Warum du sofort deine Passwörter ändern solltest

Wusstest du, dass es einen „Ändere dein Passwort“ – Tag gibt?

Nein? Dann solltest du dir den 1. Februar im Kalender rot markieren, denn heute ist dieser Tag.

Jedes Jahr am 1. Februar soll uns dieser Tag daran erinnern über unsere Passwörter nachzudenken und diese auch einmal zu ändern.

In Leben gerufen wurde dieser Tag im Jahr 2012 vom Technik Blog Gizmodo.

Durch den positiven Gruppenzwang, wollte man die User auf das Thema aufmerksam machen. Der Anlass für diese Aufforderung war übrigens ein Angriff auf eine Datenbank eines amerikanischen Online Shops, bei dem über 20 Millionen Passwörter gestohlen wurden.

Ein solcher Diebstahl ist keine Seltenheit. Im Jahr April 2011 traf es Sony, wo mehr als 75 Millionen Userdaten gestohlen wurden. Von diesem Einbruch waren auch tausende User aus Österreich, Deutschland und der Schweiz betroffen.

Im Oktober 2013 hat es Adobe getroffen. Hier wurden Daten von 38 Millionen Adobe Kunden gestohlen.

Nicht so lange zurück – im Mai 2016 hat es LinkedIn getroffen. Hier wurden über 150 Millionen Accountdaten gestohlen.

Man sieht an diesen beiden Beispielen, dass es sehr leicht grosse Unternehmen treffen und man damit auch leicht Opfer werden kann. Die gestohlen Daten beinhalten Namen und E-Mail Adressen von Usern, sowie zum Teil Kreditkartendaten und in vielen Fällen die Passwörter der jeweiligen Plattform.

Oft werden die Passwörter bei den betroffenen Unternehmen zurückgesetzt oder die User aufgefordert das zu tun. Ein Problem hat man dabei aber, wenn man ein und das selbe Passwort an verschiedenen Stellen verwendet. Denn dann kann der Dieb mitunter auch bei anderen Systemen mit den erbeuteten Userdaten einloggen.

 

Wurde dein Passwort gestohlen?

Wurde auch dein Passwort bereits gestohlen? Hier kannst du testen, ob sich deine Daten auch in der Liste der gestohlenen Accounts befinden.

Über das Hasso Platter Institut kannst du deine E-Mail Adresse eingeben und bekommst dann per Mail das Ergebnis zugesendet. Insgesamt 5 Milliarden Nutzerkonten sind in dieser Datenbank vorhanden. Nachdem du den Test gestartet bekommst du eine E-Mail mit dem Ergebnis. Die Mail sieht im Idealfall so aus.

Passwortdatenbank Abfrage - E-Mail nicht gefunden
Passwortdatenbank Abfrage – E-Mail nicht gefunden

 

Wenn du davon betroffen bist, dann kann die Mail so aussehen. In diesem Fall war eine meiner E-Mail Adresse bei den gestohlenen Adobe Adressen dabei.

 

Passwortdatenbank Abfrage - E-Mail gefunden
Passwortdatenbank Abfrage – E-Mail gefunden

 

Was bedeutet das nun. Kennt jetzt der Dieb das Passwort, welches du dort verwendet hast. Nun zum Glück nicht, zumindest kann man bei Adobe davon ausgehen. In der Regel sind die Passwörter nicht im Klartext gespeichert, sondern in verschlüsselter Form. Aber mit genug Zeit und einem schwachen Passwort, lässt sich dieses leicht errechnen. Der Dieb hat ja genug Zeit um das Passwort herauszufinden, da er die Daten bei sich lokal hat.

Deshalb sollte man sein Passwort rasch ändern, wenn man in der Liste auftaucht. Aber auch wenn man sich nicht in einer der Listen findet sollte man sein Passwort ab und zu ändern, da du nicht davon ausgehen kannst, dass jeder Einbruch so prominent in den Medien veröffentlicht wird, wie von Adobe oder von Sony.

Es gibt noch einen weiteren Dienst, bei dem man seine E-Mail Adresse testen lassen kann. Unter ;–have i been pwned? gibt es ebenfalls eine Datenbank mit fast 5 Milliarden Einträgen. Auf dieser Seite erhält man sofort im Browser die Antwort und auch da mit der genauen Angabe, wo die E-Mail Adresse geklaut wurde.

 

Passwortdatenbank Abfrage - Daten gefunden bei Adobe.
Passwortdatenbank Abfrage – Daten gefunden bei Adobe.

Was solltest du daraus lernen?

Welche Schlussfolgerung kann man jetzt aus diesen Vorfällen ziehen?

Passwort öfter ändern

Damit die Diebe nichts mit den gestohlenen User und Passwort Kombinationen anfangen können, ist es empfehlenswert seine Passwörter gelegentlich zu ändern. Gerade wenn man erfahren hat, dass Daten gestohlen wurde ist es noch dringender dieser Tätigkeit nachzugehen .

Genau daran soll uns der Ändere dein Passwort Tag am 1. Februar erinnern. Also los – doch halt – warte noch kurz.

