Sign in Subscribe
IT Sicherheit

Kennwörter

Das Kennwort ist zu Kurz, hat nicht genug Sonderzeichen, Ziffern, Grossbuchstaben, aufschreiben darfst du das Kennwort auch nicht. Wer soll sich solche Kennwörter nur merken?

Cristian Livadaru

4 min read
Kennwörter

Vielleicht hast du ja das PR Desaster der T-Mobile Austria mitbekommen, falls nicht hier eine kurze Zusammenfassung:
T-Mobile Austria speichert Kunden Kennwörter in Klartext ab (T-Mobile.at prahlt mit “amazing security”, wird weltweit zur Lachnummer - Mobilfunker - derStandard.at › Web) , das alleine ist schon ein absolutes no-go, die Statements auf Twitter aber machen alles nur schlimmer.
Das schlimmste Statement ist die Antwort auf die Frage, was denn wohl passiert wenn jemand T-Mobile hacked und die Daten (und damit die Klartext Kennwörter) verbreitet, hier meinte die Sprecherin das ihre Security einmalig gut ist “What if this doesn't happen because our security is amazingly good?”

Das größte Problem an der Sache ist, dass leider viele ein und dasselbe Kennwort überall verwenden, wird dieses Kennwort kompromittiert, dann kann es auf unterschiedlichen Stellen missbraucht werden (Facebook, Email, …)
Deshalb wird es Zeit für meine Tipps, wie mit Kennwörtern umgegangen werden soll.

Sichere Kennwörter

Folgendes Szenario kommt dir bestimmt bekannt vor: du willst dich irgendwo registrieren, gibst ein Kennwort ein und das Kennwort wird abgelehnt. Zu kurz, es muss Großbuchstaben enthalten, es muss Sonderzeichen Enthalten, es muss Ziffern enthalten und zum Schluss kommt dann so etwas raus: &noc)vZotBEzvemNwq3P
Sicher? Ja. Merkbar? Auf keinen Fall.
Also greift man wieder auf ein simples und unsicheres Kennwort zurück wie Urlaub#1 oder schlimmer … qaywsx (habe ich gerade dein Kennwort erraten?)
Es gibt aber eine Lösung, mehr dazu später.

Unterschiedliche Kennwörter

Du musst für jeden Dienst ein anderes Kennwort verwenden! Dasselbe Kennwort mehrmals zu verwenden ist ebenfalls ein absolutes no-go. Dienste wie Yahoo, LinkedIn und viele andere waren schon Ziel von Angriffen wo Kennwörter abgegriffen wurden. Wenn du hier dasselbe Kennwort verwendet hast, wie bei deiner Mailadresse und Social Media Konten, kannst du dir glaube ich selber ein Bild davon machen was dann passiert.

Kennwörter nicht regelmäßig ändern

Dieses Mythos sein Kennwort alle x Wochen / Monate etc. zu ändern muss bitte endlich eingestellt werden. Das häufige Ändern des Kennworts steigert keineswegs die Sicherheit! Es gab dazu etliche Berichte wie z.B. im Standard PC-Mythos: Häufiger Passwortwechsel ist doch schlecht - IT-Security - derStandard.at › Web

Auf ein Passwort wie "susi&1" würde beispielsweise also häufig "sUsi&1", "susi&11" oder "susi&2" folgen

Dem ist eigentlich nichts mehr hinzuzufügen.

Dice Words

Leider wurdest du (und ich auch) durch diverse falsch verstandene Kennwort Richtlinien dazu gezwungen komplexe Kennwörter zu generieren, die du dir nicht merken kannst, wie im obigen Comic Tr0ub4dor&3 Merkbarkeit ist hier fast 0 aber es kann in etwa 3 Tagen gehackt werden.

Also wie soll man sich denn so viele komplexe Kennwörter nur merken?

Es gibt eine einfachere Lösung die sich “dice words” nennt Diceware – Wikipedia
Dazu brauchst du einen Würfel und eine Wortliste, für Deutsche Wörter findest du dies hier: http://world.std.com/~reinhold/diceware_german.txt
Danach erwürfelst du dir ein Kennwort welches sich aus unterschiedlichen Wörtern zusammensetzt. Die Länge deines Kennworts und damit auch die Dauer um es automatisiert zu erraten wird dadurch enorm gesteigert, die Kennwörter bleiben aber dennoch merkbar.

Das Problem dabei ist aber leider der Aufwand. Hast du Zeit bei jedem neuen Online Shop 20x zu würfeln um ein Kennwort aus 5 Wörtern zu erhalten?
Ich empfehle solche Kennwörter daher nur für die wichtigsten Dienste bzw. Für eine Kennwort Datenbank.

Tools

Es gibt aber auch Tools die hier weiter helfen können. Auf die Schnelle will ich nur 3 nennen, aber der Markt ist groß:

Die ersten zwei sind Kostenpflichtig, KeePass ist Kostenlos und OpenSource. Da ich die Kennwörter ungern online habe - auch wenn diese verschlüsselt sind - verwende ich 1Password und synchronisiere über WLAN bzw. selbst gehostete Dropbox alternativen.
Der Vorteil von solchen Tools ist, dass du dir nur noch ein Kennwort merken musst - hier musst du aber unbedingt ein sehr sicheres Kennwort verwenden (siehe Oben den Abschnitt bezgl. Dice Words).
Durch Browser Plugins werden automatisch Kennwörter generiert, eines für jeden Dienst, Formulare werden automatisch ausgefüllt und es gibt auch einen Schutz gegen Phishing und falsch konfigurierte Web Server.
Wenn du auf eine Phishing Mail reingefallen bist wird 1Password z.B. das ausfüllen des Kennworts verweigern wenn du statt auf paypal.com auf example.com/paypal.com gelandet bist, weiters gibt 1Password eine Warnung aus falls du auf der unverschlüsselten Variante der Webseite (http) statt auf der verschlüsselten Variante (https) gelandet bist, bevor ein Kennwort ausgefüllt wird.
Leider habe ich LastPass und KeePass nicht verwendet, daher basieren sich meine Erfahrungen auf 1Password.

Andere Möglichkeiten?

Es gibt natürlich auch andere Möglichkeiten die Zugänge zu sichern mit einer Zwei-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung – Wikipedia (auch 2FA genannt) hierbei wird zusätzlich zum Kennwort eine zweite Komponente benötigt um einen Zugriff zu erhalten.
Diese zweite Komponente kann z.B. die Google Authenticator App sein, ein Hardware USB Stick wie z.B. ein YubiKey von yubico.com
Hier muss aber der Dienstanbieter eine 2FA unterstützen. Mehr zum Thema 2FA folgen noch in einem weiteren Beitrag.

Zusammenfassung

Also nochmals kurz zusammengefasst:

  • Sichere Kennwörter generieren
  • Ein Kennwort Pro dienst
  • Tools verwenden

Newsletter

Fandest du diesen Artikel hilfreich, nicht hilfreich oder hast du Fragen? Melde dich für unser Newsletter an, du kannst jederzeit auf die Newsletter Mails Antworten, ich melde mich zurück.

Header Foto unsplash-logoMarkus Spiske

Sign up for more like this.

Enter your email
Subscribe