Alles was Sie rund um Passwörter wissen müs­sen

mit Keine Kommentare

Passwörter respektive Kennwörter sind im Internet allgegenwärtig. Deshalb erhalten Sie in diesem Beitrag Tipps für die Auswahl guter Passwörter und wie Sie mit diesen umgehen sollten. Zudem erhalten Sie eine Datei, mit der Sie Ihre Kennwörter verwalten können.

Informationen gemäss Stand vom 21.11.2024

Passwort

Inhaltsverzeichnis: Passwort-Handling

Sicherheitsforscher von Kaspersky haben in einem aktuellen Bericht gezeigt, wie sie mithilfe moderner Grafikkarten Passwörter in Sekundenschnelle knacken können. Bei 193 Millionen geleakten Passwörtern schafften sie es, rund die Hälfte innerhalb einer Stunde zu entschlüsseln. Damit dies gelingt, müssen jedoch bestimmte Voraussetzungen erfüllt sein.

Beim Brute-Force-Ansatz werden alle möglichen Zeichenkombinationen systematisch ausprobiert, bis das richtige Kennwort gefunden ist. Je mehr Rechenleistung zur Verfügung steht, desto schneller erfolgt dieser Vorgang. Bei Wörterbuch-Attacken nutzen Cyberkriminelle grosse Listen mit geleakten Log-in-Daten und testen diese nacheinander durch.

Um welche Passwörter geht es konkret?

Als Firma muss man die Passwörter der Mitarbeiter aufzeichnen. (Beispiel: Sie müssen an die Daten Ihrer Buchhaltung kommen, auch wenn der Buchhalter einen Todesfall hatte oder krank ist.)

  • Eigener Server
    ➤ Administration
    ➤ FTP
    ➤ MySQL-Datenbank
    ➤ Webmail
    ➤ E-Mail-Adressen
    ➤ Personen mit Zugang zum Content-Management-System
  • Eigene Hardware und Software
    ➤ Administrator der Computer
    ➤ Weitere Benutzer der Computer
    ➤ Weitere Benutzer im Intranet
    ➤ Zubehör wie Router
    ➤ Handy
    ➤ Sämtliche Software mit reglementiertem Zugang
  • Fremde Anbieter
    ➤ DSL, Internetanbieter
    ➤ Social Media Portale
    ➤ Online-Tools im Web
    ➤ Websites und Portale aller Art
    ➤ Adressen-Datenbanken
  • Lizenzen
    Zudem müssen alle Lizenzcodes notiert werden. Hat man einen neuen Computer, so muss man bei vielen Programmen den Lizenzcode wieder eingeben.

Passworthandling

Tipps und Tricks rund um Passwörter

  • Durchschaubarkeit
    Benutzername respektive Log-in-Name und Passwort sind identisch. Das ist gerade in einem Diskussionsforum ungünstig, schliesslich ist der Benutzername sofort sichtbar.
  • Passwort zum Thema
    Das Passwort wird dem Thema angepasst, um das es geht. Im Chat-Forum lautet das Passwort „chat“ im Forum „forum“ und so weiter.
  • Schimpfwörter
    Diese sind als Kennwörter nicht selten. Also tunlichst vermeiden.
  • Offensichtliches
    Vermeiden Sie leicht durchschaubare Begriffe. Beispiele: „passwort“, „pass“, „password“, „geheim“ oder „system“.
  • Bekannte Namen
    Offenkundige Zusammenhänge wie für den Usernamen „Micky“ das Passwort „Maus“.
  • Privates vermeiden
    Am häufigsten sind Passwörter zu finden, die einen privaten Bezug haben. Etwa der Name der Freundin/des Freundes oder bekannter Fernsehstars.
  • Systemeinstellung sofort ändern
    Bei vielen Standardprogrammen ist das Passwort vorgegeben. Wer dieses nicht ändert, macht es den Hackern besonders leicht.
  • Text + Buchstaben
    Sicher ist einen beliebigen Buchstaben / Zahlenkombination, die mindestens zehn Stellen lang sind und Sonderzeichen enthalten.
  • In der Länge liegt die Würze
    Je länger ein Passwort, umso sicherer. Wenn Sie ein cleveres Passwortsystem verwenden, ist auch ein sehr, sehr langes Passwort kein Problem.

