Passwörter sind der wichtigste Teil, um deine Daten und deine Identität zu schützen. Angreifer wissen das und kennen viele Tricks, um sie herauszufinden.
Aber verzweifle nicht. Wir können uns gegen diese Tricks wehren, indem wir ein paar wichtige Taktiken und Lösungen anwenden. Die wichtigste Strategie ist es, Passwörter zu erstellen, die LANG, RANDOM (beliebig) und EINMALIG sind. Um das richtig zu machen, musst du einen sicheren Passwortmanager verwenden. Außerdem ist es wichtig, wann immer möglich, eine Multi-Faktor-Authentifizierung einzurichten.
Finde heraus, ob deine Passwörter kompromittiert wurden
- Suche nach „Have I Been Pwned“, um zu sehen, ob deine Konten als kompromittiert gemeldet sind.
- Ändere alle Passwörter deiner Konten, die du dort findest, sofort und verwende die unten stehenden Anweisungen zur Einrichtung eines Passwortmanagers.
- Auch wenn keines deiner Konten hier auftaucht, solltest du die folgenden Anweisungen befolgen, da viele Kontoverletzungen nicht gemeldet werden.
Angreifer suchen nach Passwörtern, die bereits geknackt wurden und online verfügbar sind. Sie probieren Passwörter für deine Konten aus, bis sie das richtige gefunden haben, mit dem sie sich Zugang verschaffen können. Die Wiederverwendung desselben Passworts ist daher besonders riskant. Wirf einen Blick auf Have I Been Pwned, um zu sehen, ob deine Passwörter auf einer der Listen stehen, die Angreifer verwenden.
Vermeide gängige Strategien für schwache Passwörter
Hier sind die gängigsten Methoden, mit denen Angreifer Deine Passwörter herausfinden:
- Sie können Dein Passwort erraten:
* Sie verwenden Deine persönlichen Informationen wie wichtige Daten, Namen, berühmte Zitate, Lieder oder Autoren, die Du magst.
* Verwendung eines Wörterbuchs
* Durch leicht veränderte Passwörter, die Du zuvor verwendet hast
* mithilfe von Software, die alle möglichen Kombinationen ausprobiert, um Deine Passwörter zu entschlüsseln - Sie können danach suchen:
* Wo Du Deine Passwörter aufgeschrieben hast (z. B. auf Zetteln auf Deinem Schreibtisch)
* was Du eingibst, wenn Du Dein Passwort eintippst
* Passwörter, die bereits geknackt wurden und online verfügbar sind - Sie können Sie dazu verleiten:
* eine Malware-App zu installieren, die Dein Passwort aufzeichnet
* Dich dazu zu bringen, Dein Passwort auf einer gefälschten Anmeldeseite einzugeben (Phishing)
* Deine Passwörter oder andere Informationen weiterzugeben, indem sie sich als Support-Mitarbeiter oder als jemand, den Du kennst, ausgeben (auch bekannt als Social Engineering)
Befolge diese Richtlinien, um dich gegen diese Taktiken zu schützen:
- Beachte, dass die folgenden Strategien für sich genommen Deine Passwörter NICHT sicher machen:
- Verwendung von Wörtern oder Zahlen, die mit Dir oder Personen und Organisationen in Deinem Umfeld zu tun haben, wie z. B.:
- Namen von Personen, Haustieren oder Organisationen
- Geburtsdaten, wichtige Jahrestage oder Feiertage
- Telefonnummern oder Adressen
- oder alles andere, was eine Person durch Nachforschungen über Dich und Menschen in Deinem Umfeld erfahren könnte
- Verwendung gebräuchlicher Phrasen, wie berühmte Zitate, Liedtexte und Gedichte.
- Ersetzen von Zeichen durch ein ähnliches Symbol (z. B. Ersetzen von „a“ durch „@“ usw.)
