Starke Passwörter erstellen und sicher verwalten
So bequem das digitale Leben auch sein mag, hat es doch auch seine nervigen Seiten. Man muss ständig vorsichtig sein, dass persönliche Informationen und sonstige Daten nicht irgendwelchen Unholden in die Hände fallen. Daher ist es beispielsweise wichtig, immer sichere Anmeldedaten zu verwenden.
Wer vorbildlich ist, nutzt für jeden Zugang ein einzigartiges Kennwort aus Buchstaben und Zahlen. Aber das ist gar nicht so einfach. Jeder Anwender hat dutzende, wenn nicht sogar Hunderte Onlinekonten, für die alle eigene Benutzerdaten erforderlich sind. Wie soll man bei all diesen Passwörtern einen Überblick behalten?
Gibt es eine Lösung?
In diesem Artikel haben wir alles zusammengestellt, was Sie wissen müssen, um sichere Passwörter zu erstellen und diese zu schützen – egal, ob für den Heimgebrauch oder im Unternehmen.
Doch weshalb ist es so wichtig, sichere Passwörter zu verwenden?
Die Antwort ist recht einfach: Ein gutes Passwort verhindert unerlaubten Zugriff auf Ihre Geräte und Onlinekonten. Sollten Ihre Kennwörter leicht zu knacken sein, könnten sich Cyberkriminelle beispielsweise Zugang zu Ihrem Bankkonto, Ihren Netzwerkprofilen, Ihren E-Mails oder sonstigen privaten Konten verschaffen. Welche Folgen das haben kann, möchte man sich gar nicht vorstellen.
Gerade für kleinere Unternehmen sind sichere Passwörter von höchster Bedeutung. Schließlich müssen nicht nur wichtige Unternehmensdaten geschützt werden, damit das Geschäft weiterlaufen kann. Die Inhaber müssen auch sicherstellen, dass die möglicherweise in ihrem System gespeicherten personenbezogenen Daten ihrer Kunden geschützt sind. Da sie häufig nicht die Mittel für eine gesonderte Abteilung zur IT-Sicherheit haben, werden kleine Unternehmen zu einem leichten Ziel für Hacker. Und Cyberkriminelle sind sich dessen vollkommen bewusst. Wie von Verizon gesammelte Zahlen zeigen, erfolgten im Jahr 2019 43 % aller Sicherheitsverletzungen bei kleinen Unternehmen.
Das sind inzwischen keine schockierenden Neuigkeiten mehr. Wahrscheinlich haben Sie es mittlerweile selbst schon satt, wenn Ihnen Sicherheitsexperten ständig etwas von Passwortpflege erzählen. Leider gibt es aber immer noch zu viele Leute, deren Kennwörter so stabil sind wie eine Seifenblase. NordPass hat eine Liste mit den im englischsprachigen Raum beliebtesten (und damit leider schlechtesten) Passwörtern 2019 zusammengestellt. Auf den Spitzenplätzen liegen „12345“ (übrigens auch in Deutschland auf Platz 1), „123456“ und „123456789“. Außerdem in die Top 20 schafften es „password“ (auf Platz 5), „qwerty“ (auf Platz 10) und „iloveyou“ (auf Platz 14).
Wie stehlen Hacker Ihre Kennwörter?
Wie bereits erwähnt, senken Sie mit einem starken Kennwort das Risiko, dass Cyberkriminelle Ihre Zugangsdaten herausfinden. Doch wie kommen Hacker überhaupt an Passwörter?
1. Undichte Stellen
Sicher haben auch Sie schon davon gehört, dass große Anbieter wie Yahoo, Dropbox oder Gmail gehackt wurden und dadurch Millionen Passwörter ins Netz gelangt sind. Mit den nach außen gedrungenen Daten können Kriminelle allerdings nicht nur auf das Konto bei dem gehackten Unternehmen zugreifen, sondern möglicherweise auch auf Ihre sonstigen Konten.