„Verwenden Sie Passwörter mit mehr als 20 Zeichen!“

  • Sonderzeichen?
    Vermeiden Sie Sonderzeichen (etwa das @-Symbol, Gänsefüsschen, Hochkommas und Leerschläge) in Passwörter, die können bei einigen Systemen Probleme verursachen.
  • Eindeutig bleiben
    Verwenden Sie keine Buchstaben oder Ziffern, die mit ähnlichen Zeichen verwechselt werden können. Beispiele: O und 0 (grosses O und Null), I (eins oder kleines L).
  • Nicht verleihen
    Leihen Sie niemals Ihr Passwort an Kollegen aus. Auch, wenn es Ihre besten Freunde sind.
  • Passwortsystem
    Eine gute Methode, um ein Passwort zu erfinden, ist die Generierung eines Satzes. Dann nimmt man den ersten Buchstaben des Wortes. Ein Beispiel: Meine Tochter ist im März des Jahres 1971 geboren. Ergibt das Passwort „MTiiMdJ1971g“.
  • Wörterbücher meiden
    Verwenden Sie keine Begriffe aus Wörterbüchern (wie Duden), keine Namen oder Übernamen von Promis jeglicher Art.
  • Wenn aufgeschrieben, verstecken
    Das Passwort niemals offen herumliegen lassen (unter der Tastatur oder neben dem Bildschirm) oder weitergeben.
  • Höchste Sicherheit, nicht speichern
    Das Speichern der Passwörter an einem unsicheren Ort kann sehr gefähr­lich sein.
  • Alte Passwörter
    Sie sollten alte Passwörter zu einem späteren Zeitpunkt nicht wieder verwenden.
  • Vorsicht walten lassen
    Nie Eingaben unbeaufsichtigt auf dem Bildschirm stehen lassen, auch wenn sie mit Sternchen verdeckt sind. Es existieren Programme, die Passwortfelder in Klartext übersetzen.
  • Passwörter-Übersicht
    Um noch Herr über das Meer von Passwörtern zu sein, notieren Sie sich alle Passwörter und Parameter in einem Textverarbeitungsdokument oder in einer Tabellenkalkulation. Speichern Sie dieses Dokument mit einem Passwort nicht auf der Festplatte, sondern auf zwei getrennt gelagerten USB-Sticks. Ob Sie das Dokument noch ausdrucken, sei Ihnen überlassen.
  • Einmalige Passwörter
    Verwenden Sie nicht das gleiche Passwort für verschiedene Anwendungen.
  • Mitarbeiter-Passwörter
    Die Passwörter der Mitarbeiter müssen in der Passwort-Übersicht festgehalten werden. Aus Sicherheitsgründen müssen bestimmte Passwörter geändert werden, wenn ein Mitarbeiter den Betrieb verlassen hat.
  • E-Mails
    Notieren Sie die Kennwörter Ihrer E-Mail-Adressen. Bei E-Mails schreiben Sie aber nicht nur die Passwörter auf, sondern weitere Einstellungen, die man beim Einrichten einer E-Mail wissen muss: Benutzername, SMTP-Eintrag, POP3-Eintrag, Ports und weitere Parameter.
  • Notfallkonzept
    Stellen Sie einer sehr vertrauten Person ein Couvert mit Ihrer Passwortliste oder ein Masterpasswort für eine Datei zur Verfügung. Sollten Sie einmal schwer krank sein oder sterben, können sich die verbliebenen Zugänge zu Ihren Konten verschaffen. Weitere Details

Ein Passwortgenerator hilft beim Generieren

Sie haben keine Inspiration, um eigene Passwörter zu erstellen? In diesem Fall hilft ein Passwortgenerator: sicherespasswort.com
Sicherheits-Hinweis: Falls Sie den Dienst benutzen, verwenden Sie nicht das erzeugte Passwort, sondern ein leicht angepasstes Passwort.

Eine Alternative ist ein Passwortgenerator. Es stehen einige Sicherheitsoptionen zur Verfügung. Eine weitere Alternative ist dieser hier.

Die Passworttester

Mit dem Dienst howsecureismypassword.net können Sie testen, wie sicher das eigene Passwort ist und wie lange ein konventioneller PC benötigen würde, um das Passwort zu knacken.
Sicherheits-Hinweis: Falls Sie den Dienst testen, verwenden Sie nicht Ihr Originalpasswort, sondern ein leicht angepasstes Kennwort.

Wurde ich gehackt?

Diese Frage kann nicht abschliessend beantwortet werden. Doch Datenbanken können helfen, in die Sicherheitsforscher Zugangsdaten speichern, die nach Hackerangriffen und Datenlecks ins Web gelangt sind und dort frei auffindbar sind. Zwei dieser seriösen Datenbanken seinen hier genannt:

  • Firefox Monitor
    Der Monitor erkennt Bedrohungen für Ihre Online-Konten. Ihr detaillierter Bericht zeigt an, ob Informationen aus Ihren Online-Konten gestohlen wurden. Das Online-Tool warnt Sie, wenn Ihre Konten bei neuen Website-Verstössen angezeigt werden. Mit einem Abonnement erhalten Sie Ihren vollständigen Bericht, Datenlecks und Warnmeldungen frei Haus.
    monitor.mozilla.org
  • Hasso-Plattner-Institut
    Per HPI Identity Leak Checker können Sie mit Ihrer E-Mail-Adresse prüfen, ob Ihre persönlichen Daten bereits im Internet kursieren. Per Datenabgleich wird kontrolliert, ob Ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Web offengelegt wurde und missbraucht werden könnte.
    sec.hpi.uni-potsdam.de/ilc/search

