Cybersecurity

How S*** is your password?

Die schwedische Organisation SSF warnt: Menschen lernen bei der Wahl ihres Passworts nicht dazu. Und machen es Hackern somit einfach, Zugang zu persönlichen Daten zu bekommen. Wahrscheinlich von dir, wahrscheinlich von mir, wahrscheinlich von den meisten von uns. Die Kampagne von SSF ist in ihrer Deutlichkeit mutig und soll viele Menschen daran erinnern, dass ihr Passwort eher in der Kategorie S*** einzustufen ist. 

http://www.akestamholst.se/case/your-password-is-shit/ http://www.akestamholst.se/case/your-password-is-shit/

Als Username einen echten Namen oder das Geburtsdatum als Passwort? Wollen wir den Cyberkriminellen vielleicht gleich noch die IBAN mitgeben? Nun, das braucht man oft gar nicht, denn die steht ja eh im Profil – neben der Kreditkartennummer.

Man sollte es nicht so deutlich sagen müssen: Aber all das sind hochsensible Daten, die eigentlich geschützt werden sollten. Und dennoch sind sie meist leicht zu hacken. Grund dafür sind oft zu schwache Passwörter.

 

Your Password is S***

Das ist einer der Slogans der SSF-Kampagne gegen Cyberkriminalität (in Zusammenarbeit mit der Agentur Akestam Holst). Die Motive sind mit viel Wortwitz und Augenzwinkern gestaltet und ziehen im Stadtbild und im Internet viele Blicke auf sich. Und da das Thema ernst ist, kann man auch mal zu deutlicherer Sprache greifen. Denn es zählt mehr denn je: better safe than sorry.

Was sind die beliebtesten Passwörter der Deutschen? „123456“ ist unangefochten seit vielen Jahren auf dem ersten Platz – die Kreativen unter uns können noch weiter zählen, zumindest bis zur neun. Danach wird es mit „Passwort“ als Passwort wirklich innovativ. Viele stellen sich mit ihrer Passwortwahl sogar schon namentlich ihrem Hacker vor oder begrüßen ihn mit „Hallo“. Freundlichkeit können wir eben.

Sicheres Passwort in nur wenigen Schritten

Der Grundsatz „sehr leicht merkbar = sehr leicht hackbar“ stimmt leider. Ich bin sicher, wir haben alle schon mal die Ratgeber gelesen, wie man ein Passwort sicher macht. Und auch hier auf //next hatten wir schon Hinweise, wie man es nicht macht – und wie schnell es sich rächen kann, wenn man unsichere Passwörtern vertraut. Hier aber noch mal ein paar grundsätzliche Hinweise auf dem Weg zum sicheren Passwort – und am Ende dieses Beitrags zeige ich euch noch, wie ich privat das immer mache.

http://www.akestamholst.se/case/your-password-is-shit/ http://www.akestamholst.se/case/your-password-is-shit/

1.    Anfangsbuchstaben eines Satzes verwenden.

Wirre Zahlen-, Buchstaben- und Zeichenfolgen haben ein Problem: Niemand kann sie sich merken. Beim nächsten Login kommt es deswegen zum unweigerlichen Passwort-Reset inklusive eines neuen, leicht zu merkenden und somit auch leicht zu hackenden Passworts à la „Hallo123“ oder „IchliebedichHackerIn!“.

Eine Möglichkeit, die dem entgegenwirkt, sind Sätze. Ein Beispiel:

·         Satz: Ich bin faul und gebe mir keine Mühe bei meinen Passwörtern! Gezeichnet: Michael, geboren 1995

·         Passwort: IbfugmkMbmP!G:M,g95

·         Um auf Nummer sicher zu gehen: davor, dazwischen oder danach noch weitere Sonderzeichen oder Zahlen einfügen, alternativ auch Buchstaben durch Zahlen ersetzen (z. B. „E“ durch „3“ ersetzen)

2.    Zwei-Faktor-Authentifizierung

Immer mehr Websites bieten eine Zwei-Faktor-Authentifizierung an. Das bedeutet, dass der User nach der erfolgreichen Bestätigung des Passwort eine SMS oder ein Code über eine zusätzliche App enthält und diesen auf der Seite eingeben muss. Erst danach erhält derjenige Zugang zu seinem Konto/Profil. Wo allerdings die Schwachstellen dieses Verfahrens liegen, haben wir hier auf //next bereits untersucht.

3.    Mehrere Passwörter nutzen

Im besten Fall ist jedes Passwort ein Unikat und wird nur für eine Seite bzw. einen Zugang genutzt. Mit Unikaten sind aber nicht „Hallo“ oder „Michael1975“ gemeint, sondern sichere Passwörter mit der oben genannten Methode. Wird man dennoch gehackt, bleibt der Schaden geringer. 

Regelmäßig Berichterstattung prüfen

Das Ziel einiger Hacker sind nicht die individuellen User, sondern große Unternehmen. Meist nutzen sie Sicherheitslücken, um sich Zugang zu sensiblen Daten zu verschaffen. Ist die Hacking-Attacke erfolgreich, ist das aber meist auch desaströs für die Kunden dieser Unternehmen. So kann es passieren, dass nicht nur die eigene E-Mail-Adresse, sondern auch das dazugehörige Passwort und weitere Daten offen im Darknet stehen.

Als User lässt sich in dem Fall nicht viel machen. Die einzigen Möglichkeiten sind, das Passwort sofort zu wechseln oder den Account zu löschen. Um davon wenigstens zu erfahren, solltest du immer die News checken. Denn über größere Leaks wird oft in den Medien berichtet.

Kreativ sein, sich Zeit bei der Erstellung nehmen und ab jetzt keine s***igen Passwörter mehr, versprochen? Und hier noch meine liebste Methode zum Password-Generieren: Ich wische einfach über mein Keyboard. Ungefähr so: xe3aytzrhinojp-bhmv. Noch einen Großbuchstaben eingefügt, das Werk in einem vertrauenswürdigen Passwort-Manager abgespeichert und: Go!

Text: Markus Sekulla