Alles was Sie rund um Pass­­wörter wis­sen müs­­sen

mit Keine Kommentare

Fach­beitrag: Pass­wort und Sicher­heit

Passwörter respektive Kenn­wörter sind im Internet allge­gen­wär­tig. Deshalb er­hal­ten Sie in die­sem Beitrag Tipps für die Aus­wahl guter Pass­wörter und wie Sie mit diesen Umgehen sollten. Zu­dem er­hal­ten Sie eine Da­tei, mit der Sie Ihre Kenn­wörter ver­walten können.

Informationen gemäss Stand vom 31.12.2022

Passwort

Inhalts­ver­zeich­nis: Pass­wort-Hand­ling

Um welche Pass­wörter geht es kon­kret?

Als Firma muss man die Pass­wörter der Mitar­beiter auf­zeich­nen. (Sie müssen an die Daten Ihrer Buch­haltung kom­men, selbst wenn der Buch­halter einen Todes­fall hatte oder krank ist.)

  • Eigener Server
    ➤ Administration
    ➤ FTP
    ➤ MySQL-Datenbank
    ➤ Webmail
    ➤ E-Mail-Adressen
    ➤ Personen mit Zugang zum Content-Management-System
  • Eigene Hardware und Software
    ➤ Administrator der Computer
    ➤ Weitere Benutzer der Computer
    ➤ Weitere Benutzer im Intranet
    ➤ Zubehör wie Router
    ➤ Handy
    ➤ Sämtliche Software mit reglementiertem Zugang
  • Fremde Anbieter
    ➤ DSL, Internetanbieter
    ➤ Social Media Portale
    ➤ Online-Tools im Web
    ➤ Websites und Portale aller Art
    ➤ Adressen-Datenbanken
  • Lizenzen
    Zudem müssen alle Lizenz­codes notiert werden. Hat man einen neuen Computer, so muss man bei vielen Pro­grammen den Lizenz­code wie­der ein­geben.