„Sollten Sie betroffen sein, müssen Sie diese Passwörter unbedingt sofort ändern.“

Die Passwortverwaltung / Passwort-Management

Ein Beispiel für einen Cloud-Dienst: lastpass.com/de
Die kostenlose Version von Lastpass speichert alle Passwörter innerhalb des Browsers. Die Premiumversion speichert auch Passwörter ausserhalb des Browsers.
Beim Surfen brauchen Sie ständig Passwörter jeglicher Art, um sich bei einem Dienst einzuloggen. Hilfreich ist dabei ein Passwortmanager: Vergessen Sie nie wieder ein Passwort und melden Sie sich auf Ihren Websites mit einem einzigen Mausklick an. Einige Passwortmanager arbeiten via Browser (mit geschützter Übertragung) und diese stehen Ihnen auf jedem Computer mit Internetanschluss zur Verfügung. Praktisch, oder? Allerdings verfügt dieser Dienst über alle Ihre Passwörter und Sie müssen in ihn Vertrauen haben. Sollte der Dienst einmal gehackt werden … Doch nein, wenn es um die Sicherheit geht, lässt sich ein Unternehmen, wo es ausschliesslich um Sicherheit geht, nicht hacken! Wirklich?
Lastpass: Hacker hatten Zugriff auf Passwortspeicher und persönliche Informationen der User.

„Sicherer ist ein System, bei dem sich die Datenbank auf Ihrem Computer oder nopch besser, auf zwei USB-Sticks befindet.“

Weitere Alternativen:

  • Der Browser Google Chrome beinhaltet eine eigene Passwortverwaltung.
    Sie finden die Passwörter unter
    ➤ Klicken Sie auf die drei Punkte oben rechts im Chrome Browser
    ➤ Einstellungen
    ➤ Erweitert
    ➤ Passwörter verwalten
    ➤ Sofern Sie mit Ihrem Google-Account verbunden sind, werden Anbieter, Benutzernamen und verschlüsselte Passwörter angezeigt. Hier können Sie die Passwörter ansehen oder löschen.
  • Der Browser Mozilla Firefox beinhaltet eine eigene Passwortverwaltung.
    Sie finden die Passwörter unter
    ➤ Extras
    ➤ Einstellungen
    ➤ Datenschutz und Sicherheit
    ➤ Gespeicherte Zugangsdaten
    Hier können Sie die Passwörter ansehen, ändern oder löschen.
  • KeePass
    Sehr empfehlenswerte Open-Source-Software für einen Passwortgenerator mit Datenbank und deutschsprachiger Oberfläche, um die Zugangsdaten auf dem eigenen Computer respektive Stick zu speichern.
    keepass.info
    KeePass
  • Schweizer Anbieter I
    Speichern Sie alle wichtigen Dateien und Passwörter an einem hochsicheren Ort und greifen Sie jederzeit und überall darauf zu.
    securesafe.com/de
  • Schweizer Anbieter II
    Docsafe ist ein Produkt der Swisscom AG.
    Mit Docsafe können persönliche Dokumente und Passwörter gespeichert und verwaltet werden. Mit Docsafe haben Sie Ihre Dokumente immer im Zugriff und schnell im Überblick.
    docsafe.swisscom.com
  • Beliebter Passwortmanager
    Kostenpflichtiger Passwortmanager, der alle Wünsche rund um Kennwörter erfüllt. Er eignet sich speziell auch für Teams. Das Programm speichert nicht nur Passwörter, sondern auch Kreditkarten-Daten und Software-Lizenzen.
    Mit der Software werden alle Passwörter auf Ihrem Smartphone in einer verschlüsselten Datenbank gespeichert. Sollte Ihr Smartphone gestohlen werden, kann der Dieb Ihre Passwörter nicht einsehen.
    1password.com/de/
  • All meine Passwörter
    Passwort Manager zur sicheren Verwaltung Ihrer Passwörter und Zugangsdaten auf dem eigenen Computer.
    alle-meine-passworte.de
  • Robofrom
    Mit einem einzigen Klick bei passwortgeschützten Webseiten anmelden.
    roboform.com/de
  • Bitwarden (E)
    Passwort-Management in der Grundversion kostenfrei, es gibt entsprechende Premiumversionen.
    bitwarden.com

Die Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung dient dem Identitätsnachweis eines Benutzers mittels der Kombination zweier verschiedener und unabhängiger Faktoren. Etwa erst die Kombination von Bankkarte und PIN ermöglicht eine Transaktion. Die Zwei-Faktor-Authentifizierung ist erfolgreich, wenn beide benötigten Faktoren zusammen verwendet werden und korrekt sind.