- Einfügen von Ausrufezeichen, Zahlen oder anderen Satzzeichen am Ende
- Jedes Wort mit Großbuchstaben beginnen
- Verwendung einzelner Wörter in einem Wörterbuch (fünf oder mehr Wörter in einer Reihe sind in Ordnung)
- Verwendung von Wörtern oder Zahlen, die mit Dir oder Personen und Organisationen in Deinem Umfeld zu tun haben, wie z. B.:
Verwende einen Passwort-Manager
- Besorge dir KeePassXC (für Linux, Mac oder Windows), KeePassDX (für Android), oder StrongBox (für iOS).
- Verwende Passwörter NICHT wieder.
- Lass den Passwortmanager ein langes, zufälliges und einzigartiges Passwort für jeden deiner Logins generieren und speichern.
- Vielleicht möchtest du den Passwortmanager gemeinsam mit deinen Kollegen einrichten. Ihr könnt euch dabei gegenseitig helfen.
- Ihr solltet euch mit dem sicheren Austausch von Passwörtern vertraut machen. Wann immer möglich, ist es jedoch sicherer, getrennte Logins für verschiedene Konten einzurichten.
- Lies meine Anleitungen zu KeePassXC, KeePassDX und StrongBox.
Kein menschliches Gehirn ist leistungsfähig genug, um genügend lange, zufällige und einzigartige Passwörter zu entwickeln und zu speichern, um alle Geräte und Konten sicher zu halten. Ein Passwortmanager erstellt und speichert diese Passwörter für dich und schützt sie mit Verschlüsselung.
Wir empfehlen KeePassXC, KeePassDX und StrongBox. Sie sind kostenlos, wurden von Community-Experten als sicher eingestuft und werden ständig aktualisiert. Sie speichern die Passwörter in einer Offline-Datenbank, was bedeutet, dass du die Kontrolle darüber hast, wo die Daten gespeichert werden und wie sie verwaltet werden.
Sichern der Datenbank deines Passwortmanagers
- Wie man KeePassXC sichert
- Sicherung von KeePassDX
- Wie man Strongbox sichert
Wie bei jedem einzelnen Passwort kann der Verlust vieler Passwörter auf einmal alles Mögliche verursachen, vom Ärgernis bis zum katastrophalen Verlust der Kommunikation mit deinen Kontakten oder dem Verlust deiner Finanzen. Mach regelmäßig Backups von deiner Datenbank.
Merke dir ein paar sichere Passwörter
- Nutze die Würfelmethode, um Passwörter für deinen Passwortmanager und andere Passwörter zu generieren, die du dir merken musst (wie das Passwort zum Entsperren deines Passwortmanagers oder deiner Geräte):
- Besorge dir eine Liste mit nummerierten Wörtern und ein paar Würfel.
- Würfle fünfmal, um eine fünfstellige Zahl zu erhalten (zum Beispiel 6,2,5,1,1).
- Verwende das Wort aus der Liste mit der entsprechenden Zahl.
- Wiederhole dies fünfmal. Verwende diese fünf Wörter als „Passphrase“ für eine Anmeldung.
- Verwende diese Passphrase nirgendwo anders wieder.
- Als Nächstes erstellst du ein Bild im Kopf, in dem du die Wörter der Reihe nach verwendest und das dir hilft, dich an die Phrase zu erinnern.
- Besorge dir eine Liste mit nummerierten Wörtern und ein paar Würfel.
- Übe die Eingabe dieser Passwörter regelmäßig, zuerst täglich und dann mindestens einmal pro Woche. Die Wiederholung wird dir helfen, dir diese Passwörter einzuprägen.
Es gibt ein paar Passwörter, die du dir merken musst, darunter das Master-Passwort für deinen Passwortmanager. Es gibt Strategien, die dir helfen können, Passwörter zu erstellen, die leicht zu merken, aber extrem schwer zu erraten sind, selbst für einen cleveren Angreifer mit „Passwort-Cracking“-Software.
Wenn es Passwörter oder Sicherungscodes gibt, die du aufschreiben und sicher aufbewahren musst
- Wenn du Passwörter auf Papier aufschreiben musst, bewahre sie an einem verschlossenen Ort auf, z. B. in einem Safe oder einer Schreibtischschublade.
- Es ist wichtig, dass deine Passwörter für Passanten nicht sichtbar oder leicht zu finden und zu kopieren sind.
