LcX.wien IT Solutions
LcX.wien IT Solutions

├ťberleben in der Digitalen Revolution - IT Sicherheit, Digitalisierung und alles andere rund um das digitale Leben.

Share


Unser Newsletter


Immer auf dem laufenden Bleiben

Tags


Twitter


LcX.wien IT Solutions

Kennw├Ârter

Das Kennwort ist zu Kurz, hat nicht genug Sonderzeichen, Ziffern, Grossbuchstaben, aufschreiben darfst du das Kennwort auch nicht. Wer soll sich solche Kennw├Ârter nur merken?

Cristian LivadaruCristian Livadaru

Vielleicht hast du ja das PR Desaster der T-Mobile Austria mitbekommen, falls nicht hier eine kurze Zusammenfassung:
T-Mobile Austria speichert Kunden Kennw├Ârter in Klartext ab (T-Mobile.at prahlt mit ÔÇťamazing securityÔÇŁ, wird weltweit zur Lachnummer - Mobilfunker - derStandard.at ÔÇ║ Web) , das alleine ist schon ein absolutes no-go, die Statements auf Twitter aber machen alles nur schlimmer.
Das schlimmste Statement ist die Antwort auf die Frage, was denn wohl passiert wenn jemand T-Mobile hacked und die Daten (und damit die Klartext Kennw├Ârter) verbreitet, hier meinte die Sprecherin das ihre Security einmalig gut ist ÔÇťWhat if this doesn't happen because our security is amazingly good?ÔÇŁ

Das gr├Â├čte Problem an der Sache ist, dass leider viele ein und dasselbe Kennwort ├╝berall verwenden, wird dieses Kennwort kompromittiert, dann kann es auf unterschiedlichen Stellen missbraucht werden (Facebook, Email, ÔÇŽ)
Deshalb wird es Zeit f├╝r meine Tipps, wie mit Kennw├Ârtern umgegangen werden soll.

Sichere Kennw├Ârter

Folgendes Szenario kommt dir bestimmt bekannt vor: du willst dich irgendwo registrieren, gibst ein Kennwort ein und das Kennwort wird abgelehnt. Zu kurz, es muss Gro├čbuchstaben enthalten, es muss Sonderzeichen Enthalten, es muss Ziffern enthalten und zum Schluss kommt dann so etwas raus: &noc)vZotBEzvemNwq3P
Sicher? Ja. Merkbar? Auf keinen Fall.
Also greift man wieder auf ein simples und unsicheres Kennwort zur├╝ck wie Urlaub#1 oder schlimmer ÔÇŽ qaywsx (habe ich gerade dein Kennwort erraten?)
Es gibt aber eine L├Âsung, mehr dazu sp├Ąter.

Unterschiedliche Kennw├Ârter

Du musst f├╝r jeden Dienst ein anderes Kennwort verwenden! Dasselbe Kennwort mehrmals zu verwenden ist ebenfalls ein absolutes no-go. Dienste wie Yahoo, LinkedIn und viele andere waren schon Ziel von Angriffen wo Kennw├Ârter abgegriffen wurden. Wenn du hier dasselbe Kennwort verwendet hast, wie bei deiner Mailadresse und Social Media Konten, kannst du dir glaube ich selber ein Bild davon machen was dann passiert.

Kennw├Ârter nicht regelm├Ą├čig ├Ąndern

Dieses Mythos sein Kennwort alle x Wochen / Monate etc. zu ├Ąndern muss bitte endlich eingestellt werden. Das h├Ąufige ├ändern des Kennworts steigert keineswegs die Sicherheit! Es gab dazu etliche Berichte wie z.B. im Standard PC-Mythos: H├Ąufiger Passwortwechsel ist doch schlecht - IT-Security - derStandard.at ÔÇ║ Web

Auf ein Passwort wie "susi&1" w├╝rde beispielsweise also h├Ąufig "sUsi&1", "susi&11" oder "susi&2" folgen

Dem ist eigentlich nichts mehr hinzuzuf├╝gen.