Vielleicht solltest du den Beitrag noch zu Ende lesen. Er hat noch den einen oder anderen Tipp für dich, worauf du beim vergeben der Passwörter achten solltest.

Ändere in regelmäßigen Abständen dein Passwort

 

Passwort nicht öfter verwenden

Wenn dein Passwort bei einem Betreiber gestohlen wurde, dann versuchen die Diebe mit den erbeuteten Daten auch bei anderen Plattformen einzuloggen. Und sie haben damit leider sehr oft Erfolg.

Es ist deshalb sehr wichtig darauf zu achten, dass du nicht ein und das selbe Passwort bei verschiedenen Anbietern verwendest.

Damit kannst du beruhigt schlafen, wenn du erfährst, dass bei einem Anbieter, wo du Kunde bist in die Datenbank eingebrochen und Userdaten sowie Passwörter gestohlen wurden.

Damit hast du nur die Aufgabe auf dieser einen Plattform dein Passwort erneut zu ändern und nicht auf vielen vielen anderen.

Verwende nicht überall das selbe Passwort

 

Ein sicheres Passwort wählen

Der erste Schritt ist getan und wir vergeben überall verschiedene Passwörter. Jetzt sollte das Passwort auch noch sicher sein. Was aber bedeutet sicher bei einem Passwort?

Dazu muss man zuerst einmal wissen, wie Passwörter gespeichert werden und wie die Angreifer das Klartext-Passwort ermitteln.

Bei einem verantwortungsbewussten Betreiber werden die Passwörter normalerweise nicht in Klartext abgelegt, sondern verschlüsselt. Das bedeutet, dass jemand, der an die Daten kommt nicht sofort auf den ersten Blick das Passwort lesen kann.

Die Verschlüsselung funktioniert so, dass es keine rechnerische Methode gibt um daraus das echte Passwort zu errechnen. Wie prüft ein System jetzt, ob das Passwort richtige eingegeben wurde?

Dazu wird das Passwort, dass ein User bei einem Login eingibt mit dem selben Verfahren verschlüsselt, wie auch das abgesicherte Passwort verschlüsselt wurde. Sind beide Passwörter gleich dann ist auch der erzeugte verschlüsselte Text gleich und der Zugang kann gewährt werden.

Stimmen die beiden Passwörter nicht überein, so sind auch die verschlüsselten Texte unterschiedlich und der Zugriff sollte verweigert werden.

Genau mit dem selben Verfahren arbeiten auch Hacker. Sie nehmen ein Wort, verschlüsseln es und vergleichen es mit dem abgespeicherten Wert. Ist er unterschiedlich, dann wird mit einem anderen Wort probiert. Das ganze wird solange wiederholt, bis eine Übereinstimmung stattfindet.

Damit das Probieren nicht so wahllos von statten geht, gibt es vorgegebene Wortlisten mit denen die Tests durchgeführt werden. Diese Listen kann man leicht im Internet über Suchmaschinen finden und als Textdatei herunterladen.

Jetzt denkst du sicher, dass es doch nicht sein kann, dass User solche Passwörter wirklich verwenden. Da muss ich die leider enttäuschen. Auf der oben bereits erwähnten Seite zum Prüfen der gestohlenen Account, gibt es auch eine Statistik der am meisten verwendeten Passwörtern. Man kann es kaum glauben, aber dieses Passwort ist „123456“.

So bitte nicht.

Wenn du dir die Statistik etwas genauer ansehen willst, dann findest du hier mehr Informationen:

https://sec.hpi.de/ilc/statistics

Wenn der Angreifer mit den fertigen Listen nicht weiterkommt, dann wird systematisch durchprobiert. Er beginnt mit dem Buchstaben a und probiert alle Buchstaben bis z durch. Dann werden Kombination wie aa, ab, ac, usw. ausprobiert. Zuerst eine Stelle dann 2 Stellen, dann 3 und so weiter.

Je mehr Stellen dabei probiert werden müssen, desto länger dauert das Probieren, da es ja viel mehr Kombinationsmöglichkeiten gibt. Passwörter bis zu 6 bis 8 Stellen, lassen sich je nach Rechenleistung in relativ kurzer Zeit ausrechnen. Bei 12 Stellen ist der Aufwand schon so hoch, dass es einige Jahre dauern kann.

Wenn man dann noch möglichst unterschiedliche Zeichen verwendet, also Klein- und Grossbuchstaben gemischt mit Zahlen und dann noch Sonderzeichen, macht man es dem Angreifer besonders schwer.

Es gibt übrigens einen Online Dienst, mit dem du die Qualität deines Passwortes, testen kannst: „How Secure Is My Password“. Da kannst du in etwa ein Gefühl dafür bekommen, wie sicher dein Passwort ist und wie lange es dauern würde, bis es errechnet werden kann.

Prüfen der Sicherheit eines Passwortes mit How Secure Is My Password

Also merke dir:

Ein sicheres Passwort sollte mindestens 12 Stellen haben und aus einer Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Ausserdem sollte es keine Wörter aus unserem normalen Sprachgebrauch beinhalten.