- Bewahre sie nicht in deiner Brieftasche auf.
- Vernichte alle Papierkopien von Passwörtern oder Backup-Codes gründlich, sobald du sie nicht mehr brauchst.
Lange Passwörter können schwer zu merken sein. Für Passwörter, die du nicht in deinem Passwortmanager speichern kannst (z. B. die zum Entsperren deiner Geräte), solltest du sie aufschreiben und mit einem physischen Schloss schützen.
Wenn du dich entscheidest, einen Online-Passwortmanager zu verwenden
- Vermeide es, hochsensible Kontoinformationen (z. B. Logins für Finanzkonten oder Wiederherstellungskonten) in der Online-Datenbank zu speichern.
- Schütze den Zugang zu deiner Online-Datenbank mit einer 2-Faktor-Authentifizierung.
- Wir empfehlen Bitwarden als Online-Passwortmanager.
Passwortmanager, die automatisch zwischen Geräten online synchronisieren, sind einfacher zu benutzen. Sie speichern deine Datenbank mit den Passwörtern verschlüsselt auf Servern. Online-Passwortmanager bergen jedoch das Risiko, dass ein Angreifer deine Datenbank entschlüsseln und auf deine Passwörter zugreifen kann, ohne dass du es merkst.
Ich empfehle KeePassXC, KeePassDX und StrongBox, weil sie deine Passwörter nicht online speichern. Wenn du dich für einen Online-Passwortmanager entscheidest, empfehle ich dir, diese Schritte für zusätzlichen Passwortschutz zu unternehmen.
Wenn du Passwörter freigeben musst
Vermeide die Weitergabe von Passwörtern, wann immer es möglich ist:
- Wenn du ein Passwort an einen Freund, ein Familienmitglied oder einen Kollegen weitergeben musst, ändere es in ein temporäres und gib dieses Passwort weiter. Ändere es wieder in ein sicheres, wenn sie es nicht mehr benutzen.
- Überlege dir, ob du für jede Person, die Zugang braucht, ein eigenes Konto einrichtest; bei vielen Diensten ist das möglich. Du kannst einschränken, welche Aktionen diese Konten durchführen dürfen und was sie sehen können. Wie das geht, erfährst du in den grundlegenden Sicherheitsanleitungen für Android, iOS, Linux, Mac und Windows.
- Richte deinen Passwortmanager so ein, dass du ihn gemeinsam nutzen kannst. KeePassXC macht dies möglich.
Jedes Mal, wenn du ein Passwort weitergibst, ist es fast so, als hättest du eine zusätzliche Kopie deines Schlüssels angefertigt und verschenkt oder als hättest du Dieben Tür und Fenster geöffnet. Tatsächlich ist es sogar noch riskanter, denn viele deiner „Türen“ und „Fenster“ können leicht von weit entfernten Geräten geöffnet werden, ohne dass du es bemerkst. Verringere diese „Angriffsfläche“ offener Türen, indem du die Weitergabe von Passwörtern so weit wie möglich vermeidest.
Gib dein Passwort nicht weiter, wenn dir jemand eine E-Mail, einen Anruf oder eine Nachricht schickt.
- Gehe auf die App oder Website des Dienstes, der dir angeblich die Nachricht geschickt hat, um die Anfrage zu überprüfen.
- In unseren Leitfäden zu grundlegender Sicherheit und sozialen Medien findest du die Aufzeichnungen der verschiedenen Dienste zu den Benachrichtigungen, die sie dir geschickt haben.
- Wenn es so aussieht, als ob eine dir bekannte Person oder ein dir bekanntes Büro die Nachricht gesendet hat, kontaktiere sie über einen anderen Kanal, um zu überprüfen, ob sie die Anfrage gestellt hat.
- Wenn die Nachricht zum Beispiel eine E-Mail war, rufe sie an.
- Klicke nicht auf Links in der E-Mail oder sende eine Antwort.
