Die wichtigste Lehre ist, dass längere Passwörter besser sind. Die empfohlene Mindestlänge liegt bei 15 Zeichen. Zudem sollten Sie jedes Passwort nur für ein einziges Konto verwenden. Verwenden Sie dasselbe Passwort auf mehreren Websites und es wird geleakt oder geknackt, können Hacker leicht Zugang zu all diesen Konten erlangen.
Sie können sich auf https://haveibeenpwned.com/ anmelden, um über geleakte Anmeldedaten benachrichtigt zu werden. Wird ein Leak im Zusammenhang mit Ihrer E-Mail-Adresse entdeckt, werden Sie mit hoher Wahrscheinlichkeit benachrichtigt und können Ihr Passwort ändern, bevor es missbraucht wird.
Wie man sich einzigartige Passwörter leichter merkt
Es ist schwer, sich an viele einzigartige Passwörter zu erinnern. Viele Nutzer halten ihre Passwörter digital oder auf Papier fest. Sollten jemand an diese Notizen kommen, hätte diese Person Zugriff auf sämtliche Konten. Wie lässt sich das verhindern?
Passwortmanager
Ein Passwortmanager ist eine Software, die Ihre Passwörter und andere vertrauliche Informationen speichert. Für gewöhnlich werden die Daten dabei verschlüsselt und nur Sie haben Zugang. Wie wir in einem späteren Kapitel lernen, hängt die Sicherheit eines Passwortmanagers nicht vom Algorithmus sondern vom verwendeten Schlüssel ab. Anders gesagt: Wenn Sie den Zugang zur Datenbank mit ihren verschlüsselten Passwörtern verlieren, kann niemand anders sie ohne den Schlüssel einsehen.
Einen langen Schlüssel kann man sich unmöglich merken, weshalb es üblicherweise ein Master-Passwort gibt, um den Schlüssel zu entschlüsseln, der wiederum die Daten entschlüsselt. Fazit: Der Schlüssel ist so sicher wie Ihr Master-Passwort. Das Master-Passwort ist ein Zugeständnis an die Benutzerfreundlichkeit auf Kosten der maximalen Sicherheit. Es lässt sich einfacher merken als eine lange Folge zufälliger Zeichen. Dennoch sollte das Master-Passwort sehr sicher sein, d. h. lang und möglichst schwer bis gar nicht zu erraten. Manche Passwortmanager bieten andere Möglichkeiten, um das Konto wiederherzustellen, aber Sie sollten darauf achten, dass nur Sie die dazu nötigen Informationen besitzen, da sonst Dritte damit ihre Passwörter entschlüsseln könnten.
Teils gibt es auch Funktionen zur Erstellung sicherer Passwörter. Manche Passwortmanager zeigen die relative Sicherheit des Passworts auf Grundlage einer ähnlichen Berechnung wie der zuvor erklärten Entropie an. Fast alle Programme bieten optionale Browserplugins, über die Login-Daten auf Websites automatisch ausgefüllt werden können. Meist laufen sie zudem auf verschiedenen Plattformen, sodass Sie dieselbe App auf PC, Tablet und Smartphone nutzen können.
Eine weitere praktische Funktion sind Benachrichtigungen, falls es bei Websites, die Sie nutzen, zu Datenpannen kommt. In diesem Fall kann Ihnen der Passwortmanager helfen, Ihr Passwort zu ändern, damit Angreifer sich nicht mit den geleakten Informationen einloggen können.
Bei der Wahl des Programms sollten Sie darauf achten, wo die Passwörter und Verschlüsselungscodes gespeichert werden. Teils gibt es die Möglichkeit der Speicherung in einer lokalen Datenbank. So sind Sie die einzige Person, die Zugang hat. Je nach Software können Sie die Datenbank über Dienste wie Dropbox oder iCloud auf verschiedenen Geräten synchronisieren. Teils werden die Daten auf dem Server gespeichert. Hierbei hängt die Sicherheit entscheidend davon ab, welche Verschlüsselung verwendet wird. Manche Dienste speichern den Master-Verschlüsselungscode auf ihrem Server, was ihnen die Möglichkeit gibt, die Passwortdatenbank zu entschlüsseln. Andere Dienste wie 1Password speichern die Datenbank am Ort Ihrer Wahl (eigenständige Version) oder auf ihren Servern (Abo-Version). In allen Fällen bleiben Sie die einzige Person, die den Master-Verschlüsselungscode kennt.