Passkeys

Passkeys repräsentieren eine moderne Authentifizierungsmethode, die darauf abzielt, klassische Passwörter zu ersetzen. Sie sind eine sicherere und benutzerfreundlichere Option im Vergleich zu traditionellen Passwörtern. Nachfolgend finden Sie eine Erläuterung der Funktionsweise von Passkeys:

Generierung und Speicherung
Ein Passkey wird direkt auf Ihrem Gerät generiert und dort auch aufbewahrt, anstatt auf einem externen Server. Dieser Passkey setzt sich aus einem speziellen, kryptografischen Schlüsselpaar zusammen: einem öffentlichen und einem privaten Schlüssel.

Anmeldung bei einem Service
Bei der Registrierung auf einem Online-Service übermittelt Ihr Gerät den öffentlichen Schlüssel an den Service. Der private Schlüssel verbleibt dabei sicher auf Ihrem Gerät.

Authentifizierungsprozess
Zur Anmeldung fordert der Online-Service Ihr Gerät auf, die Identität mittels des privaten Schlüssels zu bestätigen. Dies erfolgt meist über biometrische Verfahren (z. B. Fingerabdruck oder Gesichtserkennung) oder mittels einer Geräte-PIN.

Sicherheits- und Datenschutzaspekte
Passkeys gelten als sicherer als traditionelle Passwörter, da der private Schlüssel ausschliesslich auf Ihrem Gerät verbleibt und keine biometrischen Daten an den Dienst gesendet werden. Die Einzigartigkeit des Schlüsselpaares für jeden Service erschwert es Hackern zudem, Zugangsdaten zu entwenden.

Nutzung über verschiedene Geräte
Durch den Einsatz von Cloud-Synchronisierungsdiensten lassen sich Passkeys problemlos auf unterschiedlichen Geräten verwenden, ohne dabei Einbussen in der Sicherheit hinnehmen zu müssen.

Passkeys markieren einen bedeutenden Fortschritt in Richtung einer sichereren und anwenderfreundlichen digitalen Umgebung. Sie beseitigen die Mängel herkömmlicher Passwörter, wie deren leichte Entschlüsselbarkeit und die Anfälligkeit für Phishing-Attacken.

Passkeys sind für Windows-, Apple- und Android-Geräte verfügbar. Sie haben jetzt die Möglichkeit, sich zum Beispiel bei Ihrem Google-Konto mit Ihrem Fingerabdruck, einem Gesichtsscan oder einer PIN statt eines herkömmlichen Passworts anzumelden.

Android: So erstellt ihr einen Passkey.

Eine Beispieldatei

Es gibt spezielle Programme, um Passwörter zu verwalten. Es geht aber einfacher. Beispielsweise, indem Sie die Kennwörter mit einer Tabellenkalkulation verwalten. Hier erhalten Sie ein Muster in Form einer Excel-Datei (16 KB). Zur Sicherheit sollten Sie die Datei nicht auf dem Computer speichern, sondern auf einem USB-Stick.

Wenn Sie Passwörter anbieten müssen

Weisen Sie die Benutzer darauf hin, dass sie für jeden Dienst ein separates Passwort benutzen müssen. Dieses Passwort darf keinen Aufschluss darüber geben, wie die anderen Passwörter desselben Benutzers bei anderen Diensten heissen könnten. Sorgen Sie dafür, dass Ihre Passwortrichtlinien klar definiert sind und die Benutzer dazu angehalten werden, sichere Passwörter zu verwenden.

Erlauben Sie Passwörter von bis zu 64 Zeichen. Damit können die Benutzer einen kurzen Satz eingeben, anstelle eines schnöden Passworts.

Beschränken Sie die Anzahl der Anmeldeversuche pro Benutzer und blockieren Sie Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen.

Bieten Sie Ihren Benutzern eine einfache Zwei-Faktor-Authentisierung an.

Video: Sichere Passwörter knacken mit Tobias Schrödel

 

Autor: Walter B. Walser, kundennutzen.ch

Verfolgen Walter B. Walser:

Online-Mar­ke­ting-Mana­ger

Seit 1995 hat Walter B. Walser Erfahrung mit dem Internet. Im Jahr 2001 gründete er das Magazin kundennutzen.ch, das sich auf praktisches Online-Marketing, Webdesign und Online-Tools konzentriert. Als Agenturleiter hat er früher Unternehmern geholfen, die Effektivität ihrer Website um mindestens 100% zu steigern. Ferner beriet Walser kleine Unternehmen bei ihrem Internetauftritt und spezialisierte sich auf die Pflege und Optimierung von Websites. Zu seinen privaten Interessen gehören Hunde, Umweltschutz und Geopolitik.