Beitag des Landesverabands Bayern.
Heute ist dem kleinen Kalender zufolge der nationale “Ändere-dein-Passwort”-Tag. Das ist ein Thema, das man nicht einfach so vorüberziehen lassen kann.
Passwörter. Jeder kennt sie, jeder hat welche, die Wenigsten haben den Nerv und die Lust, sich regelmäßig auf’s Neue Passwörter auszudenken. Viele Leute haben eine Wort+Zahl-Kombination, bei der sie schlicht jedes Mal, wenn eine Änderung gefordert wird, die Zahl um eins erhöhen. Da kann man sich Passwörter natürlich sparen, denn sicher geht anders.
Warum das? Grundsätzlich sollte man selbst der einzige sein, der die Passwörter kennt. Nichtsdestoweniger kommt es immer wieder vor, dass Passwörter durch Unvorsichtigkeit nach außen gelangen – und dann ist das Ändern einer einzigen Stelle darin absolut kein Schutz, da Cracker dieses beliebte Vorgehen kennen und erbarmungslos ausnutzen.
Was bringt das regelmäßige Ändern des Passworts?
Häufig verlangen Firmen, Universitäten oder sonstige Einrichtungen von ihren Nutzern, Passwörter alle paar Monate zu ändern. Auf diese Weise kann man ein paar Probleme auch tatsächlich erfolgreich umgehen:
- Gespeicherte Passwörter auf alten PCs oder in Backups, die u. U. weniger gut gesichert sind und abhanden kommen könnten, werden damit zumindest unbrauchbar für aktuelle Daten gemacht.
- Sollte bereits ein unbemerkter unberechtigter Zugriff stattfinden (und vom Angreifer keine Software installiert worden sein, über die er weiterhin zugreifen kann), kann man diesen Zugriff unterbinden.
- Eine Angriffsmethode ist das automatisierte Durchprobieren aller möglichen Passwortkombinationen. Wird das Passwort regelmäßig geändert, begrenzt das die Zeit, bis ein Angreifer von vorne beginnen muss.
In der Praxis ist das allerdings nur bedingt sinnvoll, denn die Erfahrung zeigt, dass hier häufig einfach nur eine Zahl am Ende des Passworts erhöht wird oder andere, geringfügige und berechenbare Änderungen stattfinden. Das macht den theoretischen Sicherheitsgewinn meist zunichte. Zudem treibt es die Supportkosten in die Höhe, da Leute häufiger ihr (neues) Passwort vergessen.
Wann sollte ich mein Passwort “außer der Reihe” ändern?
Wenn ein Angriff bekannt wurde oder man zumindest Anhaltspunkte dafür hat. Hierbei besonders wichtig:
Wurde mein Mailkonto oder mein Computer kompromittiert, sollte ich ALLE Passwörter ändern, nicht nur das jeweils betroffene. Bei Zugriff auf das Mailkonto lassen sich häufig Passwortänderungen für viele Internetdienste durchführen (die bekannten “Passwort vergessen”-Links), wovon ich nicht unbedingt etwas mitbekomme. Das Gleiche gilt bei einem Fremdzugriff auf meinen PC, wodurch der Angreifer möglicherweise all meine Passworteingaben bei anderen Diensten mitbekommen hat.
In solchen Fällen bleibt einem keine andere Wahl: Jedes Passwort wird geändert.
Was sind sichere Passwörter?
Wie kommt man denn jetzt an ein sicheres Passwort, das man sich merken kann? Und woher nimmt man so etwas alle drei Monate? Über diese Fragen kann man an einem nationalen “Ändere-dein-Passwort”-Tag durchaus einmal nachdenken.
Ein üblicher Vorschlag ist: Denke dir einen Satz aus, der Sinn ergibt und Zahlen enthält. Damit bist du über die (üblicherweise mindestens) acht Zeichen hinaus, der Punkt kann durch ein Ausrufezeichen ersetzt werden, dann ist das meist geforderte Sonderzeichen auch abgedeckt. Man kann auch einfach die Anfangsbuchstaben der einzelnen Wörter nehmen und Zahlwörter durch Zahlen ersetzen; beispielsweise wird “Ich hatte heute morgen noch keinen Kaffee!” zu “Ihhmn0K!”.
