Was ist ein gutes Passwort – zwei wichtige Tipps für mehr Sicherheit Nur lange Passwörter sind sicher. Doch diese kann sich niemand merken. Es ist Zeit für einen Passwort-Manager.
Nur lange Passwörter sind sicher. Doch diese kann sich niemand merken. Es ist Zeit für einen Passwort-Manager.
Wie lange dauert es, ein Passwort zu knacken? Immer weniger lang. Inzwischen kann ein Rechner ein 8-stelliges Passwort bereits in rund einer Stunde knacken, selbst wenn es aus Gross- und Kleinbuchstaben sowie Zahlen und Sonderzeichen besteht.
Die genaue Dauer hängt zwar davon ab, mit welchem Algorithmus das Passwort verschlüsselt ist und mit wie viel Rechenleistung der Angreifer anrückt. Aber klar ist, dass sich Passwörter dank der steigenden Rechenleistung – zum Beispiel mit einem Cloud-Dienst – immer rascher entschlüsseln lassen, wie eine kürzlich veröffentlichte Aufstellung von Hive Systems zeigt. Kurz gesagt: Ein 8-stelliges Passwort ist heute bereits nicht mehr sicher.
Gehören Sie zu jenen Personen, die sich bei ihren Passwörtern auf sechs oder acht Zeichen beschränken? Sie sind nicht alleine. Doch ein solcher mangelhafter Schutz kann verheerende Folgen haben, zum Beispiel beim E-Mail-Account: Wer Zugriff auf die E-Mail einer Person hat, kann meist auch andere Accounts oder Profile übernehmen – dank der Funktion «Passwort vergessen».
Passwörter müssen stark und einmalig sein
Passwörter sind der Schlüssel zum digitalen Leben. Deshalb müssen sie stark sein, sprich lang und komplex. Google zum Beispiel rät zu mindestens 12 Stellen, besser sind 16 bis 20 Zeichen – mindestens. Wenn ein solches Kennwort nun noch Zahlen und Sonderzeichen enthält, was dringend zu empfehlen ist, lässt es sich nur noch schwer merken.
Denn hinzu kommt noch ein zweiter Grundsatz: Für jedes Log-in braucht es ein eigenes Passwort. Zweimal dasselbe Kennwort zu verwenden, ist ein Sicherheitsrisiko. Passwörter können gestohlen werden – zum Beispiel durch sogenannte Phishing-Attacken, bei denen eine gefälschte Log-in-Seite angezeigt wird, um das Opfer zur Eingabe des Kennworts zu bewegen.
Kommt das gestohlene Kennwort für den Online-Shop auch noch bei Facebook oder bei der Arbeit zum Einsatz, können die Angreifer auf diese Accounts ebenfalls zugreifen. Der Schaden kann dann plötzlich riesig werden. Denn glauben Sie nicht, dass das Instagram-Konto ja sowieso nicht so wichtig sei. Angreifer können gekaperte Social-Media-Accounts zum Beispiel dazu verwenden, weitere Personen zu betrügen oder anzugreifen.
Erster Tipp: Ein Passwort-Manager
Niemand kann sich Dutzende von Passwörtern merken, die jeweils aus 20 Buchstaben, Zahlen und Sonderzeichen bestehen. Doch es gibt eine Lösung für das Problem: ein Passwort-Manager. Das ist ein Programm, das sich die Log-in-Daten für die unzähligen Konten merkt, die heute alle von uns haben.
Gängige Browser wie Chrome oder Mozilla haben bereits einen Passwort-Manager eingebaut. Dieser ist bequem in der Bedienung, da die Kennwörter ja meist im Browser eingegeben werden müssen. Nun ist es zwar immer noch besser, einen solchen eingebauten Passwort-Manager zu nutzen, als unsichere Kennwörter mehrfach zu verwenden. Doch die Browser-interne Lösungen sind nur zweite Wahl, da sie meist schlechter geschützt sind und Browser ein häufiges Ziel von Angriffen sind.
Viel besser sind eigenständige Passwort-Manager. Diese können als App auf dem Smartphone oder dem Laptop installiert werden oder über den Browser aufgerufen werden. Wichtige Voraussetzung ist es, dieses zentrale Verzeichnis der eigenen Log-in-Daten mit einem richtig starken Passwort zu schützen. Dieses müssen Sie sich leider merken – immerhin nur dieses eine.
Doch sind Passwort-Manager sicher? Diese Frage stellt sich unweigerlich, wenn eine Person alle ihre Kennwörter zentral speichert. Besteht nicht das Risiko, dass sich ein Angreifer Zugang zum Passwort-Verzeichnis verschafft und so auf einen Schlag an alle Log-in-Daten gelangt?