Wie?
Ganze 87 Prozent der Anwender setzen ein und dasselbe Passwort mehrmals ein. Sollten Sie dazugehören, können sich Hacker mit den gestohlenen Kennwörtern folglich auch bei Ihren anderen privaten Konten anmelden. Verwerten Sie also niemals dasselbe Passwort wieder. Kriminelle werden mit den über undichte Stellen erlangten oder auf anderen Wegen gestohlenen Informationen beständig weitere Anmeldeversuche starten.
2. Brute-Force-Angriffe
Bei einem Brute-Force-Angriff versuchen Cyberkriminelle, sich bei Ihren Konten anzumelden, indem sie methodisch alle möglichen Zeichenkombinationen ausprobieren, bis sie das richtige Kennwort erwischen. Von Hand ist das natürlich nahezu unmöglich. Stattdessen nutzen Hacker speziell darauf ausgelegte Programme, die – sofern sie auf der richtigen Hardware ausgeführt werden – Millionen Anmeldeversuche pro Sekunde durchführen können. Je kürzer das Kennwort, umso schneller ist der Angriff erfolgreich.
3. Keylogger
Bei Keyloggern handelt es sich um Malware, die versteckt im Hintergrund auf Ihrem Computer ausgeführt wird. Bleibt sie unentdeckt, kann sie jeden Tastenanschlag, den Sie auf Ihrer Tastatur tippen (also auch eingegebene Anmeldedaten), aufzeichnen und an die Hacker weiterleiten. Zum Schutz Ihrer Kennwörter – und Ihres Computers generell – sollten Sie daher unbedingt eine wirkungsvolle Anti-Malware-Lösung einsetzen, die Keylogger und andere Malware von Ihrem System fernhält.
4. Phishing
Phishing ist eine Form des sogenannten Social Engineerings (also die Manipulation der Anwender) und nutzt die natürlichen Schwächen des Menschen aus. Hierbei tarnen die Betrüger ihre bösartigen Websites und Apps als seriöse Dienste, um die Benutzer dazu zu bringen, vertrauliche Informationen wie Benutzernamen und Kennwörter oder Kreditkartendaten herauszugeben. Geben Sie Ihre Daten auf einer dieser gefälschten Seiten ein, können die Kriminellen Ihre Identität klauen und sich bei Ihren Konten anmelden. Phishing gehört auch weiterhin zu den beliebtesten Betrugsmethoden, was sicher daran liegt, dass immer wieder Leute darauf hereinfallen. Dem bereits erwähnten Bericht von Verizon zufolge war bei 32 Prozent der Datenschutzverletzungen Phishing im Spiel.
5. Post-Exploitation-Tools
Sogenannte Post-Exploitation-Tools sind eine weitere Methode, wie Kriminelle Kennwörter ausspionieren können. Wie der Name schon andeutet, kommt dieses Verfahren in der Post-Exploitation-Phase (wörtlich: nachträgliches Ausnutzen) zum Einsatz. Dabei hat der Hacker bereits erfolgreich Zugriff auf ein System erlangt und versucht nun mithilfe dieser Tools, noch mehr Kontrolle über das Gerät oder Netzwerk zu erlangen. Weit verbreitet ist hier beispielsweise Mimikatz. Damit lassen sich binnen Kürze auf dem System gespeicherte Informationen sammeln, die nützlich sein könnten – einschließlich aller Anmeldedaten.