- Sei dir bewusst, wenn eine Nachricht versucht, dich zu verängstigen, dich neugierig zu machen, dir das Gefühl zu geben, dass du eine Chance verpasst, oder dich auf andere Weise dazu zu bringen, schnell und unüberlegt zu handeln. Halte inne, bleibe ruhig und finde andere Wege, um solche Nachrichten zu überprüfen.
Angreifer geben sich oft als jemand aus, der sie nicht sind, wie z. B. eine Bank oder ein Vertreter des technischen Kundendienstes, um uns zu überzeugen, ihnen sensible Informationen zu geben. Angreifer spielen auch oft mit unseren Gefühlen und der menschlichen Natur, um uns dazu zu bringen, ihnen Passwörter zu geben, obwohl wir das nicht sollten.
Wenn du einen Anruf, eine E-Mail oder eine Nachricht erhältst, in der du nach deinem Passwort oder anderen sensiblen Daten gefragt wirst, oder wenn du auf eine E-Mail oder einen Textlink klickst, ist es sehr wahrscheinlich, dass jemand versucht, dich auszutricksen.
Wann du dein Passwort ändern solltest
- Ändere regelmäßig deine Passwörter
- online, alle sechs Monate
- offline (z. B. für die Anmeldung an deinem Laptop), einmal im Jahr
Ändere dein Passwort sofort, wenn:
- es den Anschein hat, dass dein Konto, deine Geräte oder Kollegen und Personen in deinem Umfeld Opfer eines Einbruchs geworden sind.
- du eine glaubwürdige Warnung von den Diensten erhältst, die du nutzt, dass versucht wurde, sich von einem nicht autorisierten Gerät oder Standort aus anzumelden.
- Achte auf Nachrichtenberichte über Sicherheitsverletzungen.
- Wenn du eine E-Mail oder eine Warnung erhältst, überprüfe auf der Website des Dienstanbieters, ob er die Warnung gesendet hat.
- du dein Passwort auf einem nicht vertrauenswürdigen, gemeinsam genutzten oder öffentlichen Gerät eingegeben hast (auf diesem Gerät könnte ein bösartiger Code installiert sein).
- du befürchtest, dass jemand dich bei der Eingabe deines Passworts beobachtet hat.
- Minimiere den Schaden, indem du andere warnst, die ebenfalls betroffen sein könnten.
Untersuchungen zeigen, dass das wiederholte Ändern deines Passworts die Sicherheit nicht unbedingt erhöht. Wenn Menschen ihre Passwörter häufig ändern müssen, neigen sie dazu, nur kleine Änderungen am Passwort vorzunehmen, anstatt sich ein völlig neues Passwort auszudenken. Lies hier mehr über die Studie.
Es ist wichtiger, deine Passwörter zu ändern, wenn es eine Datenschutzverletzung gibt. Da wir nicht immer wissen, wann Daten ausspioniert wurden, empfehlen wir, Passwörter alle paar Monate bis zu einem Jahr zu ändern, oder sofort, wenn es einen Grund zur Annahme gibt, dass sie gefährdet sein könnten.
Achte darauf, wo du bist und wer dich sehen kann
- Wenn du an einem öffentlichen Ort bist und dein Passwort eingibst, solltest du darauf achten, ob du gesehen oder aufgezeichnet werden kannst.
- Überprüfe, ob jemand deine Tastatur oder dein Telefon beobachtet, während du deine Passwörter eingibst.
- Verwende einen Sichtschutz, um zu verhindern, dass man sieht, was du tippst.
Angreifer können dich bei der Eingabe deines Passworts überwachen und aufzeichnen. Das Mobiltelefon einer Aktivistin wurde unter dem Vorwurf der Aufwiegelung beschlagnahmt. Ihr Handy war mit einem Passwort gesperrt, das sie nicht herausgeben wollte, aber den Staatsanwälten gelang es, ihr Telefon zu entsperren und auf ihre Daten zuzugreifen, indem sie ihre täglichen Abläufe studierten. Sie stellten fest, dass der Aufzug, in dem sie wohnt, videoüberwacht wird, und konnten ein Video davon bekommen, wie sie ihre Passwörter eintippt.
