Am 01. Februar ist Ändere-Dein-Passwort-Tag. Ich nehme das heute zum Anlass auf ein paar DOs und DON’Ts im Umgang mit Passwörtern hinzuweisen:
DON’Ts:
- Kurze Passwörter
Die Zeit, die ein Bruce-Force-Angriff auf ein Passwort im Durchschnitt benötigt, steigt expotential mit der Länge des Passwortes. Daher sollte nach aktuellem Stand der Technik ein Passwort auf keinen Fall kürzer als 8 Zeichen lang sein. - Beliebte Passwörter
Brute-Force-Angriffe auf Passwörter basieren auf Passwortlisten, die alle häufig verwendeten Passwörter enthalten. Passwörter wie „Geheim“, „Passwort“, „QWERTZ“, „123456“, etc. stehen ganz oben in dieser Liste. - Passwörter aus dem Wörterbuch
Führen die Listen mit beliebten Passwörtern nicht zum Ziel, werden zufällige Kombinationen aus Wörterbüchern aller Sprachen, der Bibel, Liedtexte, Zitate, etc. durchprobiert. - Gleiches Passwort für mehrere Dienste
Verwende ich das gleiche Passwort für mehrere Dienste erhöht sich deutliche das Risiko, dass mein Passwort kompromittiert wird. Wird ein nicht ausreichend geschütztes System erfolgreich angegriffen, kann mein Passwort dabei kompromittiert werden. Dadurch bestimmt nicht nur das schwächste System die Sicherheit meines wiederverwendeten Passwortes, sondern auch der mögliche Schaden erhöht sich deutlich, da ein kompromittiertes Passwort ganz sicher auch bei allen anderen von mir verwendeten Diensten ausprobiert wird.
DOs:
- Passwortlose Zugangsverfahren
Das Verwenden von passwortlosen Zugangsverfahren wie „Passkeys“ oder „FIDO2“ schützen mich effektiv vor Phishing, dem Abgreifen von Zugangsdaten; z.B. durch bösartige Emails oder gefälschte Webportale. Mobile Geräte des Herstellers Apple, haben nativ den Passwort-Safe „Passwörter“ im Betriebsystem enthalten. Darin ist auch die Passkeys-Funktion enthalten. - 2FA
Zwei-Faktor-Authenzifierung, bei der ich neben Nutzername und Passwort, noch einen zweiten Faktor, wie ein Einmal-Passwort (OTP), das jeweils nur für eine Minute gültig ist, schützt mich vor Phishing und Man-in-the-Middle-Angriffe. - Passwort-Safe
Niemand kann sich dutzende sichere Passwörter merken. Abhilfe schafft ein Passwort-Safe. Eine Software, die verschlüsselt alle meine Passwörter speichert. So muss ich mir nur ein Passwort wirklich merken. Der Passwort-Safe kann auch direkt meinen Nutzernamen und mein Passwort z.B. auf einer Webseite ausfüllen, ohne sie jemandem zu zeigen, der mir beim Anmelden über die Schulter schaut. Mit Hilfe eines Passwort-Safes fällt es mir leicht, für jeden Dienst ein anderes Passwort zu vergeben. Es bleibt, ich muss mir nur das EINE Master-Passwort wirklich merken. Die verschlüsselte Datei des Passwort-Safes, sollte über Cloud-Dienste auf allen meinen Geräten verfügbar sein. - Sichere Passwörter
Auch mit Passwort-Safe, 2FA oder passwortlose Zugänge komme ich nicht ganz darum mir das eine oder andere Passwort zu merken. Mein Tip: Einen ganzen Satz, eine Zeile aus einem Lied oder einem Gedicht merken. Das eigentliche Passwort sind nur die Anfangsbuchstaben des Satzes, mit Groß- und Kleinschreibung und allen Satzzeichen. Z.B. wird so auf dem Satz „Der Mensch denkt, aber Gott ist es, der lenkt.“ das Passwort „Dmd,aGie,dl.“. Ein sicheres Passwort, das ich mir dennoch merken kann.