6. Rainbow Table
Selbst wenn Sie starke Passwörter verwenden, heißt das nicht, dass es nicht dennoch gestohlen werden kann – etwa, wenn der von Ihnen genutzte Dienstanbieter Kennwörter gar nicht oder schlecht verschlüsselt. Werden Passwörter als Klartext abgelegt, ist das Risiko natürlich am höchsten. Dessen sind sich viele Anbieter inzwischen bewusst, weshalb sie Passwörter als sogenannten Hashwert (auch Streuwert genannt) speichern. Eine Hashfunktion ist in der Verschlüsselung ein mathematischer Algorithmus, der eine Prüfsumme berechnet. Dieser Wert dient meist dazu, Datenfehler zu erkennen. Anbieter nutzen die Hashfunktion, um zu prüfen, ob ein eingegebenes Kennwort richtig ist. Dazu wird die Prüfsumme des Kennworts mit der Prüfsumme in der Datenbank abgeglichen. Der Anbieter selbst erfährt bei diesem Vorgang nie das eigentliche Passwort.
Das klingt an sich nach einer sehr sicheren Methode zum Speichern von Kennwörtern, doch auch sie hat ihre Schwächen. Die am meisten eingesetzten Hashfunktionen (MD5 und SHA-1) verfügen über eine bekannte Anzahl möglicher Hashwerte. Sie lassen sich also vorausberechnen. Kriminelle speichern diese vorausberechneten Werte in einer Tabelle, der Rainbow Table, um die als Hash vorliegenden Passwörter über simple Suchanfragen wieder zu entschlüsseln. Dabei spielt die Länge des Passworts absolut keine Rolle, da nur Hashwert relevant ist. Wurde also ein Hash gestohlen und das Kennwort mithilfe der Rainbow Table geknackt, können sich die Kriminellen wieder austoben und – sofern es mehrmals verwendet wurde – sich bei allen möglichen Konten des Benutzers anmelden.
Um diesem Problem gegenzusteuern, setzen Anbieter zunehmend Salts (eine zufällig gewählte Zeichenfolge, die vor der Hashfunktion an einen Klartext angehängt wird) ein. Auf diese Weise werden die Passwörter noch zufälliger und damit besser verschleiert. Folglich ist zum Entschlüsseln für jedes einzelne Passwort eine eigene Rainbow Table erforderlich. Die dafür erforderliche Rechenleistung ist für Kriminelle jedoch nicht lohnenswert.
Sie fragen sich, ob Ihre Anmeldedaten eventuell schon einmal gestohlen wurden? Auf haveibeenpwned können Sie das ganz leicht überprüfen, indem Sie einfach Ihre E-Mail-Adresse eingeben. Die Website gleicht sie dann mit Hunderten der größten Hacks der Geschichte ab und informiert Sie, ob Sie gefährdet sind. Sie können sich auch Benachrichtigungen schicken lassen, falls Ihre E-Mail-Adresse bei zukünftigen Datenlecks dabei sein sollte.
So erstellen Sie starke Kennwörter
Theoretisch ist ein gutes Kennwort also ein wichtiger Teil Ihrer digitalen Verteidigung. Doch was bedeutet das in der Praxis? Hinsichtlich des richtigen Vorgehens bei Passwörtern gab es in den vergangenen Jahren einige Veränderungen.
„Wir haben uns 20 Jahre lang erfolgreich bemüht, jedem beizubringen, Passwörter zu verwenden, die sich der Mensch nicht merken, der Computer jedoch leicht erraten kann.“ – XKCD.
Bisher war die oberste Regel, dass ein Kennwort so komplex wie möglich sein sollte. Als gewissenhafter Internetnutzer sind Sie sichergegangen, dass es Zahlen, Sonderzeichen sowie Klein- und Großbuchstaben enthält. Das sah dann in etwa so aus:
3s+zq&KW
Von diesem Vorgehen sind wir jedoch immer weiter abgekommen. NIST (das nationale Institut für Standards und Technologie der US-Regierung) hat dazu kürzlich seine Passwortrichtlinie auf den neuesten Stand gebracht. Selbst Bill Burr, der Autor von „NIST Special Publication 800-63 Appendix A“ (eine der ersten Veröffentlichungen, nach der Anwender Sonderzeichen in ihre Passwörter integrieren sollten), räumte gegenüber The Wall Street Journal ein, dass es einige Mängel in seinem ursprünglichen Werk gab. Alle sind endlich zum gleichen Schluss gekommen: Computer sind keine Menschen.
