01. Februar 2022, Ändere Dein Passwort Tag – warum es dieses Jahr wichtiger ist als jemals zuvor und warum das Passwort alleine nicht mehr die Welt rettet!

Ich hinke schon wieder hinterher, daher mit leichter Verspätung dieses wichtige Thema: Alle Jahre wieder kommt der erste Februar – und damit die Erinnerung, dass an diesem Tag der „Wechsle-Dein-Passwort“-Tag ist. Und selten war es so wichtig, wie heute! Mit Attacken von allen Seiten, Malware, Phishing, Accountübernahmen und Bankzugangsbetrügereien. Parallel dazu reagieren die Anbieter, allen voran die „big 5“, Google, Meta, Microsoft, Apple und amazon, in dem sie nun durchgehend, neben der Pflicht, ein gutes Passwort für die Dienste zu vergeben, auch 2FA, Zwei-Faktor-Authentisierung, anbieten, in Teilen auch verpflichtend erwarten. Aktuell ist dies Stand der Technik und auch ich möchte euch, wo auch immer möglich, die Aktivierung des zweiten Faktors an Herz legen. Aber: vernachlässigt trotzdem das gute alte Passwort nicht!

FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat
FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat

Ihr kennt sie alle, die Tricks, ein Passwort selbst zu generieren: Nimm bekannte Worte und „schreibe“ sie anders. So wird aus Lastkraftwagenfahrer der La$tKra%tvväg3nVahrer. Allerdings, für die Jungs, die den ganzen Tag nichts anderes machen, als Accounts zu hacken und damit mittlerweile auf billige Serverbänke aus der Cloud für ein paar Dollar per Zeiteinheit oder im Monatsabo zurückgreifen können, ist das nur eine Verzögerung um wenige Minuten, bis auch diese Art der Passwörter gehakt sind.

Da auch Social Engineering heutzutage durch eine Google Suche vervollständigt werden kann, Vorsicht vor Jahresdaten oder Vornamen der Liebsten, dem eigenen Geburtstag und allen Daten, die du mal über Social Media gepostet hast. Geht davon aus, dass die alle in diversen Datenbanken mit Verknüpfung zu deinem Namen und sämtliche Aliase, die du online benutzt, gespeichert und irgendwo im oder unter dem Darknet zu finden sind.

Dann gibt es immer noch den Tipp, beliebige Worte aus dem Duden, Fremdwörterlexikon, English- oder Lateinwörterbuch, was eben griffbereit ist, mit individueller Groß- und Kleinschreibung zu kombinieren. Hier gewinnen, Achtung, nicht verwechseln, zwei Faktoren: die erreichte Länge, die es zumindest für Halbprofis ab einem zeitlichen Aufwand uninteressant macht und somit zu einem Abbruch führt. Du bist nicht der einzige Kandidat, der hier parallel durch die Cloud gejagt wird, dann lieber für einen dickeren Fisch die CPU-Time opfern. Und, als Zweites, die Zufälligkeit der ausgewählten Wörter. Nachteilig: Kombinationen dieser Art musst du doch wieder an einem unbekannten Ort aufschreiben. 

Wer so richtig auf Nummer sicher gehen will, hat zwei Optionen: die „kleine“, mit einem Passwortgenerator auf Nummer sicher zu gehen, um jeden persönlichen Einschlag in die Generierung von sicheren Passwörtern zu vermeiden. Eine gute Quelle hierzu, neben einer Google-Suche, ist die Seite von datenschutz.org, hier gibt es neben einem kostenfreien Passwort-Generator Infos über sichere Passwörter und warum diese sinnvoll und notwendig sind als auch einen Passwort-Tresor. Klickt euch mal durch!

Wer eine All-in-One-Lösung möchte, greife sich einen Passwortmanager. Hier ist für jeden Geldbeutel und für jede Anforderung was dabei. Als bekannteste Open-Source-Lösung sei hier KeePass genannt. Eine sichere und tolle Offline-Lösung, allerdings mit gewissen Nachteilen: kein automatisches Ausfüllen, zum Beispiel durch eine Browser-Erweiterung. Und ein wenig Fummeln, um alles selbst einzurichten, hast du auch. Aber: alles für die Sicherheit.

Kostenpflichtige Vertreter sind etwa LastPass, der seinen Sicherheitsbruch bereits in der Vergangenheit erlitten hat und vor einiger Zeit von LogMeIn übernommen wurde. Wer Googles Chrome nutzt, hat einen Passwortgenerator und -manager kostenfrei inklusive, der auch über alle angemeldeten Geräte die Daten, mittlerweile auch verschlüsselt, synchronisiert.

Apropos Google: bevor ich euch für weitere Angebote auf Google verweise, noch ein zweiter Kandidat, 1Passw(ord). Ich schätze, dass jeder Apple-User, der hier mitliest, sofort „Ja, den nutze ich auch!“ schreit, da er weit komfortabler als Apples eigener Schlüsselbund zu bedienen und zu nutzen ist. 

Preislich und in der Bedienung, einzig daher erspare ich euch weitere Kandidaten, sind sich die gängigen Anbieter einig: 30–50 Euro per Jahr, lokal für Windows und Apple, Module für gängige Browser, also Chrome, Firefox und das Apple-Teil und auch für die beiden dominanten Handybetriebssysteme und ja, klar auch im Netz per Browser. 