Eine absolute Sicherheit gibt es auch bei der Verwendung von Passwort-Managern nicht. Aber sie sind in den meisten Fällen die beste Lösung. Insbesondere ist ein Passwort-Manager sicherer, als schwache Passwörter zu verwenden, die gleichen Passwörter mehrfach zu verwenden oder sich die Passwörter aufzuschreiben und herumliegen zu lassen – wie es viele Leute tun.
Cloud-Lösung kann ein zusätzliches Sicherheitsrisiko sein
Gute Passwort-Manager sind sehr sicher konzipiert: Sie verschlüsseln die Log-in-Daten mit dem Verfahren AES und einer Schlüssellänge von 256 Bit, was höchsten Sicherheitsanforderungen entspricht. Zudem kann selbst der Hersteller des Passwort-Managers nicht auf die Log-in-Daten seiner Nutzer zugreifen, weil der die Schlüssel nicht kennt.
Selbst wenn der Angreifer das Master-Kennwort für den Passwort-Manager kennt, reicht das noch nicht. Das Verzeichnis der Log-in-Daten ist – und das ist ein wichtiger Punkt – mit einem weiteren Schlüssel gesichert. Der Angreifer kann sich nicht von jedem beliebigen Gerät in den Passwort-Manager einloggen. Er muss zusätzlich Zugriff auf das Smartphone oder den Laptop des Opfers haben.
Beim Einsatz im Alltag geht es immer wieder um die Frage, was höher zu gewichten ist: die einfache Bedienung oder die Sicherheit. Zum Beispiel bei der Synchronisierung: Professionelle Passwort-Manager beinhalten üblicherweise eine Anbindung an die Cloud. Damit haben die Nutzer von verschiedenen Geräten jederzeit Zugriff auf alle Passwörter.
Dass die verschlüsselten Log-in-Daten auf einem externen Server liegen, ist ein gewisses zusätzliches Sicherheitsrisiko. Der Cloud-Dienst des Anbieters könnte Ziel eines Angriffs werden. Deshalb ist es wichtig, auf einen vertrauenswürdigen Software-Hersteller zu setzen. Denn für die meisten Nutzer ist der Aufwand zu gross, stattdessen die Datei mit den verschlüsselten Passwörtern manuell zwischen Laptop, Smartphone und Tablet zu verschieben.
Zweiter Tipp: Mehrfaktoren-Authentifizierung
Neben einem Passwort-Manager, der so richtig lange und komplexe Kennwörter erlaubt, ist die sogenannte Mehrfaktoren-Authentifizierung (MFA) ein zweiter Schutz, der heute unbedingt zu empfehlen ist. Die MFA geschah früher etwa mit einer Strichliste für das Online-Banking, heute ist es oft ein Code per SMS, den man zusätzlich eingeben muss.
Im Grundsatz geht es darum, den Angreifern das Leben schwerer zu machen. Es reicht nicht mehr, nur Benutzername und Passwort einzugeben, um Zugang zu einem Account zu erhalten. Nötig ist zusätzlich noch ein weiteres Element, das der Angreifer möglichst nicht kennt. Das kann ein Code sein oder die Bestätigung per Fingerabdruck auf einer Authentifizierungs-App auf dem Smartphone. SMS als zweiter Faktor gelten heute bereits als unsicher.
Wer seine verschiedenen Konten und Profile – soweit möglich – konsequent mit MFA absichert, ist nochmals sicherer unterwegs im digitalen Raum. Die MFA bietet auch Schutz im Zusammenhang mit einem Passwort-Manager. Denn dieser speichert nur die Passwörter. Für das Log-in ist dann aber noch ein weiterer Faktor nötig.
Gute Passwort-Manager kosten meist etwas
Wer sicher im Internet unterwegs sein möchte, kann auf einen Passwort-Manager und auf Multifaktor-Authentifizierung eigentlich nicht mehr verzichten. Dabei entsteht zwar zu Beginn ein gewisser Aufwand beim Einrichten, doch danach vereinfacht sich das Leben enorm.
Bei der Auswahl des Passwort-Managers ist zu beachten, dass diese sich im Funktionsumfang leicht unterscheiden können. In Vergleichen schneiden die Produkte 1Password, Dashlane, Keeper oder LastPass regelmässig gut ab. Im Normalfall kosten diese etwas. Als empfehlenswert gilt auch der kostenlose Open-Source-Manager KeePass, bei dem die Synchronisation über einen Cloud-Dienst manuell eingerichtet werden muss.