 

Wie merkt man sich ein sicheres Passwort?

Jetzt weisst du bereits, dass du dein Passwort nicht mehrfach verwenden und es gelegentlich ändern solltest. Es sollte sicher sein, also mindestens 12 Stellen haben aus allen möglichen Zeichen zusammengesetzt sein und keine Worte, Namen und dergleichen beinhalten.

Wie soll man es aber bei diesen Vorgaben schaffen sich die Passwörter zu merken. Aufschreiben soll man sie ja bekanntlich nicht.

Ich möchte dir dazu 2 Methoden vorstellen.

 

Methode 1: Passwort Safe

Passwörter werden in den meisten Fällen am Computer verwendet. Da bietet es sich natürlich an, ein Tool zu haben, das diese am Computer speichern und bei Bedarf bereitstellen kann.

Gleich vorweg, eine einfache Textdatei oder eine Excel Liste sind keine geeigneten Methoden. Die Passwörter müssen am Computer so abgespeichert werden, dass diese nicht im Klartext vorliegen, sondern verschlüsselt werden.

 

KeePass

Ein Programm, das kostenlos ist und das ich lange Zeit selbst verwendet habe ist KeePass. Das Programm kann man hier herunterladen. Neben dem Vorteil, dass es kostenlos ist, ist es auch auf verschiedenen Betriebssystemen verfügbar.

Der Vorteil an einem solchen Tool ist, dass man sich nur mehr ein sicheres Passwort merken muss und das ist wesentlich einfacher, als viele Passwörter.

Doch Achtung – wenn du dieses eine Passwort vergisst, dann hast auch du keinen Zugriff mehr auf die Daten. Denn sicher ist sicher, auch vor dir.

 

1Password

Mittlerweile habe ich von KeePass auf 1Password gewechselt. Der Grund ist nicht weil ich mit KeePass unzufrieden war, sondern viel mehr, dass 1Password für mich einfach bestimmte Features anbietet, die mir relativ wichtig waren.

Es ist ebenfalls für verschiedene Betriebssysteme verfügbar und es gibt auch eine mobile Version. Besonders praktisch finde ich die Integration in die Browser. Wenn eine Webseite aufgeht, dann kann man durch einen Klick auf das 1Password Symbol im Browser einfach das für diese Seite hinterlegte Passwort (und den Usernamen) eintragen.

Wird bei einem Login eine Username / Passwort Kombination erkannt, die noch nicht gespeichert ist, dann wird man gefragt und kann mit einem Klick die Daten abspeichern lassen.

Mehr Info zu 1Password findest du hier.

 

Methode 2: Die Satz Methode

Zum Abschluss will ich dir noch eine Methode vorstellen, die ganz ohne Computer auskommt.

Du denkst dir einfach einen Satz aus der zu der Website passt. Nehmen wir einmal an, du willst ein Passwort zum Einloggen bei der Adobe Website. Hier würde mein Satz lauten:

„Das ist mein sicheres Passwort für die Webseite von Adobe.“

Jetzt nehme ich von jedem Wort den ersten Buchstaben und die Satzzeichen des Satzes. Daraus ergibt sich dann:

DimsPfdWvA.

Dieses Passwort hat schon einmal 11 Stellen und ist damit relativ sicher. Legen wir noch etwas drauf und geben an das Ende 2 Ziffern – zB. „00“. Wir erhalten dann:

DimsPfdWvA.00

13 Stellen – Groß- und Kleinschreibung gemischt, Zahlen und Sonderzeichen, so soll es sein. Unser „How Secure Is My Password“ Test, gibt hier 5 Millionen Jahre zurück, das sollte fürs erste einmal ausreichend sicher sein.

Den Satz kannst du passend zu deinem Ziel anpassen.

 

Und jetzt bleibt mir am Ende nur noch eine Aufforderung:

Ändere jetzt deine Passwörter auf sichere Passwörter

 

 

Andreas Stocker

Andreas Stocker

Andreas hat 25 Jahre Webagentur Erfahrung und gibt jetzt sein Wissen weiter, wie man selbst einen erfolgreichen Webauftritt umsetzt und betreut.

Dieser Beitrag hat einen Kommentar

  1. Ich habe jetzt schon mehrmals gelesen (angebliche Studien), dass ein laufender Wechsel von Passwörtern genau das Gegenteil bewirkt, als was dieser Vorgang eigentlich bewirken sollte. Gerade durch das häufige Wechseln läuft man eher Gefahr, dass Passwörter entwendet werden.

    Da helfen auch die Passwort-Sammel-Tools wenig, dann wenn zB der Laptop gestohlen wird, kann man recht leicht all jene Passörter wieder rausfinden oder ändern.

    Wenn schon, dann kann man nur Methode 2 empfehlen.

Schreibe einen Kommentar

Inhaltsverzeichnis

Über den Autor

Andreas Stocker

Andreas Stocker

Andreas hat 25 Jahre Webagentur Erfahrung und gibt jetzt sein Wissen weiter, wie man selbst einen erfolgreichen Webauftritt umsetzt und betreut.

Letzte Beiträge