Verwendung von sicheren Passwörtern und wie Du sie erstellst
Aus jedem Forum, jeder Plattform, jeder Anwendung liest man immer wieder, dass man ein sicheres Passwort verwenden und man sie sicher aufbewahren und dokumentieren sollte.
Wir erklären Dir wie Du ein sicheres Passwort erstellst, wie Du sie organisieren kannst und was die Vorteile von sicheren Passwörtern sind.
Mindestanforderungen eines sicheren Passworts
Jeder Zocker hat das schon einmal erlebt. Man sucht sich in seinem Online-Spiel einen Namen aus, der nach 10 Versuchen endlich nicht vergeben ist. Im Anschluss verlangt das Spiel ein "sicheres Passwort" und wenn man dann auch noch Pech hat zeigt die Applikation nicht einmal an, was es unter einem sicheren Passwort versteht.
Wenn Du auf Nummer sicher gehen möchtest kannst Du diese Kriterien einhalten um bei den meisten Anwendungen auf Anhieb ein valides Passwort parat zu halten:
- Eine Länge von mindestens 8 Zeichen (optimal sind 16 Zeichen)
- Klein- und Großbuchstaben
- Zahlen und Sonderzeichen
Wenn Du Dir diese Vorgaben bei Deinen Passwörtern zu Herzen nimmst bist Du vorerst gut abgesichert. Das beschränkt sich natürlich nicht nur auf Spiele, sondern auf jede Art Software, bei der Du einen Zugang erstellen möchtest.
Informationen zur Person in Passwörtern
Ich habe bei unzähligen Bekannten Passwörter wie FranzMueller79! (fiktiv) entdeckt. Dieses Passwort entspricht zwar den oben genannten Kriterien, aber Hacker haben Dank einer sogenannten Rainbow-Table leichtes Spiel dieses Passwort zu knacken.
Eine Rainbow-Table ist ein riesiger Datensatz mit verschiedenen Kombinationen von Namen, Geburtsdaten, Hobbys oder andere Informationen, die der Hacker aus dem Internet oder direkt aus einem Gespräch sammeln kann. Diese Informationen sind meistens durch Social Media Plattformen einfach herauszufinden.
Angenommen das Opfer einer Hack-Attacke heißt Franz Müller. Er ist am 05.08.1979 geboren und liebt Tennis über alles. Zudem hat er einen Hund namens Rocky.
Eine passende Rainbow-Table der möglichen Passwörter für dieses ausgedachte Opfer könnte nun wie folgt aussehen:
FranzMueller79 |
MuellerFranz79 |
TennisFranz79 |
Franz05081979 |
Franz050879 |
Mueller79Tennis |
Mueller79Rocky |
MuellerRocky79 |
Das sind natürlich nur sehr wenige mögliche Kombinationen. Zu diesen Beispielen können Varianten hinzugefügt werden, wie Sonderzeichen an verschiedenen Stellen, ein "ü" statt dem "ue" in Mueller oder die beliebte Verwendung des Plattform-Namens, auf der man sich registriert hat. Durch mehrere Hundert bis Tausend Kombinationen kann ein Passwort mit ein wenig Geschick und Rechenleistung innerhalb weniger Stunden oder Tage geknackt werden.
Einprägbare, sichere Passwörter erstellen
Du merkst an den Beispielen bestimmt, dass es gar nicht so einfach ist ein sicheres Passwort für sich zu erstellen, dass man sich leicht merken kann. Es gibt dennoch eine simple Methode ein sicheres, einprägbares Passwort ohne eigene Informationen zu erstellen.
Durch die Verwendung von abwechselnden Konsonanten und Vokalen kann dieses Problem gelöst werden. Anschließend oder dazwischen können Zahlen und Sonderzeichen hinzugefügt werden um das Passwort noch einmal zu verstärken und den Kriterien von Applikationen gerecht zu werden.
Hier findest Du ein paar Beispiele zu solchen Passwörtern:
Rugelele714< |
Nitoqomi057? |
Cuyizaxo814- |
Dokumentieren der Passwörter
Natürlich dauert es eine Weile, bis man sich die einprägbaren Passwörter ohne Fehler merken kann. Und wenn man dann noch unterschiedliche Passwörter für die verschiedenen Anwendungen erstellen möchte, zu der man einen Zugang besitzt, ist es so gut wie unmöglich sich alles zu merken.
Für diesen Zweck solltest Du Deine Passwörter immer notieren und organisieren. Dabei gibt es natürlich viele verschiedene Methoden. Wichtig ist nur, dass Du diese Liste auf einem Gerät ablegen solltest, auf das nur Du Zugriff hast.
Das bedeutet: Keine Cloud-Anwendungen wie DropBox oder iCloud, keine Firmen-Server, keine NAS-Speicher im Heimnetzwerk.