Passworthandling

Tipps und Tricks rund um Passwörter

  • Durchschaubarkeit
    Benutzername respektive Login-Name und Passwort sind iden­tisch. Das ist gerade in einem Dis­kussions­forum un­güns­tig, schliesslich ist der Benutzer­name sofort sicht­bar.
  • Passwort zum Thema
    Das Passwort wird dem Thema angepasst, um das es geht. Im Chat-Forum lautet das Pass­wort „chat“ im Forum „forum“ und so weiter.
  • Schimpfwörter
    Diese sind als Kennwörter nicht selten. Also tunlichst ver­meiden.
  • Offensichtliches
    Vermeiden Sie leicht durch­schaubare Begriffe. Beispiele: „passwort“, „pass“, „password“, „geheim“ oder „system“.
  • Bekannte Namen
    Offenkundige Zusammenhänge wie zum Beispiel für den Usernamen „Micky“ das Passwort „Maus“.
  • Privates vermeiden
    Am häufigsten sind Pass­wörter zu finden, die einen privaten Bezug haben. Beispielsweise der Name der Freun­din/des Freundes oder bekannter Fernseh­stars.
  • Systemeinstellung sofort än­dern
    Bei vielen Standard­pro­gram­men ist das Passwort vorge­geben. Wer dieses nicht ändert, macht es den Hackern besonders leicht.
  • Text + Buchstaben
    Sicher ist eine beliebige Buch­staben / Zahlen­kombination, die mindestens zehn Stellen lang sind und Sonder­zeichen enthalten.
  • In der Länge liegt die Würze
    Je länger ein Passwort, umso sicherer. Wenn Sie ein cleveres Passwortsystem verwenden, ist auch ein sehr, sehr langes Passwort kein Problem.
  • Sonderzeichen?
    Vermeiden Sie Sonder­zeichen (beispielsweise das @-Symbol, Gänse­füsschen, Hochkommas und Leerschläge) in Pass­wörter, die können bei einigen Systemen Pro­bleme verur­sachen.
  • Eindeutig bleiben
    Verwenden Sie keine Buch­staben oder Ziffern, die mit ähnlichen Zeichen verwechselt werden können. Beispiele: O und 0 (grosses O und Null), I (eins oder kleines L).
  • Nicht verleihen
    Leihen Sie niemals Ihr Pass­wort an Kollegen aus. Auch wenn es Ihre besten Freunde sind.
  • Passwortsystem
    Eine gute Methode, um ein Passwort zu erfinden, ist die Generierung eines Satzes. Dann nimmt man den ersten Buch­staben des Wortes. Ein Beispiel: Meine Tochter ist im März des Jahres 1971 gebo­ren. Ergibt das Passwort „MTiiMdJ1971g“.
  • Wörterbücher meiden
    Verwenden Sie keine Begriffe aus Wörter­büchern (wie Du­den), keine Namen oder Übernamen von irgend­welchen Promis.
  • Wenn aufgeschrieben, ver­stecken
    Das Passwort niemals offen rum­liegen lassen (unter der Tastatur oder neben dem Bildschirm) oder wei­ter­ge­ben.
  • Höchste Sicherheit, nicht speichern
    Das Speichern der Pass­wörter an einem unsicheren Ort kann sehr gefähr­lich sein.
  • Alte Passwörter
    Sie sollten alte Passwörter zu einem späteren Zeitpunkt nicht wieder verwenden.
  • Vorsicht walten lassen
    Nie Eingaben unbeaufsichtigt auf dem Bildschirm stehen lassen, auch wenn sie mit Sternchen verdeckt sind. Es exis­tieren Programme, die Passwort­felder in Klartext übersetzen.
  • Passwörter-Übersicht
    Um noch Herr über das Meer von Passwörter zu sein, notieren Sie sich alle Pass­wörter und Para­meter in einem Text­verar­beitungs­dokument oder in einer Ta­bellen­kalkulation. Speichern Sie dieses Dokument mit einem Pass­wort nicht auf der Festplatte, sondern auf zwei getrennt gelagerten USB-Sticks. Ob Sie das Dokument noch aus­drucken, sei Ihnen über­lassen.
  • Einmalige Passwörter
    Verwenden Sie nicht das gleiche Passwort für verschiedene Anwendungen.
  • Mitarbeiter-Passwörter
    Die Passwörter der Mitar­beiter müssen in der Passwort-Über­sicht festge­halten werden. Aus Sicher­heits­grün­den müs­sen be­stimmte Passwörter geän­dert wer­den, wenn ein Mitar­beiter den Betrieb ver­las­sen hat.
  • E-Mails
    Notieren Sie die Kenn­wörter Ihrer E-Mail-Adressen. Bei E-Mails schreiben Sie aber nicht nur die Passwörter auf, son­dern wei­tere Einstel­lungen, die man beim Einrichten einer E-Mail wissen muss: Benutzername, SMTP-Eintrag, POP3-Eintrag, Ports und wei­tere Parameter.
  • Notfallkonzept
    Stellen Sie einer sehr ver­trau­ten Person ein Couvert mit Ihrer Passwort­liste oder ein Master­passwort für eine Da­tei zur Verfügung. Sollten Sie einmal schwer krank sein oder sterben, können sich die Ver­blie­benen Zugang zu Ihren Konten verschaffen. Weitere Details

Ein Pass­wort­gene­rator hilft beim Ge­ne­rieren

Sie haben keine Inspiration um eigene Passwörter zu erstellen? In diesem Fall hilft ein Passwort­generator: sicherespasswort.com
Sicherheits-Hinweis: Falls Sie den Dienst benutzen, verwenden Sie nicht das erzeugte Passwort, son­dern ein leicht ange­passtes Pass­wort.

Eine Alternative ist ein Pass­wort­generator. Es stehen einige Sicherheitsoptionen zur Ver­fü­gung.

KlickTipp E-Mail-Marketing

Die Passworttester

Mit dem Dienst howsecureismypassword.net können Sie testen, wie sicher das eigene Passwort ist und wie lange ein konventioneller PC brauchen würde, um das Pass­wort zu knacken.
Sicherheits-Hinweis: Falls Sie den Dienst testen, verwenden Sie nicht Ihr Originalpasswort, son­dern ein leicht ange­passtes Kennwort.

Mit einem weiteren Dienst passwordmeter.com steht ein weiterer Passworttester zur Verfügung. Das Programm wer­tet die eingegeben Zeichen statis­tisch aus.

