Tryption.ch

Pentesting & Consulting

Ändere-Dein-Passwort-Tag – Was zu vermeiden ist

Morgen, dem 01. Februar 2019 findet wieder der „Ändere-Dein-Passwort-Tag“ statt. Jedoch kann das Ändern eines Passwortes kontraproduktiv ausfallen, wenn man sich nicht bemüht. Dieser Artikel zeigt die Fehler auf, die bei einem massenhaften Ändern von Passwörtern gemacht werden und welche Strategien man verwenden kann, damit dieser Tag die Sicherheit im Internet verbessert.

Ein Problem, das alle betrifft: Passwörter werden gestohlen und veröffentlicht. Viele Internetnutzer sind bereits von einem oder mehreren Datenlecks betroffen. Da scheint es sinnvoll, von Zeit zu Zeit alle Passwörter zu ändern. Jedoch sollte man bei einem solchen Wechsel einiges beachten.

Die häufigsten Fehler

  1. Bei allen Diensten wird das gleiche Passwort verwendet
    • Oft wird das gleiche Passwort bei allen Diensten, bei denen man registriert ist, verwendet. Das Problem hierbei ist, dass wenn das Passwort von einer Seite gestohlen wird, auch gleich alle anderen Dienste in Gefahr sind. Daher sollte man bei jeder Seite ein anderes Passwort verwenden (daher sollte dieser Tag eigentlich Ändere-deine-Passwörter-Tag heissen…).
  2. Das neue Passwort ist schlechter als das alte
    • Es bringt nichts, ein potenziell gutes Passwort zu einem schlechteren zu ändern…
  3. Das Passwort beinhaltet Namen, Geburtstage etc.

Viele Leute verwenden immer das gleiche Passwort. Dieses ist oft nicht nicht einmal sicher (oft ein Wort mit einer zweistelligen Zahl dahinter). Das ist der schlimmste Fehler, der begangen wird. Der 1. Februar ist ein Tag, an dem man das ändern kann.

Ein neues Passwort setzen

Die Grundregeln

Damit ein Passwort sicher ist, sollte man diese Richtlinien einhalten:

Das Passwort sollte…

  • nicht aus einzelnen verständlichen Worten bestehen
  • keine privaten Informationen enthalten
  • mehr als 10 Zeichen lang sein
  • keine Zeichenfolgen enthalten (wie z. B. 123456 oder qwertz)
  • nur für einen Dienst verwendet werden
  • Und ganz wichtig: Das Passwort darf nicht in einer öffentlichen Liste vorkommen!

Nun zu den zwei letzten und wohl wichtigsten Punkten. Gestohlene Passwörter landen meist in einer Liste, die öffentlich zugänglich ist. Ein Angreifer kann nun versuchen, sich mit diesen Zugangsdaten Zugang zu anderen Diensten verschaffen. Wenn man also immer das gleiche Passwort verwendet, kann der Angreifer ohne grossen Aufwand auf diese Konten zugreifen.

Ob ein Passwort in einer solchen Liste ist, lässt sich auf https://haveibeenpwned.com überprüfen. Auf dieser Seite kann man auch überprüfen, ob sich die Mailadresse in einem solchen Datenleck befindet.

Passwörter ändern mit System

Man sollte sich zuerst ein gutes System ausdenken bevor man beginnt, die Passwörter zu ändern.

ihadtochangethis55 als Passwort in einer Passwortliste
Wenn man das Passwort zu einem schlechteren ändert, bringt das meist nicht viel! Solche Passwörter wie auf dem Bild sollte man vermeiden (Quelle: Dieses Passwort stammt aus der „Collection 1 „-Sammlung, die erst vor kurzem veröffentlicht wurde)

Es besteht die Gefahr, dass man das Passwort vergisst, nachdem man es geändert hat. Das liegt meist daran, dass das Passwort zu kompliziert ist. Jedoch gibt es ein paar Tricks, um das zu vermeiden. Entweder man schreibt sie auf oder man versucht, die Passwörter einfach – aber trotzdem sicher – zu gestalten.

Die Passwörter aufschreiben

Um zu vermeiden, dass man das Passwort wieder nach einem Tag wechseln muss, weil man es vergessen hat, kann man sich das Passwort separat aufschreiben oder speichern.

Bei diesen Methoden muss man jedoch aufpassen: Einfach nur eine Datei mit allen Passwörtern auf dem Computer zu speichern oder die Passwörter mit einem Post-It an den Bildschirm zu kleben ist sehr unsicher und ist zu vermeiden!

Die wohl sicherste Umsetzung dieser Methode ist die Benutzung eines Passwortmanagers. In einem Passwortmanager lassen sich alle Passwörter verschlüsselt auf dem Computer speichern. Geschützt wird dieser durch ein Master-Passwort. Die meisten Passwortmanager beinhalten auch noch viele andere Funktionen, wie zum Beispiel die Erstellung eines Zufallspasswortes, die Überprüfung mit der haveibeenpwned-Datenbank und vieles mehr. Es gibt viele Unterschiedliche solcher Programme, wie z.B https://1password.com oder https://bitwarden.com. Eine Google-Suche hilft bei der Wahl weiter.

Wer keinen solchen Dienst in Anspruch nehmen will, kann die Passwörter auch direkt auf ein Blatt Papier aufschreiben. Der Vorteil hierbei ist, dass das ganze vollkommen Offline ist, und dadurch auch sehr sicher. Wie schon gesagt sollte man diesen Zettel nicht in der Nähe des Computers, sondern an einem geheimen Ort aufbewahren. Ein solcher geheimer Ort kann zum Beispiel eine Schublade oder ein Etui sein.

Diese beiden Methoden haben den Vorteil, dass man sehr lange und sichere Passwörter einfach speichern kann. Und das wichtigste: Es ist einfach, dies für jeden einzelnen Dienst zu tun.

Versuchen, sich die Passwörter zu merken

Wem diese Methoden zu schwer sind, kann auch sich die Passwörter auch einfach merken. Das Problem hierbei ist, dass sich sichere Passwörter meist nicht so gut merken lassen. Jedoch gibt es einige Techniken, um ein sicheres Passwort zu erstellen, das man sich auch merken kann. Die hier vorgestellte Methode gibt es auch in Comic-Format von XKCD

XKCD Passwortsicherheit-Comic
Quelle XKCD.com

Bei dieser Methode nimmt man einfach vier (oder mehr) seltene Wörter, die man dann zusammensetzt (evtl. noch mit Bindestrich, jeden zweiten Buchstaben gross etc.). Die so erstellten Passwörter sind meist sehr sicher und lassen sich einfacher merken. Jedoch besteht auch hier die Gefahr, dass man diese vergisst oder der Versuchung erliegt, ein einfaches Passwort zu erstellen.

Andere Methoden

Es gibt noch viele andere Methoden, ein sicheres Passwort zu erstellen und/oder zu speichern. Diese sind meist nur eine Google-Suche entfernt. Es kann durchaus helfen, wenn man sich ein System ausdenkt, bevor man beginnt, alle Passwörter zu ändern. Ein solches System kann (sollte), alle Regeln durchzusetzen.

Fazit

Ein solcher Ändere-Dein-Passwort-Tag kann durchaus helfen, sich in der digitalen Welt besser zu schützen. Jedoch muss man gut darauf achten, die Situation auch zu verbessern. Ein Passwortmanager kann eine gute Hilfe, sein die Regeln durchzusetzen: Bei jedem Dienst ein anderes Passwort, das jedoch trotzdem sicher ist.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.