Während ein Mensch das oben aufgeführte Beispielkennwort nur schwer erraten wird, ist es für einen Computer auch nicht sicherer als andere Buchstabenkombinationen aus acht Zeichen – sei es „Schlange“, „Computer“ oder „rasieren“.
Die gute Nachricht: Es ist eigentlich ganz einfach, ein sicheres Kennwort zu erstellen. Hier einige Grundregeln zum Anlegen von sicheren Passwörtern im Jahr 2020:
1. Auf die Länge kommt es an (hier zumindest)
Das Wichtigste bei einem sicheren Kennwort ist nicht mehr seine Komplexität, sondern die Länge. Jedes weitere Zeichen macht es exponentiell widerstandsfähiger gegenüber Brute-Force-Angriffen. Daher kann ein gutes Passwort schlicht aus einer Reihe zufälliger Wörter bestehen, wie:
vagantgerontogenousnidifugousyorkkelpielongiloquence
Je länger, desto besser. Wir empfehlen eine Länge von mindestens 16 Zeichen.
2. Einzigartig
Wie bereits zuvor erwähnt ist die Wiederverwendung eines Kennworts für mehrere Websites, Anwendungen oder Geräte nur ein unnötiges Risiko. Es mag durchaus sein, dass Sie den Überblick über Hunderte Konten behalten möchten, aber Ihre Privatsphäre ist mehr Wert als diese Bequemlichkeit. Legen Sie immer ein einzigartiges und sicheres Kennwort an – selbst für Dienste, die Sie nur ein- oder zweimal nutzen möchten. Vielleicht geben Sie bei einem davon ja doch irgendwann einmal Ihre Kreditkartendaten an und denken dann nicht daran, ein besseres Passwort einzurichten.
3. Zufällig
Neben der Länge sollte ein Kennwort unbedingt auch zufällig sein. Falls Sie also wie zuvor beschrieben beliebige Wörter aneinanderreihen wollen, verlassen Sie sich nicht auf Ihren Kopf, um sich diese scheinbar „zufälligen“ Wörter auszudenken. Sie sind höchstwahrscheinlich einfacher zu erraten, als Sie glauben. Verwenden Sie auch keine Redewendungen, Zitate, Anspielungen oder sonstigen Kombinationen mit einem persönlichen Bezug (etwa Geburts-/Jahrestage oder Tiernamen). Gerade Letztere können möglicherweise von gewissenhaften Kriminellen ausgekundschaftet werden, die Ihre öffentlichen Netzwerkprofile auf mögliche Kennworthinweise durchforsten. Nutzen Sie stattdessen einen seriösen Passwortgenerator, der Zeichenkombinationen erstellt, die wirklich zufällig sind.
Weitere Tipps zum Erstellen sicherer Kennwörter finden Sie auch in diesem Blog-Artikel, in dem wir das Thema schon einmal angesprochen haben.
Die besten Passwortmanager 2020
Speichern Sie Ihre Anmeldedaten niemals in einer Textdatei. Wenn Sie alle Kennwörter in einer einfachen Liste speichern, brauchen Kriminelle nur diese zu stehlen und schon haben Sie freien Zugang zu Ihrem digitalen Leben. Auch für Unternehmenseigentümer sind derartige Listen ein hohes Sicherheitsrisiko, da Mitarbeiter jederzeit darauf zugreifen könnten. Denken Sie also am besten gar nicht erst darüber nach.
Gleichzeitig ist es natürlich nahezu unmöglich, sich diese zahllosen langen und einzigartigen Zufallskombinationen zu merken. Heutzutage ist der sicherste Weg die Verwendung eines entsprechenden Passwortmanagers.