Verwende eine Zwei-Faktor-Authentifizierung (2FA oder MFA)
- Prüfe, welche Dienste 2FA anbieten.
- Es ist wichtig, 2FA einzurichten für:
- deine Bankkonten oder Geld-Apps
- Konten wie deine E-Mail-Adresse, soziale Medien oder andere, die du benötigst, um andere Konten wiederherzustellen
- Deine 2FA-Optionen können sein:
- Die Verwendung einer Authentifizierungs-App oder eines Programms wie Google Authenticator, Okta oder Duo. Wir empfehlen die Aegis App auf Android oder die Raivo OTP App auf iOS/iPhone.
- Wenn du diese Option verwendest, ist es wichtig, dass du dein Handy vor Malware schützt.
- Mit einem Hardware-Gerät – oft als Sicherheits-Token, Dongle oder USB-„Schlüssel“ bezeichnet -, das du in dein Gerät einsteckst oder so einrichtest, dass es NFC (Nahfeldkommunikation) verwendet.
- Einige Beispiele sind Yubikey, Nitrokey, Google Titan Key und Thetis Key.
- Hardware-Geräte können möglicherweise nicht auf mobilen Geräten verwendet werden.
- Die Verwendung einer Authentifizierungs-App oder eines Programms wie Google Authenticator, Okta oder Duo. Wir empfehlen die Aegis App auf Android oder die Raivo OTP App auf iOS/iPhone.
- Du kannst eine Authentifizierungs-App oder ein Hardware-Gerät für mehrere Dienste verwenden oder für zusätzlichen Schutz verschiedene Dienste mit unterschiedlichen Formen von 2FA einrichten.
- Sobald du dein Gerät für 2FA eingerichtet hast, ist für die beiden oben genannten Optionen keine Internetverbindung erforderlich, um Codes zu generieren. Die Verwendung von E-Mail für 2FA erfordert eine Internetverbindung.
- Wenn du die 2FA-Optionen nach ihrer Sicherheit ordnest, ist eine Authentifizierungs-App oder ein Hardware-Gerät am sichersten, dann E-Mail und dann SMS.
- SMS-Nachrichten sind nicht verschlüsselt und Angreifer haben diese Einmalcodes auf dem Weg zum Telefon der Zielperson erfolgreich abgefangen.
- Wenn du 2FA eingerichtet hast, musst du bei der Eingabe deines Benutzernamens und Passworts zusätzlich beweisen, dass du derjenige bist, für den du dich ausgibst, indem du deinen Schlüssel, einen Code von deinem Authentifikator oder den Code, den du zugeschickt bekommen hast, eingibst.
- Deaktiviere die Zwei-Faktor-Authentifizierung nicht, sobald du sie eingerichtet hast. Einige Dienste bieten dir die Möglichkeit, sie aus Bequemlichkeit für eine Weile auszuschalten, aber bedenke die Auswirkungen, die dies auf deine Sicherheit haben könnte.
Wenn es um Logins geht, ist es sicherer, mehrere Schutzschichten zu haben. Wenn die erste Schutzschicht durchbrochen wird, kannst du dich auf die zweite verlassen, um deine digitalen Werte zu schützen. Die Multifaktor- oder Zwei-Faktor-Authentifizierung (MFA oder 2FA) über ein anderes Gerät oder eine E-Mail bietet diese zusätzlichen Schutzschichten. Obwohl viele Menschen es bequem finden, ist die SMS die unsicherste Option für 2FA.
Die Verwendung von 2FA mag lästig erscheinen, aber denk daran: Was für dich ein wenig lästig ist, ist für Kriminelle und andere Personen, die versuchen könnten, auf dein Konto zuzugreifen, viel lästiger. Wenn deine Konten gestohlen, gekapert oder von böswilligen Personen überwacht werden, wäre das auf lange Sicht eine viel größere Unannehmlichkeit.
Bewahre 2FA-Backup-Codes sicher und getrennt auf
- Wenn du bei der Einrichtung von 2FA Backup-Codes erhältst, speichere diese Codes in einem Passwortmanager.
