Passwort sicher erstellen
Wie werden Passwörter geknackt?
Persönliche Daten, wie Namen, Geburtsdaten oder KFZ-Kennzeichen oder Kombinationen daraus sind als Passwort absolut ungeeignet. Falls diese Daten dem Angreifer nicht schon bekannt sind, können sie zumeist mit wenig Aufwand herausgefunden werden. Achten Sie außerdem darauf, dass Sie keine Wörter benutzen, die im Lexikon zu finden sind. Angreifer führen zum Knacken von Passwörtern nämlich häufig eine sogenannte „Wörterbuch Attacke“ durch. Ein Angreifer verwendet bei dem Lexikon-Angriff digitale Wörterbücher und probiert völlig automatisiert enthaltene Wörter als Passwort aus. Dabei werden ganze Wortsammlungen (Vornamen, Tiernamen, u.s.w.) sowie Kombinationen von Wörtern durchgespielt – vorwärts, rückwärts, kombiniert mit Sonderzeichen und Zahlen (z.B. sabine, enibas, christian, naitsrihc, sabinechristian, sabine1, u.s.w.). Eine andere Möglichkeit, die sich Angreifer besonders bei kurzen Passwörtern zu Nutze machen, ist die Verwendung einer so genannten „Brute-Force-Attacke“. Dabei probiert ein Angreifer mithilfe es Computers einfach alle möglichen Buchstaben- und Zahlenkombinationen aus (z.B. a,b, aa, bb, ab, ba, u.s.w.). Durch die fortgeschrittene Leistungsfähigkeit heutiger Computer können innerhalb kürzester Zeit Millionen von Passwortvarianten getestet werden. Nicht selten gelingt es Kriminellen sich auf diese Weise Zugang zu den sensiblen Daten ihrer Opfer zu verschaffen.
Verwenden Sie nur sichere Passwörter!
Wählen Sie ein sicheres und damit starkes Passwort. Ein starkes Passwort ist auf den ersten Blick sinnfrei zusammengesetzt, unterliegt also keiner erkennbaren Systematik. Verwenden Sie mindestens 10 Zeichen, darunter eine Mischung aus Groß- und Kleinbuchstaben, sowie Ziffern und Sonderzeichen. Mit jedem zusätzlichen Zeichen, das Sie für den Ihr Passwort wählen, steigt der Aufwand zum Knacken des Passwortes für den Angreifer rasant an! Doch das beste Passwort nützt Ihnen nichts, wenn Sie sich später nicht mehr daran erinnern können. Es gibt viele Möglichkeiten sich komplizierte Passwörter mit einer einfachen Eselsbrücke zu merken. Überlegen Sie sich einen Satz, zum Beispiel: „An jedem 1. und 3. Samstag im Monat gehe ich Fußballspielen!“. Wenn Sie nur die Anfangszeichen verwenden, ergibt sich daraus folgendes Passwort: „Aj1.u3.SiMgiF!“. Eine andere Möglichkeit: Verwenden Sie die Nachbartaste. Aus dem Wort „Urlaubstag“ wird so zum Beispiel die sinnfreie Buchstabenfolge „itösindzsh“. Vergessen Sie nicht dieses noch um Sonderzeichen und Zahlen zu ergänzen!
Ändern Sie Ihre Passwörter regelmäßig!
Achten Sie darauf, Ihre Passwörter regelmäßig zu ändern. Grundsätzlich geben wir hier keine Empfehlung, wie häufig Sie Ihr Passwort ändern sollten. Das hängt zum einen davon ab, wie häufig Sie ihr Passwort verwenden und zum anderen, wie sensibel Ihre zu schützenden Daten sind (z.B. Passwort fürs Online-Banking vs. Passwort für eine Newsletter-Anmeldung).Idealerweise sollten Sie Passwörter für sensible Anwendungen (z.B. Online-Banking) etwa alle drei Monaten wechseln. Wenn Sie den Verdacht haben, dass jemand Unbefugtes in den Besitz Ihres Passworts gelangt sein könnte, ändern Sie dieses umgehend. Auch voreingestellte oder von Händlern vorgegebene Passwörter für Software oder Systeme sollten sofort durch ein individuelles Passwort ersetzt werden. Häufig probieren Hacker bei einem Angriff zunächst aus, ob vergessen wurde diese zu individualisieren. Hinweise darauf, ob voreingestellte Passwörter vorhanden sind und wie diese sich gegebenenfalls ändern lassen, finden Sie in den Produkten beiliegenden Handbüchern.