Wurde ich ge­hackt?

Diese Frage kann nicht ab­schlies­send beantwortet wer­den. Doch Datenbanken können hel­fen, in die Sicher­heits­forscher Zugangsdaten speichern, die nach Hacker­an­griffen und Da­tenlecks ins Web gelangt sind und dort frei auf­find­bar sind. Zwei die­ser seriösen Datenbanken seinen hier genannt:

  • Firefox Monitor
    Der Monitor erkennt Bedro­hungen für Ihre Online-Konten. Ihr detaillierter Bericht zeigt an, ob Informationen aus Ihren Online-Konten gestohlen wurden. Das Online-Tool warnt Sie, wenn Ihre Konten bei neuen Website-Ver­stös­sen ange­zeigt werden. Mit einem Abonnement erhalten Sie Ihren vollständigen Bericht, Datenlecks und Warn­me­ldungen frei Haus.
    monitor.firefox.com
  • Hasso-Plattner Institut
    Per HPI Identity Leak Checker können Sie mit Ihrer E-Mail-Adresse prüfen, ob Ihre persönlichen Daten bereits im Internet kursieren. Per Datenabgleich wird kontrolliert, ob Ihre E-Mail-Adresse in Verbindung mit anderen per­sön­lichen Daten im Web offengelegt wurde und missbraucht werden könnte.
    sec.hpi.uni-potsdam.de/ilc/search

„Sollten Sie betroffen sein, müs­sen Sie diese Passwörter unbe­dingt sofort ändern.“

Die Passwort­ver­wal­tung / Pass­wort-Mana­gement

Ein Beispiel für einen Clouddienst: lastpass.com/de
Die kostenlose Version von Lastpass speichert alle Passwörter innerhalb des Browsers. Die Premiumversion speichert auch Passwörter ausserhalb des Browsers.
Beim Surfen brauchen Sie stän­dig irgend­welche Pass­wörter, um sich bei einem Dienst einzuloggen. Hilfreich ist dabei ein Passwort­manager: Vergessen Sie nie wieder ein Passwort und melden Sie sich auf Ihren Websites mit einem ein­zigen Maus­klick an. Einige Passwort­manager arbeiten via Brow­ser (mit geschützter Über­tra­gung) und diese ste­hen Ihnen auf jedem Computer mit Internet­anschluss zur Ver­fü­gung. Praktisch, oder? Allerdings verfügt dieser Dienst über alle Ihre Passwörter und Sie müssen in ihn Ver­trauen haben. Sollte der Dienst einmal gehackt werden … Doch nein, wenn es um die Sicherheit geht lässt sich ein Unter­nehmen, wo es aus­schliess­lich um Sicher­heit geht, nicht hacken! Wirk­lich?
Lastpass: Hacker hatten Zugriff auf Passwortspeicher und persönliche Informationen der User.

Sicherer ist da schon ein System, wo sich die Datenbank auf Ihrem Computer oder einem Stick befindet.

Weitere Alternativen:

