IST DEIN WECHSLE-DIE-PASSWÖRTER-TAG! Worauf wartest Du noch?

Und wer jetzt immer noch Unterstützung benötigt, um ein Passwort zu generieren, findet hier Unterstützung: Bei datenschutz.org gibt es einen kostenlosen Passwortgenerator, mit dem ihr ganz einfach ein sicheres Passwort generieren könnt. Auch findet ihr hier weitere Informationen, wie heutzutage ein sicheres Passwort aussieht, was ein Passwortgenerator macht und warum die Nutzung eines Generators Vorteile mit sich bringt.
Und wer noch einen weiteren Tipp für einen Passwort-Tresor sucht, kann über den Link kostenlos bei Dashlane loslegen.

Dieser Beitrag ist ein Teil meiner „Sicheren-Passwort-Serie“… die kommenden Tage betrachte ich noch die andere Seite: warum nicht ICH für die Sicherheit meiner Passwörter zuständig bin!
Das hebt aber nichts von dem, was hier in diesem Post steht, auf, sondern geht gegen die schlechte Sicherheit der Anbieter, die unsere Zugangsdaten verlieren!


Meinen PodCast abonnieren: | direkt | iTunes | Spotify |
Erlangen, Deutschland

3 Antworten auf „01.02.2019 – Ändere Dein Passwort-Tag… und? Hast Du’s getan?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner