Kürzlich hatte ich ein Telefonat das mich davon überzeugte etwas zum Thema "Umgang mit Passwörtern" zu schreiben.
Passwort-Sicherheit
Ich war am Telefon mit meiner Mutter, denn wir wollten den Familien-Chat weg von WhatsApp auf Signal verlegen. Leider ging das bei ihr nicht so besonders gut, und sie erklärte mir:
"Ich habe den Link [zu Signal] geklickt, aber der[ihr Mobiltelefon] wollte dann eine ID, und die hatte ich nicht, dann habe ich etwas herumgeklickt und er wollte mein Google-Passwort, aber danach ging es immer noch nicht!"
Auf diese Art kommen Hacker an Passwörter. Man klickt hier und da und sieht irgendwann einen vertraut aussehenden Bildschirm der das Passwort verlangt.
Glücklicherweise war es bei meiner Mutter kein Problem, denn a) war es die echte Google-Seite gewesen und b) wusste sie auch dieses Passwort nicht mehr. Sie hat aber vermutlich genug Fehlversuche eingegeben um einem Hacker eine ganz gute Idee zu geben wie ihr Passwort aussieht.
Das Telefonat hat mich dann inspiriert diesen Artikel zu schreiben. Statt Passworten gilt das genauso für PINs, Kreditkartennummern und alles Andere was geheim bleiben soll.
Passwort nur eingeben wenn man an der richtigen Stelle ist
Das Bild oben scheint die Seite der Kreissparkasse zu zeigen. Tatsächlich ist es aber ein Fake - erkennbar an dem "Nicht sicher" und der leicht veränderten Adresse "kek-gp.de" statt "ksk-gp.de". Wer dort seine Kontonummer und PIN angibt läuft Gefahr diese an Verbrecher weiter zu geben.
Und selbst wenn die Überweisungen noch mit einer unabhängigen PIN gesichert sind kann man aus der Kontohistorie vermutlich genug Informationen ziehen um bei anderen Unternehmen Zugang zu erlangen. "Hallo Amazon, hier ist XYZ, ich habe einen Account bei Ihnen aber mein Kennwort vergessen und auch die Mail geht nicht mehr. Ich kann Ihnen aber sagen dass ich am ... eine Zahlung in Höhe von ... an ... geleistet habe, können sie mich bitte freischalten?". Mit etwas Geschick kann man sich da bestimmt durchquatschen.
Also vor einer Eingabe immer die Adresse prüfen, und ob idealerweise HTTPS: aktiv ist, also statt des "Nicht sicher" ein Schloß oder etwas Ähnliches erscheint.
Erscheint in der Adresszeile etwas Merkwürdiges empfiehlt es sich den Browser zu schließen, neu zu öffnen und die Adresse manuell erneut einzugeben. Es ist durchaus denkbar dass man auf eine andere Seite umgeleitet wird, aber es sollte irgendein Zusammenhang bestehen. "login.ksk-gp.de" ist sicherlich in Ordnung, "login.gp.ksk.banken.de" ist zum Beispiel schon etwas verdächtig, denn wem gehört die Domain "banken.de"? Es ist zwar durchaus denkbar dass es einen Dienstleister gibt der EDV-Dienstleistungen für Banken anbietet und von der KSK beauftragt worden ist, aber hier wäre ich schon einmal vorsichtig.
Verschiedene Passwörter verwenden
Man sollte auch auf jeder Seite unterschiedliche Passwörter verwenden, und zwar so dass man kein Muster erkennen kann. Wenn ein Hacker ein Passwort stiehlt und es als "MeinGeheimesPasswort_Facebook" erkennt ist naheliegend auch "MeinGeheimesPasswort_KSK" oder ""MeinGeheimesPasswort_Bank" auszuprobieren.
Lieber längere als komplizierte Passwörter
Jedes Passwort kann geknackt werden indem man einfach alle möglichen Möglichkeiten durchprobiert. Je länger das Passwort ist desto länger dauert das also auch. Unübliche Zeichen wie Umlaute, §,%, & und so weiter helfen da auch, erhöhen die Komplexität aber nicht so sehr wie ein langes Passwort. Sie machen es aber schwerer sich das Passwort zu merken.
Besser ist es ein paar zufällige Worte zu verwenden: "Blau Regen Telefon Facebook" oder "correct horse battery staple".
Ich hatte ein relativ kompliziertes, aber kurzes Passwort auf diesem Server und fand ihn eines Tages gehackt vor. Seitdem habe ich ein sehr langes Passwort und obwohl alle paar Sekunden jemand versucht sich einzuloggen haben sie es noch nicht geschafft.
Leider sind inzwischen die meisten Anforderungen so dämlich dass das nicht geht. "Ihr Passwort muss mindestens drei Stellen lang sein, Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen und ein Ölgemälde von Picasso enthalten".
Eine Lösung hierfür sind Passwort-Manager, ich verwende zum Beispiel KeePass. Für viele meiner Accounts kenne ich die Passwörter gar nicht, es läuft alles über dieses Programm.
Hilft l337sp34k?
Als "Leetspeak" bezeichnet man das Ersetzen von Buchstaben durch Ziffern, entweder anhand der Ähnlichkeit (eine 7 sieht etwas wie ein T aus) oder weil sie auf der gleichen Taste liegen (€ statt E oder @ statt Q).
Als alleinige Sicherheitsmaßnahme ist das uneignet da viele Angriffsprogramme diese "Regeln" auch kennen und testen, aber um den Bestimmungen der Passwortkomplexität zu genügen setze ich sie immer mal wieder ein. "B|4u R3g3n T3l3f0n F4c3b00k" als Variante des obigen Begriffs der vermutlich vielen Seiten gefallen dürfte.
Sicherheitsfragen
Ein großes Risiko sind die sogenannten Sicherheitsfragen. Wer die Antwort auf zwei Fragen kennt ist automatisch der Besitzer des geschützten Gutes, zum Beispiel des Paypal-Accounts. Und leider sind diese Fragen oft vorgegeben.
"Was ist der Geburtsname Ihrer Mutter?", "Was ist Ihre Lieblingsfarbe?", "Was ist Ihre Aufgabe?", "Was ist die Fluggeschwindigkeit einer unbeladenen Schwalbe?"
Die Antworten auf diese Fragen kann man erraten oder im schlimmsten Fall sogar durch Googlen herausfinden.
Hin und wieder stößt man auch auf merkwürdige Probleme. So wollte eine Seite als Sicherheitsfrage den Geburtsnamen meiner Mutter. Als ich einen zufälligen Text eingab lehnte die Seite das ab da sie mindestens sechs Zeichen erwartet. Der Name hat aber nur fünf Zeichen, was nun?
Man muss also in der Regel sowieso irgendwelche Kompromisse eingehen, warum dann nicht gleich einen vernünftigen Wert verwenden?
Darum sollte man dort auf keinen Fall ehrliche Antworten eingeben. Meine Lieblingsfarbe? "Hattenhofen". Name meiner ersten Katze? "Mistvieh, elendes!". Oder eine beliebige Buchstaben-Zahlenkombination. Ich würde gerne das Gesicht des Mitarbeiters von Paypal sehen wenn er meinen angeblichen Geburtsort sieht: "EtzLPJa5Xt#;ZlXgg,Cy!|w"PIzP*T/7" (nicht mein echtes Passwort :P).
Aber wie soll man sich das alles merken?
Wie gesagt, ich speichere alle Daten in einem Programm namens KeePass. Dieses habe ich auf meinem Telefon, einem USB-Stick und verschiedenen Sicherungsmedien. Die Daten sind durch ein Kennwort geschützt das man tunlichst nicht vergessen sollte, denn die Datenbank ist verschlüsselt und kann nicht so einfach gelesen werden.
Alternativen dazu wären:
Merken
Sich alle Passwörter zu merken wäre natürlich ideal, aber das ist recht schwierig. Ich hatte eine Zeitlang versucht ein gemeinsames Passwort für alles zu verwenden und den Namen des Dienstes anzufügen wie bei "MeinGeheimesPasswort_KSK" oben, aber das scheiterte recht schnell an den verschiedenen Bedingungen die die verschiedenen Seiten an das Passwort stellten.
Ein weiteres Problem ist ein fehlendes Notfallverfahren. Was passiert wenn man vom Bus angefahren wird und der Ehegatte dringen Zugang auf das Online-Banking benötigt?
Aufschreiben
Ich halte altmodisches "Aufschreiben" immer noch für die beste Variante. Ich habe bei meinen wichtigen Unterlagen einen Umschlag mit den wichtigsten Passwörtern. Die Liste gehört natürlich nicht an das schwarze Brett sondern in ein kleines Buch oder Ähnliches nahe des Computers.
Natürlich kann ein Einbrecher diese Liste entwenden, aber dann muss er schon physisch in der Wohnung sein. Und dann hat man noch ganz andere Probleme jenseits von geklauten Internetzugängen.
Nicht machen sollte man das natürlich in der Firma, denn dort haben zu viele Personen Zugriff.
Passwortmanager
Nachteile der schriftlichen Listen sind natürlich dass sie nur an einer Stelle sein können oder, wenn man sie immer mal wieder abschreibt, nicht mehr aktuell sein können. Sind die Passwörter zu Hause hat man im Urlaub schlechte Karten seine Mails lesen zu können. Kippt der Kaffee um und macht die Liste unleserlich - viel Glück dabei sich an X Stellen wieder anzumelden.
Darum verwende ich einen Passwortmanager, und zwar bewußt einen der nicht mit der Cloud arbeitet. So kann ich die verschlüsselte Datei an verschiedene Stellen legen und habe sie so immer zur Verfügung sowie als Datensicherung sollte etwas kaputt gehen.
Natürlich kann sie gestohlen werden, aber ich hoffe mal dass die Diebe nicht über potente Entschlüsselungssysteme verfügen.
Regelmäßig ändern?
Der Windows-Server verlangt in der Standard-Einstellung dass man sein Passwort regelmäßig ändert. Ich würde darauf eher verzichten. Lieber ein richtig gutes, sicheres Passwort das man sich merken kann als "Passw0rt67" nach der 67ten Änderung.
Weitere Links:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html
https://www.datenschutz-praxis.de/fachnews/umgang-mit-passwoertern-aufsichtsbehoerde-gibt-tipps/