Vielleicht haben Sie bemerkt, dass Sie mit einem Passwortmanager alles auf eine Karte setzen. Erlangt ein Angreifer Zugriff auf Ihre Passwortdatenbank und entschlüsselt sie, sind auf einen Schlag all Ihre Passwörter betroffen. Dennoch überwiegen generell die Vorteile von Passwortmanagern gegenüber diesem Risiko. Mit einem solchen Programm lassen sich einzigartige lange Passwörter speichern, die fast unmöglich zu merken sind. Wird das Passwort zu einer Website gehackt, besteht kein Risiko für andere Websites, da nicht dasselbe Passwort verwendet wird. Zum Schutz Ihrer Datenbank sollten Sie ein starkes, langes Master-Passwort wählen. Selbst eine Passphrase (oder eine Reihe nicht assoziierter Wörter) ist möglich, um die Länge weiter zu erhöhen.
Wenn Sie sich Sorgen machen, dass jemand an Ihre Zugangsdaten kommen könnte, können sie zusätzliche Schutzvorkehrungen wie Mehr-Faktor-Authentifizierung einsetzen.
Multi-Faktor-Authentifizierung
Multi- oder Mehr-Faktor-Authentifizierung (MFA) bedeutet, dass der Nutzer seine Identität mit mehreren Faktoren nachweisen muss. Dazu gehören für gewöhnlich:
Wissen: etwas, das Sie wissen (z. B. ein Passwort)
Besitz: etwas, das Sie besitzen (z. B. Ihr Mobiltelefon oder ein physischer Token)
Inhärenz: etwas, das Sie sind (z. B. Ihr Fingerabdruck oder Ihre Netzhaut)
Die häufigste Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA). Diese kommt beispielsweise bei Kreditkartenzahlungen zum Einsatz. Dabei verwenden Sie etwas, das Sie besitzen (Ihre Kreditkarte) und etwas, das Sie wissen (Ihre PIN), um die Zahlung zu genehmigen.
Benutzername und Passwort stellen nur einen Faktor dar, da beides zur Kategorie „Wissen“ gehört. Manche Websites setzen weiterhin auf Sicherheitsfragen als zusätzlichen Faktor, insbesondere zur Passwortwiederherstellung, doch auch diese sind Teil derselben Kategorie. Schlimmer noch, die Antworten auf Sicherheitsfragen sind oft im Internet leicht auffindbar.
Multi-Faktor-Authentifizierung bietet zusätzlichen Schutz. Vielleicht haben Sie schon einmal mitbekommen, dass es bei Websites, die Sie nutzen, zu Datenpannen kam, wodurch Benutzernamen und Passwörter öffentlich wurden. Wenn Sie nicht Multi-Faktor-Authentifizierung wie die gängige Zwei-Faktor-Authentifizierung einsetzen, kann jeder mit diesen Zugangsdaten auf ihr Konto zugreifen. Wenn Sie dasselbe Passwort auf mehreren Seiten verwenden, besteht für alle die Gefahr des Missbrauchs. Wenn Sie jedoch 2FA bei Ihren Diensten aktiviert haben, braucht der Angreifer zusätzlich Zugang zum zweiten Faktor, um auf Ihr Konto zuzugreifen.
Als zweiter Faktor dienen üblicherweise:
SMS (man benötigt Zugang zum Mobiltelefon, um sich anmelden zu können)
Einmalpasswörter (OTP), entweder über eine App oder einen physischen Token wie einen RSA-Schlüssel (ein kleines Gerät zur Generierung von Einmalpasswörtern)
Sicherheitsschlüssel wie Yubikey oder Titan von Google
Push-Benachrichtigungen, z. B. über die Authenticator-App von Google oder Microsoft
Fingerabdruck- oder Gesichtserkennung
Vorsicht mit SMS
SMS sind zwar der häufigste Zweitfaktor, aber anfällig für Missbrauch. Mit vielen unterschiedlichen Angriffsarten lässt der Schutz per SMS umgehen. Zudem kennen Kriminelle Tricks, um Nutzer durch unerwartete Aufforderungen dazu zu verleiten, ihr Einmalpasswort mitzuteilen, um es für ihre Attacke zu verwenden.
Solche Social-Engineering-Angriffe (Angriffe mit sozialer Manipulation) geschehen beispielsweise über eine SMS, in der steht, Ihr Konto werde angegriffen und Sie müssten das Einmalpasswort eingeben, damit der Dienst sicherstellen könne, dass Sie nicht der Angreifer seien. Eine andere gängige Masche ist, dass Kriminelle sich als Mitarbeiter Ihrer Bank oder einer Behörde ausgeben und Sie dazu auffordern, Ihre Identität mit einem Einmalpasswort nachzuweisen. Dann versuchen sie, sich in ihrem Konto anzumelden, um die Einmalpasswort-Anfrage an Sie weiterzuleiten. Der Angreifer kann versuchen, Vertrauen zu erwecken, indem er Sie warnt, dass Sie niemandem Ihre Zugangsdaten nennen sollten (er kennt diese ja bereits). Denken Sie daran: Legitime Banken, Regierungen und offizielle Behörden werden Sie nie nach Ihrem Passwort oder Ihrer PIN fragen.