  • Der Browser Google Chrome beinhaltet eine eigene Passwortverwaltung.
    Sie finden die Passwörter unter
    ➤ Klicken Sie auf die drei Punkte oben rechts im Chrome Browser
    ➤ Einstellungen
    ➤ Erweitert
    ➤ Passwörter verwalten
    ➤ Sofern Sie mit Ihrem Google-Account verbunden sind, werden Anbieter, Benutzernamen und verschlüsselte Pass­wör­ter angezeigt. Hier können Sie die Pass­wörter ansehen oder löschen.
  • Der Browser Mozilla Firefox beinhaltet eine eigene Passwortverwaltung.
    Sie finden die Passwörter unter
    ➤ Extras
    ➤ Einstellungen
    ➤ Datenschutz und Sicherheit
    ➤ Gespeicherte Zugangsdaten
    Hier können Sie die Passwörter ansehen, ändern oder löschen.
  • KeePass
    Sehr empfehlenswerte Open Source Software für einen Passwort Generator mit Datenbank und deutsch­sprachi­ger Oberfläche, um die Zugangsdaten auf dem eigenen Computer respektive Stick zu speichern.
    keepass.info
    KeePass
  • Schweizer Anbieter I
    Speichern Sie alle wichtigen Dateien und Passwörter an einem hoch sicheren Ort und greifen Sie jederzeit und über­all da­rauf zu.
    securesafe.com/de
  • Schweizer Anbieter II
    Docsafe ist ein Produkt der Swisscom AG.
    Mit Docsafe können persönliche Dokumente und Passwörter gespeichert und verwaltet werden. Mit Docsafe ha­ben Sie Ihre Dokumente immer im Zugriff und schnell im Überblick.
    docsafe.swisscom.com
  • Beliebter Passwortmanager
    Kostenpflichtiger Passwortmanager, der alle Wünsche rund um Kennwörter erfüllt. Er eignet sich speziell auch für Teams. Das Programm speichert nicht nur Passwörter, sondern auch Kreditkarten-Daten und Software-Lizenzen.
    Mit der Software werden alle Passwörter auf Ihrem Smartphone in einer verschlüsselten Datenbank gespeichert. Sollte Ihr Smartphone gestohlen werden, kann der Dieb Ihre Passwörter nicht einsehen.
    1password.com/de/
  • All meine Passwörter
    Passwort Manager zur sicheren Verwaltung Ihrer Passwörter und Zugangsdaten auf dem eigenen Computer.
    alle-meine-passworte.de
  • Robofrom
    Mit einem einzigen Klick bei passwortgeschützten Webseiten anmelden.
    roboform.com/de
  • Bitwarden (E)
    Passwort-Management in der Grundversion kostenfrei, es gibt entsprechende Premiumversionen.
    bitwarden.com

Die Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung dient dem Identitätsnachweis eines Benutzers mittels der Kombination zweier ver­schiedener und unabhängiger Faktoren. Zum Beispiel erst die Kom­bination von Bankkarte und PIN ermöglicht ei­ne Trans­aktion. Die Zwei-Faktor-Authentifizierung ist erfolgreich, wenn beide benötigten Faktoren zusammen verwendet werden und korrekt sind.

Eine Beispieldatei

Es gibt spezielle Programme, um Passwörter zu verwalten. Es geht aber einfacher. Beispiels­weise indem Sie die Kennwörter mit einer Tabellen­kalkulation verwal­ten. Hier erhalten Sie ein Muster in Form einer Excel-Datei (16 KB). Zur Sicherheit sollten Sie die Datei nicht auf dem Computer speichern, sondern auf einem USB-Stick.

Wenn Sie Passwörter anbieten müssen

Weisen Sie die Benuzer darauf hin, dass sie für jeden Dienst ein separates Passwort benutzen müssen. Dieses Pass­wort darf keinen Aufschluss darüber geben, wie die anderen Passwörter desselben Benutzer bei anderen Dienst­en heissen könnten. Sorgen Sie dafür, dass Ihre Passwort­richt­linien klar definiert sind und die Benutzer dazu ange­halten werden, sichere Passwörter zu verwenden.

Erlauben Sie Passwörter von bis zu 64 Zeichen. Damit können die Benutzer einen kurzen Satz eingeben, anstelle ei­nes schnöden Passwortes.

Beschränken Sie die Anzahl der Anmelde­versuche pro Benutzer und blockieren Sie Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmelde­versuchen.

Bieten Sie Ihren Benutzern eine einfache Zwei-Faktor-Authentisierung an.

Video: Sichere Pass­wörter knacken mit Tobias Schrödel

 

Autor: Walter B. Walser, kundennutzen.ch

Verfolgen Walter B. Walser:

Online-Mar­ke­ting-Mana­ger

Walser arbeitet seit 1995 mit dem In­ter­net. Er ist Gründer des pra­xis­na­hen On­li­ne-Mar­ke­ting- und Online-Tools-Ma­ga­zins kundennutzen.ch, Autor und Online-Marketing-Manager. Er half frü­her als Agenturleiter Un­ter­neh­mern 100% mehr aus Ihrer Web­site heraus­zu­holen. Er hat KMU in Bezug auf deren Web­auf­tritt be­raten und sich auf die Web­si­te-Pfle­ge, Web­si­te-Opti­mie­rung und das On­li­ne-Mar­ke­ting mit On­li­ne-Tools spe­zia­li­siert. Spezielle Interessen: Umweltschutz und Geopolitik.