Das wirft jedoch weitere Probleme auf, denn wer sich im Alltag schon kaum eine Handvoll Standardpasswörter merken kann, wird umso mehr Schwierigkeiten damit haben, sich alle paar Monate Dutzende ganzer Sätze zu merken.
Außerdem sollte für jeden Dienst ein eigenes Passwort genutzt werden, weil ein einzelnes “Masterpasswort” für alle Dienste eben alle Türen öffnet.
Wie merke ich mir die ganzen Passwörter?
Für diesen Zweck gibt es besondere Programme, sogenannte “Passwort-Safes”. Deren Grundfunktion ist es, all die verschiedenen Passwörter verschlüsselt zu speichern. Mit einem sogenannten “Masterpasswort” kann man diese verschlüsselten Passwörter dann wieder anzeigen lassen, um sie bei dem jeweiligen Dienst einzugeben. Das Masterpasswort muss natürlich sicher sein und man muss es sich merken, aber alle anderen Passwörter können dadurch beliebig lang und kompliziert sein.
Eine kostenfreie Variante solcher Passwort-Safes ist “Keepass”. Dieser Safe bietet die Möglichkeit, Passwörter zu erzeugen und wie oben beschrieben in einen Safe zu legen.
Mein Browser kann sich die Passwörter doch auch merken – wie sinnvoll ist das?
Es ist vor allen Dingen eines: Praktisch. Grundsätzlich ist es weniger sinnvoll als ein Passwort-Safe, weil die Passwörter im Browser oft unverschlüsselt gespeichert werden – aber gegenüber leicht zu knackenden Passwörtern wie “012345” immer noch deutlich vorzuziehen. Man sollte diese Option nur dann nutzen, wenn man der einzige Nutzer des Gerätes ist und auch sicherstellen kann, dass keine andere Person Zugriff darauf bekommt.
Für beide Methoden, also sowohl Passwort-Safe als auch Browser gilt: Die Passwörter sollten auf jeden Fall zusätzlich auf andere Weise gesichert werden!
Oder einfach aufschreiben…?
Es gibt auch Menschen, die tatsächlich ein kleines Heft haben, in dem alle Passwörter notiert sind. Das ist sicherlich eine gute Möglichkeit, zumal die Passwörter hier nicht in einem digitalen Datenhaufen verschwinden können. Hacker brechen in Software ein, nicht in Häuser. Der Nachteil: Man muss auf dieses Heft sehr aufpassen, muss es immer benutzen können und dafür sorgen, dass niemals jemand Zugriff darauf hat, auch nicht kurzfristig. Insofern ist das Risiko bei einem solchen Passwortheft im Extremfall höher, auch wenn es im Alltag relativ sicher ist.
Muss wirklich jedes Passwort so sicher sein?
Wenn möglich: ja. Aber natürlich gibt es immer wieder Stellen, an denen man doch darauf verzichtet. Als Faustregel: Je wichtiger mir die geschützten Informationen sind, desto besser sollte das Passwort sein. Der Mailaccount: klar, sehr wichtig. Eine Nachrichtenseite, auf der ich mich einmal kurz anmelde, um einen Kommentar zu hinterlassen und dort nie wieder erscheine? Wohl nicht so wichtig. Fazit: Das eigene Haus sollte immer gut abgesperrt sein, für den Garten genügt ein Zaun.
Über die Autoren: Astrid Semm, Wolfgang Steinert und Corinna Bernauer sind Mitglieder der Piratenpartei Bayern. Sie legen großen Wert darauf, gerade im Bereich Datenschutz Hilfe zur Selbsthilfe zu leisten, aufzuklären und zu unterstützen.
Die Autoren danken Martina Flasch für die freundliche Unterstützung .
Hinweis: Dieser Kommentar wurde von Astrid Semm, Wolfgang Steinert, Corinna Bernauer geschrieben und stellt nicht notwendigerweise die Meinung des ganzen Landesverbandes dar. Alle Mitglieder können Kommentare über das entsprechende Formular bei der SG Digitale Medien einreichen.
0 Kommentare zu “Ändere dein Passwort!”