Verwenden Sie Ihr Passwort nur einmal!
Verwenden Sie bei einem neuen Passwort keinesfalls ein bereits in der Vergangenheit benutztes Passwort. Ist der Angreifer beispielsweise vor Jahren in den Besitz eines von Ihnen passwortgesicherten Word-Dokumentes gekommen, hat er in der Zwischenzeit genug Zeit, sehr viele Passwortvariationen zu testen. Hat er dass Passwort gefunden, probiert er dieses unter Umständen immer wieder bei Ihren aktuellen Diensten auf Gültigkeit. Verwenden Sie deshalb niemals ein bereits genutztes Passwort zum wiederholten Mal!
Verwenden Sie kein Passwort mehrfach!
Immer mehr Skandale durch den Datenklau personenbezogener Daten kann man der Presse entnehmen. Gelangt damit ein von Ihnen mehrfach genutztes Passwort an die Öffentlichkeit, probieren Angreifer dies auch bei anderen Diensten (z.B. bei Ihrem Online-Banking) aus. Bequemlichkeit ist daher ein schlechtes Kriterium bei der Passwortwahl. Auch wenn die Verlockung groß ist, verwenden Sie für jeden Zweck und jeden Zugang ein anderes Passwort. Gelangen Zugangsdaten, die Sie mehrfach verwenden in die falschen Hände, haben die Angreifer auch bei allen übrigen Anwendungen und Diensten leichtes Spiel.
Verwahren Sie Ihre Passwörter an einem sicheren Ort!
Jeder Computernutzer verwaltet heute eine Vielzahl von Passwörtern. Eines für den privaten PC, eines für den Firmenlaptop, eines für den E-Mail-Account, eines für das Online-Banking und so weiter. Selbst Gedächtnisweltmeister stoßen da irgendwann an ihre Grenzen. Der Gedanke alle Passwörter gesammelt auf einem Zettel zu notieren liegt nahe, ist aber keinesfalls zu empfehlen, wenn die Notizen nicht in einem Tresor verschlossen werden. Verlieren Sie diese Notizen oder werden sie entdeckt und unbemerkt kopiert, ist es für Kriminelle ein Leichtes sich Zugang zu Ihren sensiblen Daten zu verschaffen, in Ihrem Namen E-Mails zu verfassen oder Ihr Bankkonto zu plündern. Verwenden Sie stattdessen am besten einen digitalen Passwort-Manager. Einige Produkte wie z.B. „Keepass“ oder „Password Safe“ können Sie im Internet kostenfrei herunterladen. Mit diesen Programmen können Sie die Vielzahl der Nutzernamen und Kennwörter verschlüsselt auf der Festplatte Ihres Computers speichern. Zusätzlich können Sie die Daten für eine bessere Übersicht in Kategorien, wie „E-Mail“ oder „Online-Banking“ sortieren sowie auf Knopfdruck ein sicheres Passwort generieren. Zur Entschlüsselung müssen Sie sich dann in Zukunft nur noch ein Passwort, das so genannte Masterpasswort, für den Passwort-Manager merken, damit der digitale Tresor seine Pforten öffnet und Ihre Passwörter für den Dienst dort herauskopiert oder im Klartext betrachtet werden können. Achten Sie darauf, dass der Passwortmanager ein sicheres Verschlüsselungsverfahren benutzt. Als sicher gilt das häufig genutzte AES-Verfahren (Advanced Encryption Standard), das in den USA sogar für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. Die Achillesferse jedes Passwort-Managers ist das Masterpasswort. Vergeben Sie es nach oben genannten Kriterien, behalten Sie es unter allen Umständen für sich und „notieren“ Sie es sich ausschließlich in Ihrem Kopf.