- Um diese Codes von anderen Informationen, die für den Zugriff auf deine Konten verwendet werden könnten, zu trennen, solltest du eine separate KeePass-Datenbank erstellen und auf einem anderen Gerät speichern.
Die meisten Online-Dienste geben dir eine Liste mit Backup-Codes, wenn du die Zwei-Faktor-Authentifizierung für dein Konto zum ersten Mal aktivierst. Mit diesen Codes kannst du dich wieder in dein Konto einloggen, wenn du den Zugang zu dem Gerät verlierst, das du für die 2FA verwendest. Die Codes laufen nie ab. Es ist wichtig, dass du die Backup-Codes sicher aufbewahrst, denn jeder, der dein Passwort hat, kann mit einem der Codes auf dein Konto zugreifen.
Vermeide die Entsperrung per Fingerabdruck oder Gesicht (Biometrie)
- Wenn dein Gerät so eingestellt ist, dass es mit deinem Gesicht oder deinem Fingerabdruck entsperrt wird, ändere die Einstellungen so, dass es stattdessen mit einem Passwort entsperrt wird.
- In den grundlegenden Sicherheitsleitfäden für Android, iOS, Linux, Mac und Windows findest du Anleitungen, wie du das machst.
Biometrische Verfahren können den Zugriff auf deine Geräte beschleunigen, indem sie deine persönlichen Merkmale wie Fingerabdrücke oder dein Gesicht verwenden. Allerdings sind sie im Allgemeinen eine weniger sichere Methode, um dein Gerät und dein Konto zu sperren. Anders als ein Passwort kannst du deinen Fingerabdruck nicht jederzeit ändern. Viele Menschen müssen ihre biometrischen Daten bei Flughäfen, Behörden usw. hinterlegen. Das birgt das Risiko, dass jemand ohne deine Zustimmung auf deine Konten zugreifen kann. Wenn deine Widersacher dich körperlich fesseln oder zwingen, kann es für sie noch einfacher sein, deine Geräte zu entsperren, als wenn du sie mit einem Passwort sperrst.
Sichere Wiederherstellungsfragen festlegen
Viele Webdienste fragen nach „Sicherheitsfragen“ oder „Wiederherstellungsfragen“, wenn du ein Konto erstellst. Damit es weniger wahrscheinlich ist, dass jemand diese Fragen erraten kann:
- Gib gefälschte, nicht zusammenhängende Antworten auf diese Fragen ein.
- Du kannst auch einen zufälligen, eindeutigen Code verwenden, der von deinem Passwortmanager generiert wird.
- Speichere deine Antworten in deinem Passwortmanager, damit du nicht ausgesperrt wirst.
Die Wiederherstellungsfragen sind wichtig, damit Dienste deine Identität überprüfen können, wenn sie vermuten, dass jemand anderes versucht, auf dein Konto zuzugreifen. Du verwendest diese Antworten, um dein Passwort zu ändern, falls du den Zugriff auf dein Konto verlierst. Leider sind deine Antworten auf Fragen wie „In welcher Stadt wurdest du geboren?“ oder „Wie heißt dein Haustier?“ online leicht zu finden. Indem du falsche Antworten gibst, kannst du es einem Angreifer schwerer machen, dein Konto zu kapern.
Weitere Lektüre
- Surveillance Self-Defense, „Starke Passwörter erstellen„
- Tech Radar, „Die Gefahren der gemeinsamen Nutzung von Passwörtern am Arbeitsplatz„
- Der Sicherheitsforscher Daniel Miessler hat eine Liste mit den 1.000 häufigsten Passwörtern zusammengestellt. Vermeide es auf jeden Fall, irgendetwas aus dieser Liste als Passwort zu verwenden.
- Wikipedia hat informative Artikel über Passwörter, Richtlinien für die Stärke von Passwörtern und wie Angreifer auf Ihre Konten zugreifen.
Dieser Beitrag ist eine Übersetzung und basiert auf dem englischen Artikel, original erschienen als „security in-a-box“ von Tactical Tech und steht unter der Lizenz Creative Commons Attribution-Share Alike 3.0 Unported License.