Für meinen Privat-Gebrauch verwende ich die Software von KeePass. Durch einen privaten Schlüssel kann ich sicherstellen, dass die Datenbank nur von Geräten aufgerufen werden können, auf die ich den Schlüssel hinterlegt habe. Zudem kann die Passwort-Datenbank durch die Eingabe eines Master-Passworts angesehen werden. Die Datenbank bewahre ich auf einem Server auf, um überall Zugriff darauf zu haben.
Eine Alternative ist die Verwendung einer Excel-Tabelle. Mit einem Komprimierungs-Tool wie 7zip kannst Du die Datei als ZIP-Datei packen und ein Passwort hinterlegen. Den Schlüssel solltest Du Dir gut merken können und die ZIP-Datei nicht aus der Hand geben.
Um einen Datenverlust abzusichern kannst Du eine sichere Kopie Deiner Datenbank anfertigen. Das kann sowohl handschriftlich, als auch über externes Medium, wie einen USB-Stick geschehen. Achte nur darauf, dass Du diese Kopie nicht aus den Händen gibst und an einen sicheren Ort verwahrst.
Bei der handschriftlichen Methode zur Verwaltung von Passwörtern habe ich schlechte Erfahrungen gemacht. Die Notizen sind häufig verloren gegangen und betroffene Personen konnten sich dadurch nicht sicher sein, ob die Unterlagen von jemand entwendet oder irgendwo "verstaut" wurden. Das Resultat war, dass alle Passwörter neu erstellt werden mussten, wobei wahrscheinlich viele Portale in Vergessenheit geraden sind.
In diesem Fall wäre die letzte Rettung, wenn zumindest das Passwort für die angegebene E-Mail-Adresse des jeweiligen Portals vorliegt. In diesem Fall kann eine Passwort-Wiederherstellung auf der Webseite angefordert werden, die in Form eines Links zum Postfach gesendet wird.
Bedenke: Selbst ein Informatiker kann keine Passwörter wiederherstellen!
Sicherheit bei Webseiten und Drittanbietern
Seit Mitte 2015 ist es für alle Webseiten-Betreiber Pflicht ein SSL-Zertifikat zu verwenden, sobald Daten vom Client zum Server übertragen werden. SSL bedeutet ausgeschrieben Secure Sockets Layer und wird dazu verwendet Informationen verschlüsselt zwischen Client und Server zu übertragen. 2006 wurde SSL 3.0 von TLS 1.0 (Transport Layer Security) als Standard abgelöst. Es gibt nur wenig gravierende Unterschiede zwischen den beiden Protokollen und können daher beide ohne Mängel für die Webseite gewählt werden.
Achte darauf, dass die Webseite über das https-Protokoll aufgerufen wird, wenn Du Dich Registrieren möchtest. Das Protokoll kannst Du erkennen, wenn in Deinem Browser-Fenster https:// (auf das 's' achten!) vor der Domain der Webseite steht. Sollte eine Webseite kein https können, sollte noch einmal darüber nachgedacht werden, ob man sich zu dieser Plattform anmelden möchte. Denn auch wenn die Pflicht besteht bedeutet das noch lange nicht, dass sich alle Betreiber daran halten.
So erkennt man ein gültiges SSL-Zertifikat:
Durch diese SSL-Verschlüsselung kann ein Webseiten-Betreiber eine Man-in-the-Middle-Attack verhindern. Bei dieser Angriff-Methode sitzt der Hacker zwischen dem Client und dem Server. Der Benutzer und die Gegenstelle bekommen nichts von diesem Angriff mit, da die Daten abgefangen und direkt weitergeleitet werden. Der Hacker kann somit alle übermittelten Daten wie den Benutzernamen und das Passwort auslesen. Da beim https-Verfahren die übertragenen Daten verschlüsselt werden kann der Hacker diese zwar immer noch auslesen, jedoch kann er die Daten ohne einen passenden Schlüssel nur extrem Schwer rekonstruieren.
Fazit
Eine Garantie, dass Deine Accounts nicht gehackt werden können kann es nicht geben. Jedoch kannst Du sicher gehen, dass sich Hacker an Deinen Zugängen die Zähne ausbeißen werden, wenn Du diese Tipps rund um Passwörter beachtest
Solltest Du Dir kein Passwort ausdenken wollen, kannst Du gerne unseren Passwort Generator verwenden. Da unser Generator keine Passwörter an den Server übermittelt kann es auch nicht durch einen potentiellen Angreifer ausgelesen werden. Zudem verwenden wir ein sicheres SSL-Zertifikat für alle unsere Unterseiten um Daten sicher zwischen unserem Server und Dir zu übertragen.
Ich freue mich auf Fragen oder Anmerkungen als Kommentar, auf die ich gerne eingehen werde.
Das konnte dich auch interessieren
Kommentare
Sei der Erste, der einen Kommentar erstellt!