1. KeePass
KeePass mag nicht mit einer schicken Oberfläche glänzen. Das macht das Programm allerdings mit seiner starken Funktionen mehr als wett. Zu seinen eindrucksvollen Sicherheitsmodulen gehören ein Kennwortgenerator, sichere Notizen und eine Reihe von Ausfülloptionen zur Eingabe der Passwörter. Die kostenlose Open-Source-Software ermöglicht zudem eine portable Installation, um direkt vom USB-Stick ausgeführt zu werden. Es gibt zwar keine offizielle Version für Browser oder Android-Geräte, jedoch allerhand inoffizielle Migrationen.
Die Anmeldedaten werden lokal gespeichert. Das Programm ist also nicht ganz so gut vernetzt wie andere Lösungen, aber vollkommend ausreichend für Anwender, denen ein Gerät zur Kennwortverwaltung genügt. Auf der anderen Seite ist dadurch aber auch das Risiko geringer, dass die Passwörter durch Datenlecks nach außen gelangen. Wie bei allen Open-Source-Programmen haben Sie bei Bedarf vollen Einblick in die Funktionsweise von KeePass. Das dürfte insbesondere für technisch versiertere Benutzer interessant sein, die den Code auf mögliche Schwachstellen überprüfen möchten.
Preis: Kostenlos
2. Dashlane
Das extrem benutzerfreundliche Dashlane verfügt über zahlreiche Funktionen zum Schutz Ihrer Passwörter. Sie können Ihre Anmeldedaten speichern und bei Bedarf automatisch eintragen lassen. Außerdem gibt es einen soliden Kennwortgenerator sowie eine digitale Geldbörse zur sicheren Verwaltung Ihrer Kreditkartendaten für schnelles und bequemes Einkaufen im Internet.
Mit der Synchronisierungsfunktion werden Ihre Daten verschlüsselt in der Cloud von Dashlane gespeichert. Wenn Sie die Funktion deaktivieren, werden die Daten wieder endgültig von den Servern des Unternehmens gelöscht und bleiben nur lokal auf Ihrem Computer gespeichert.
Preis: Kostenlos für ein Gerät bei bis zu 50 Kennwörtern. Für Premiumfunktionen ist ein kostenpflichtiges Upgrade erforderlich.
3. Sticky Password
Sticky Password ist eine weitere benutzerfreundliche Lösung mit ansehnlichen Funktionen in einer aufgeräumten Oberfläche. Wie bei den meisten Passwortmanagern können Sie eine unbegrenzte Anzahl von Kennwörtern auf einem Gerät speichern und verwalten. Wenn Sie ein Upgrade auf Premium durchführen, lassen sich die Daten auch über mehrere Installationen synchronisieren. Im Gegensatz zu anderen Lösungen kann Sticky Password auch Programmanmeldungen verwalten. Das ist besonders nützlich, wenn Sie regelmäßig kennwortgeschützte Software einsetzen.
Das i-Tüpfelchen für Anwender, die trotz einer ganzheitlichen Lösungen keine Kompromisse bei der Sicherheit eingehen möchten: Die Synchronisation der Daten kann sowohl über die Server des Unternehmens als auch über Ihr lokales WLAN-Netzwerk erfolgen.
Preis: Kostenlos (ohne Cloud- oder lokale Synchronisierung). Für Premiumfunktionen ist ein kostenpflichtiges Upgrade erforderlich.
4. 1Password
1Password ist wahrscheinlich eine der schicksten Passwort-Lösungen für Mac-Anwender (wobei sie auch auf Windows oder im Browser eingesetzt werden kann). Neben allen Funktionen, die Sie von einem guten Passwortmanager erwarten, gibt es noch einige nette Extras, wie das Organisieren und Synchronisieren von Softwarelizenzen und -dateien. Im Gegensatz zu anderen derartigen Programmen nutzt 1Password jedoch keine Zwei-Faktor-Authentisierung. Stattdessen setzt es auf eine Ende-zu-Ende-Verschlüsselung und geheime Schlüssel, um Ihre Identität zu überprüfen.