Geben Sie Ihre Zugangsdaten nur an vertrauenswürdigen Rechnern ein!
Vermeiden Sie es, Ihre Zugangsdaten an einem nicht vertrauenswürdigen Computer, z.B. im Internetcafé, einzugeben.Mittels eines sogenannten Keyloggers (deutsch: Tastenrekorder) können Hacker sämtliche Eingaben, die Sie über die Tastatur vornehmen, protokollieren; damit auch Ihre Passwörter. Unterschieden wird zwischen Software- und Hardware-Keyloggern. Damit ein Hacker einen Hardware-Keylogger installieren kann, benötigt er physischen Zugang zum Computer des Opfers, um das Bauteil, in der Regel ein Verbindungsstück zwischen Tastatur und PC, anzubringen. Software-Keylogger werden digital zwischen Tastatur und Betriebssystem geschaltet und gelangen zumeist in Form von Schadprogrammen auf den Rechner. Um sich vor Software-Keyloggern zu schützen, sollten Sie Ihren PC mit einem Anti-Spyware-Programm und einem Virenscanner ausrüsten und diese immer auf dem neuesten Stand halten.
Geben Sie Ihre Passwörter niemals preis!
Häufig machen sich Angreifer gar nicht die Mühe, ein Passwort zu knacken oder es per Keylogger zu stehlen, sondern nutzen einfach die Leichtgläubigkeit der Nutzer aus. Phishing-Betrüger versenden im Namen eines vertrauenswürdigen Absenders (z.B. eines Kreditinstituts) eine E-Mail und bitten unter einem Vorwand darum, den darin enthaltenen Link anzuklicken. Oft werden hierfür Wartungsarbeiten oder eine Verifizierung vorgeschoben. Der Link führt auf eine vom Angreifer präparierte Website, die der echten zum Verwechseln ähnlich sieht. Hier sollen nun die Zugangsdaten eingeben werden. Geschieht dies, erhält der Angreifer die Zugangsdaten in der Regel automatisiert via E-Mail und kann mit den gestohlenen Daten erheblichen Schaden anrichten. Keine Bank und kein anderer Betreiber einer Online-Anwendung wird Sie jemals in einer E-Mail dazu auffordern, Ihre Zugangsdaten preiszugeben. Folgen Sie auch niemals einem in einer E-Mail enthaltenen Link, sondern geben Sie die Internetadresse immer manuell in die Adresszeile Ihres Browsers ein. Halten Sie außerdem Ihr Betriebssystem immer auf dem neuesten Stand (Sicherheitsupdates einspielen) und aktualisieren Sie Ihr Virenschutzprogramm und Ihre Firewall regelmäßig, um sich vor Phishing-Betrügern zu schützen.
Sichern Sie Ihren Computer mit einem Passwort!
Nutzen Sie einen weiteren Schutzmechanismus, um Unbefugten den Zugriff auf Ihren PC zu erschweren. Ist der Benutzeraccount an Ihrem Computer nicht mit einem Passwort gesichert, sollten Sie dies unbedingt nachholen. Sie finden die Einstellmöglichkeiten unter Windows in der Systemsteuerung unter Benutzerkonten. Mit der Vergabe eines Passworts, können Angreifer nicht adhoc an Ihre Daten. Dies ist auch gerade dann wichtig, wenn Sie diesen zeitweise unbeaufsichtigt lassen. Die gängigen Betriebssysteme bieten die Möglichkeit Tastatur und Bildschirm nach einer vorher definierten Zeit oder via Tastenkürzel zu sperren– unter Windows mit der Windows-Taste + „L“. Eine Entsperrung und damit der Zugriff auf das System sind erst nach Eingabe des korrekten Passworts wieder möglich.