Dice Words

Leider wurdest du (und ich auch) durch diverse falsch verstandene Kennwort Richtlinien dazu gezwungen komplexe Kennw├Ârter zu generieren, die du dir nicht merken kannst, wie im obigen Comic Tr0ub4dor&3 Merkbarkeit ist hier fast 0 aber es kann in etwa 3 Tagen gehackt werden.

Also wie soll man sich denn so viele komplexe Kennw├Ârter nur merken?

Es gibt eine einfachere L├Âsung die sich ÔÇťdice wordsÔÇŁ nennt Diceware ÔÇô Wikipedia
Dazu brauchst du einen W├╝rfel und eine Wortliste, f├╝r Deutsche W├Ârter findest du dies hier: http://world.std.com/~reinhold/diceware_german.txt
Danach erw├╝rfelst du dir ein Kennwort welches sich aus unterschiedlichen W├Ârtern zusammensetzt. Die L├Ąnge deines Kennworts und damit auch die Dauer um es automatisiert zu erraten wird dadurch enorm gesteigert, die Kennw├Ârter bleiben aber dennoch merkbar.

Das Problem dabei ist aber leider der Aufwand. Hast du Zeit bei jedem neuen Online Shop 20x zu w├╝rfeln um ein Kennwort aus 5 W├Ârtern zu erhalten?
Ich empfehle solche Kennw├Ârter daher nur f├╝r die wichtigsten Dienste bzw. F├╝r eine Kennwort Datenbank.

Tools

Es gibt aber auch Tools die hier weiter helfen k├Ânnen. Auf die Schnelle will ich nur 3 nennen, aber der Markt ist gro├č:

Die ersten zwei sind Kostenpflichtig, KeePass ist Kostenlos und OpenSource. Da ich die Kennw├Ârter ungern online habe - auch wenn diese verschl├╝sselt sind - verwende ich 1Password und synchronisiere ├╝ber WLAN bzw. selbst gehostete Dropbox alternativen.
Der Vorteil von solchen Tools ist, dass du dir nur noch ein Kennwort merken musst - hier musst du aber unbedingt ein sehr sicheres Kennwort verwenden (siehe Oben den Abschnitt bezgl. Dice Words).
Durch Browser Plugins werden automatisch Kennw├Ârter generiert, eines f├╝r jeden Dienst, Formulare werden automatisch ausgef├╝llt und es gibt auch einen Schutz gegen Phishing und falsch konfigurierte Web Server.
Wenn du auf eine Phishing Mail reingefallen bist wird 1Password z.B. das ausf├╝llen des Kennworts verweigern wenn du statt auf paypal.com auf example.com/paypal.com gelandet bist, weiters gibt 1Password eine Warnung aus falls du auf der unverschl├╝sselten Variante der Webseite (http) statt auf der verschl├╝sselten Variante (https) gelandet bist, bevor ein Kennwort ausgef├╝llt wird.
Leider habe ich LastPass und KeePass nicht verwendet, daher basieren sich meine Erfahrungen auf 1Password.

Andere M├Âglichkeiten?

Es gibt nat├╝rlich auch andere M├Âglichkeiten die Zug├Ąnge zu sichern mit einer Zwei-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung ÔÇô Wikipedia (auch 2FA genannt) hierbei wird zus├Ątzlich zum Kennwort eine zweite Komponente ben├Âtigt um einen Zugriff zu erhalten.
Diese zweite Komponente kann z.B. die Google Authenticator App sein, ein Hardware USB Stick wie z.B. ein YubiKey von yubico.com
Hier muss aber der Dienstanbieter eine 2FA unterst├╝tzen. Mehr zum Thema 2FA folgen noch in einem weiteren Beitrag.

Zusammenfassung

Also nochmals kurz zusammengefasst:

  • Sichere Kennw├Ârter generieren
  • Ein Kennwort Pro dienst
  • Tools verwenden

Newsletter

Fandest du diesen Artikel hilfreich, nicht hilfreich oder hast du Fragen? Melde dich f├╝r unser Newsletter an, du kannst jederzeit auf die Newsletter Mails Antworten, ich melde mich zur├╝ck.

Header Foto unsplash-logoMarkus Spiske

Kommentare