Eine weiteres Mittel zur Erstellung von Tokens sind Authentifizierungsapps. Es gibt mehrere Apps mit denselben Funktionen, sodass Sie freie Wahl haben. Der Großteil der Apps funktioniert plattformübergreifend und auf den meisten Mobiltelefonen und Computern. Die beliebtesten Authentifizierungsapps sind Google Authenticator, Authy und Microsoft Authenticator, aber es gibt viele weitere. Meist benötigt die App einen sogenannten Seed-Wert vom Server, um ein Einmalpasswort zu erzeugen. Die gängigste Methode ist heute das Scannen eines QR-Codes mit der Handykamera. Der zeitbegrenzte Seed-Code erneuert sich normalerweise alle 30 Sekunden. Zudem ist er nur für kurze Zeit gültig, meist eine Minute.
Sicherheitsschlüssel
Ein Sicherheitsschlüssel ist der sicherste der zuvor erwähnten Faktoren für MFA. Die Verwendung ist etwas komplizierter als bei einer Authentifizierungsapp, aber dafür sicherer. Verlieren Sie das Mobiltelefon mit der Authentifizierungsapp, sind damit möglicherweise alle Informationen zum Schutz Ihrer Konten verloren. Der Sicherheitsschlüssel ist ein separates physisches Gerät, das zusätzlich zu den Anmeldedaten nötig ist. Wenn also Dritte in den Besitz Ihres Schlüssels gelangen, können sie trotzdem nicht auf Ihre Konten zugreifen. Es wird empfohlen, ein Duplikat des Schlüssels an einem sicheren Ort aufzubewahren, für den Fall, dass der Hauptschlüssel verloren oder kaputt geht. Sicherheitsschlüssel bieten normalerweise eine zusätzliche Schutzvorrichtung für die darauf gespeicherten Daten. So muss man z. B. einen Knopf drücken, bevor man den Code verwenden kann. Dadurch wird verhindert, dass Schadprogramme auf Ihrem Computer den Code lesen können, da die physische Aktion fehlt.
Passwortfreie Anmeldung
Passwörter haben zahlreiche Schwächen: Nutzer bevorzugen leicht merkbare, schwache Passwörter. Passwörter müssen gespeichert werden, und das oft an einem unsicheren Ort. Kommt es zu einem Datenleck, können die Zugangsdaten missbraucht werden, bei wiederverwendeten Passwörtern sogar auf mehreren Websites. Rainbow Tables und Brute-Force-Angriffe werden in der Zukunft dank noch schnellerer Computer, besserem Verständnis von Algorithmen und Quantencomputing besser nutzbar sein. Bei passwortfreier Anmeldung soll dies durch Public-Private-Key-Verschlüsselung verhindert werden. Bei dieser Methode wird der private Schlüssel (Private Key) nicht an den Server weitergegeben, sodass der Verlust des auf dem Server gespeicherten öffentlichen Schlüssels (Public Key) nicht dazu führt, dass Dritte Zugang zum Nutzerkonto erhalten. Windows Hello von Microsoft ist ein Beispiel für passwortfreie Anmeldung.
Windows Hello kann mit verschiedenen Methoden genutzt werden, von PIN-Code über Fingerabdruck bis zu Gesichtserkennung. Die Start-Anmeldung geschieht lokal am Computer und wird nicht an den Server übertragen. Der PIN-Code oder Fingerabdruck wird im Hintergrund eingesetzt, um Verschlüsselungsinformationen zwischen Computer und Server auszutauschen, sodass Sie Zugang zum Computer erhalten.
Passwortfreie Anmeldung vs. Multi-Faktor-Authentifizierung
Passwortfreie Anmeldung wird teils mit Multi-Faktor-Authentifizierung verwechselt, da sich die Erfahrung des Endbenutzers ähneln kann. Bei der Anmeldung ohne Passwort fragt das System nach Angaben zur Identifikation wie Benutzername oder E-Mail-Adresse. Die Authentifizierung kann über verschiedene Faktoren erfolgen, die jenen der Multi-Faktor-Authentifizierung entsprechen. Der Unterschied ist, dass man bei der passwortfreien Anmeldung keine dem Server bekannten vertraulichen Daten wie ein Passwort wissen muss. Selbst wenn man einen PIN-Code verwendet, was ein miserables Passwort wäre, wird dieser nicht an den Server weitergeleitet, sondern nur lokal zur kryptografischen Authentifizierung auf dem Computer genutzt.
Sign up to solve exercises
Nach Abschluss von Kapitel 2 sollten Sie in der Lage sein:
zu verstehen, welche Art von Daten geschützt werden müssen und welche weniger;
zu erklären, wo und wie Sie Datenspuren hinterlassen und wozu diese genutzt werden;
zu wissen, welche Rechte und Pflichten sie in Bezug auf Daten haben;
die Grundlagen zur Erstellung eines sicheren Passworts und zum Schutz Ihrer Zugangsdaten für Online-Konten zu kennen.