Kurz gesagt, auch im Hinblick auf eure Sicherheit im Netz: Es gibt keine Ausreden mehr, NICHT auf sichere Passwörter zu setzen. Es gibt hier diverse Philosophien, ich setzte immer noch auf Zufall, mit Sonderzeichen und Länge: 35 Zeichen und mehr dürfen es schon sein, schließlich steht die Quantencomputergeneration vor der Tür! Und Hände weg von Webseiten, die die Länge des Passworts beschränken, so jemand macht sich keine Gedanken über die Sicherheit eurer Daten!

Aber… die meisten Plattformen machen es euch noch einfacher, in vielen Fällen ebenfalls zum Nullkostenpreis. Stichwort: Zwei-Faktor-Authentisierung. Oder 2-Factor-Authentication. Meist reicht ein einfacher Klick, um es zu aktivieren, ihr könnt eine App oder sogar einen physikalischen Schlüssel hinterlegen und dann zur Sicherheit – Tipp: UNBEDINGT MACHEN! – noch Backup-Codes laden – in unter fünf Minuten seid ihr auch hier einsatzbereit. Und recht viel sicherer könnt ihr heute nicht sein! 

Vorgehen beim Login ist, wie ihr es kennt: Nutzername und Passwort vergeben. Je Login jeweils ein anderer Name und erst recht ein anderes Passwort. Der zweite Faktor nach dem Passwort kommt in verschiedenen Formen: Eingabe einer sechsstelligen, oder größer, Zufallszahl, die durch eine App in einem bestimmten Zeitintervall, meist 30 oder 60 Sekunden, auf Basis eines zuvor gescannten QR-Codes generiert und Server-seitig abgeglichen wird.

Stand heute, auch wenn die meisten dieser „FIDO2“-Schlüssel offen definiert sind, nicht knackbar. Und nein, es muss nicht das neueste Modell mit zusätzlichem internen Fingerabdruckcanner für über 100 Euro sein, es tut auch in jeder Hinsicht das Standard-Modell für knapp 30 Euro. 

Dass die Preise von Yubico nicht so ganz dem Markt entsprechen, merkt ihr schnell, wenn ihr bei amazon weitere Hersteller sucht. Sollte ich einen Neukauf wagen, würde ich das Topmodell von Trustkey, den Secure Key Biometric für 55 Euro kaufen – immerhin halber Preis! 

Aber ob nun Key oder per Google Authenticator App, am wichtigsten ist: 2FA unbedingt nutzen. Aktivieren, wo immer möglich! Somit ist ein Bruch des Passworts immer noch schlimm, aber nicht zwischen Weltuntergang und Supernova in der privaten Online-Galaxy!

BTW, Passwörter sollten in regelmäßigen Abständen geändert werden. Auch hier hilft ein Passwortgenerator oder ein Passwortmanager. Nehmt euch mal alle drei Monate vor, wenn es dann alle sechs werden, seid ihr immer noch ganz vorne dabei!

Weil das Thema so wichtig ist, eine kurze Zusammenfassung:

Stellt sicher, dass ihr regelmäßig eure Passwörter ändert. Länge ist hierbei aktuell ein entscheidender Faktor und die Tatsache, dass es wirklich aus Zufall gewürftelt wurde. Nutzt dafür einen Passwortgenerator wie den von datenschutz.org oder gleich einen Passwortmanager. 

Um trotzdem immer wieder vorkommende Passwort-Hacks zu vermeiden, nutzt, wo immer ihr es aktivieren könnt, die Zwei-Faktor-Authentisierung. Das geht am einfachsten per App, wer mehr Sicherheit will, kann sich einen FIDO2-Schlüssel zulegen. Aber trotz des Schlüssels und 2FA nicht an der eigentlichen Passwortsicherheit schludern: Wer eines eurer Passwörter erraten hat, wird es bei allen ihm bekannten Accounts von euch probieren – und ich wette, es ist nur eine Frage der Zeit, bis er einen Dienst findet, wo ihr ein identisches Passwort mehrfach benutzt habt und wo es keine 2FA gibt –  und schon nimmt das Schicksal seinen bösen Lauf…!

Nehmt euch die Zeit und greift jetzt an! Alles, was ihr braucht, steht hier und die Links dazu sind nur einen Klick entfernt!

Happy Password wechseln!

PS: Microsoft hat übrigens eine eigene App für Android und Co, die mittlerweile auch mehr zu einem Passwortmanager und 2FA-Service ausgebaut wurde und auch noch weiter ausgebaut wird. Wenn ihr viel mit Office 365 und/oder Windows 10 oder 11 zu tun habt, werft einen Blick auf die Authenticator App, die gibt es ebenfalls für lau!

PodCast abonnieren: | direkt | iTunes | Spotify | Google | amazon |
STOLZ PRODUZIERT UND AUFGENOMMEN MIT Ultraschall5
Made with Ultraschall / Logo-Quelle ultraschall.fm

2 Antworten auf „01. Februar 2022, Ändere Dein Passwort Tag – warum es dieses Jahr wichtiger ist als jemals zuvor und warum das Passwort alleine nicht mehr die Welt rettet!“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

GDPR Cookie Consent mit Real Cookie Banner