Preis: 30-tägige kostenlose Testversion. Zu weiteren Nutzung ist ein kostenpflichtiges Upgrade erforderlich.
5. RoboForm
RoboForm hält sich nicht mit Schnickschnack oder einer durchgestylten Grafikoberfläche auf, sondern konzentriert sich auf erstklassige Kennwortverwaltung. Neben der sicheren Verschlüsselung werden auch Programmanmeldungen, das Erfassen von Notizen und ein Notfallzugriff unterstützt. Der Passwortgenerator bietet zahlreiche benutzerdefinierte Einstellmöglichkeiten und gehört zu einem der besten auf dem Markt. Darüber hinaus können seit Kurzem auch in der kostenlosen Version unbegrenzt Anmeldedaten verwaltet werden. Die perfekte Wahl für sicherheitsbewusste Anwender mit kleinem Budget.
Preis: Kostenlos (ohne Synchronisierung oder Cloud-Backups). Für Premiumfunktionen ist ein kostenpflichtiges Upgrade erforderlich.
6. bitwarden
bitwarden ist eine starke Empfehlung des Laborteams von Emsisoft – aus gutem Grund. Die mit verschiedenen Betriebssystemen und Browsern kompatible Open-Source-Software bietet Zwei-Faktor-Authentisierung, Ende-zu-Ende-Verschlüsselung und einen ordentlichen Passwortgenerator. Im Gegensatz zu den meisten anderen erwähnten Programmen ist selbst in der kostenlosen Version eine unbeschränkte Synchronisierung über mehrere Geräte hinweg möglich. Das Beste daran: Sie müssen nicht unbedingt den firmeneigenen Cloud-Dienst nutzen, sondern können die Infrastruktur von bitwarden auf jeder beliebigen Plattform unterbringen.
Preis: Kostenlos mit Einschränkungen. Für Premiumfunktionen ist ein kostenpflichtiges Upgrade erforderlich.
7. LastPass
In Bestenlisten zu Passwortmanagern steht LastPass häufig an der Spitze. Das mit vielen Betriebssystemen kompatible Programm gilt bereits seit einiger Zeit als führende Passwort-Lösung. Neben einem soliden Kennwortgenerator und Sicherheitsfragen gibt es auch eine Zwei-Faktor-Authentisierung (selbst in der kostenlosen Version). Leider wurde LastPass in der Vergangenheit schon Opfer von Hacker-Angriffen. Aufgrund seiner fortschrittlichen Hashverfahren ist es allerdings unwahrscheinlich, dass die gestohlenen Passwörter von den Kriminellen entschlüsselt werden konnten.
Preis: Kostenlos mit Einschränkungen. Für Premiumfunktionen ist ein kostenpflichtiges Upgrade erforderlich.
Keine Entschuldigung mehr für unsichere Kennwörter
Es ist 2020 und der moderne Alltag strotzt nur so vor allen möglichen Passwörtern, sodass man schnell den Überblick verlieren kann. Seriöse Passwortmanager sind binnen Minuten eingerichtet und heutzutage die beste Möglichkeit, um starke Kennwörter zu erstellen und gut geschützt zu speichern. Ein kurzer Aufwand, der sich definitiv lohnt, um seine Zugangsdaten sicher verwaltet zu wissen.
Setzen Sie darüber hinaus unbedingt auch eine bewährte Sicherheitslösung wie Emsisoft Anti-Malware ein, um Keylogger und andere Malware von Ihrem System fernzuhalten, die es auf Ihre Kennwörter abgesehen haben könnten.
Können Sie einen guten Passwortmanager empfehlen, der hier noch nicht aufgeführt ist? Teilen Sie Ihre Erfahrung gern mit unseren anderen Lesern über die Kommentare.
Übersetzt von Doreen Schäfer
