Passwörter – wir alle haben sie. Wenn du schon länger im Internet unterwegs bist, besitzt du wahrscheinlich Passwörter für dutzende, wenn nicht hunderte von verschiedenen Webseiten. Weil wir alle so häufig Passwörter verwenden, vergessen wir leicht, dass Hacker und Cyberkriminelle nur darauf warten, dass uns in Bezug auf die Sicherheit unserer Passwörter ein Schnitzer unterläuft.
In manchen Fällen kann ein kompromittiertes Passwort zu einer vielleicht peinlichen, aber ansonsten harmlosen Situation führen, beispielsweise ein vergessenes Konto für soziale Medien, über das plötzlich Spam-Nachrichten an alle deine Kontakte geschickt werden. In anderen Fällen können die Konsequenzen weitaus ernster sein, besonders dann, wenn ein Hacker Zugang zu deinen Bankkonten oder sensiblen Daten erhält, die du in deinem E‑Mail-Konto oder in der Cloud gespeichert hast.
Die gute Nachricht ist, dass du das Risiko kompromittierter Online-Konten mit ein paar einfachen Maßnahmen drastisch reduzieren kannst.
Was genau hat es mit Passwörtern auf sich?
Jedes Mal, wenn du dich bei einer Webseite oder App anmeldest, beantwortest du im Grunde zwei Fragen: „Wer bist du?“ und „Wie kannst du das nachweisen?“.
„Wer bist du?“ ist eine leicht zu beantwortende Frage. Normalerweise bedeutet dies, dass du deine E‑Mail-Adresse, deine Telefonnummer oder deinen Nutzernamen angibst, die bzw. den du beim registrieren des jeweiligen Nutzerkontos angegeben hast. Aber E‑Mail-Adressen sind in der Regel kein großes Geheimnis ‑ wir geben sie jedes Mal heraus, wenn wir jemandem eine E‑Mail schicken!
Aus diesem Grund wirst du zusätzlich aufgefordert, einen sogenannten „Authentifizierungsfaktor“ anzugeben, bei dem es sich um etwas handelt, das du weißt (wie ein Passwort), besitzt (wie ein Authentifikator oder Sicherheitsschlüssel) oder bist (wie ein Fingerabdruck). Der heutzutage am häufigsten verwendete Authentifizierungsfaktor ist das Passwort, das auch der Anlass für diesen Blogartikel ist.
Passwörter sollten ein Geheimnis sein, das nur dir und der Website bzw. App bekannt ist, bei der du dich anmeldest. Aber wenn eine andere Person das Passwort in Erfahrung bringt, ist es für sie ziemlich einfach, sich als dich auszugeben und anzumelden. Und das ist der Punkt, an dem die meisten von uns in Konflikt geraten.
Hackers versus Passwörter
Während Hacker oft wie eine mysteriöse, schattenhafte Kraft des Bösen erscheinen mögen, sind sie in Wirklichkeit auch nur Menschen wie alle anderen – und wie jeder Mensch mit einem Job, suchen sie laufend nach Möglichkeiten, ihre Arbeit effizienter zu gestalten.
Häufig werden Hacker als erstes ausprobieren, ob du ein häufig verwendetes Passwort gewählt hast. Laut CyberNews (Englisch) wählen Menschen am häufigsten das Passwort „123456“ aus. Solltest du dieses Passwort immer noch verwenden, habe ich schlechte Nachrichten für dich: Dieses Passwort werden Hacker als erstes ausprobieren, wenn sie versuchen, in dein Konto einzubrechen! Ende der Vorstellung.
Wenn das nicht funktioniert, wenden Hacker häufig eine Technik an, die als „Credential Stuffing“ bekannt ist, also das massenhafte Durchprobieren von Zugangsdaten. Im Laufe der Jahre sind Milliarden von E‑Mail-Adresse/Passwort-Kombinationen von unterschiedlichsten Websites geleakt oder gehackt worden, und viele Menschen verwenden dieselbe Kombination für verschiedene Websites. Wenn du also ein Konto für die Website A besitzt und die gleiche Kombination aus E‑Mail-Adresse und Passwort auch für die Website B verwendest, hat jeder Hacker, der es erfolgreich schafft, Website A zu kompromittieren, alle erforderlichen Datens, um auf beiden Websites auf deine Konten zuzugreifen. Über kostenlose Services wie HaveIBeenPwned kannst du überprüfen, ob deine E‑Mail-Adresse und dein Passwort bei einem bekannten Leak preisgegeben wurden.
Auswahl eines starken Passworts
Um die oben beschriebenen Nachteile zu vermeiden, sollten alle deine Passwörter folgende Kriterien erfüllen:
- Sie sollten einzigartig sein. Für jede Webseite und Anwendung solltest du ein eigenes Passwort einrichten, das du an keiner anderen Stelle verwendest.
- Sie sollten völlig zufällig sein. Verwende keine personenbezogenen Daten wie Namen oder Geburtsdaten.
- Sie sollten mindestens 16 Zeichen lang sein. Dies macht es für Hacker schwieriger, sie zu erraten oder einen Brute-Force-Angriff anzuwenden.
Wenn das alles für dich unglaublich schwierig klingt, bist du nicht allein! Kein Mensch kann sich alle erforderlichen Passwörter merken, um sein Online-Leben rundum sicher zu gestalten. Die gute Nachricht ist, dass es eine Reihe von Tools gibt, die es nicht nur einfacher machen, all deine Zugangsdaten zu verwalten, sondern die auch dein Gedächtnis für wichtigere Dinge wie Geburtstage und Freizeitpläne freimachen.
Ich empfehle dringend, einen Passwort-Manager wie 1Password, LastPass oder Dashlane zu verwenden. Diese Tools wurden speziell zum Verwalten und Sichern von Passwörtern entwickelt und werden als plattformübergreifende Anwendungen angeboten, sodass du deine Passwörter unabhängig vom verwendeten Gerät sicher mitnehmen kannst. Falls du keinen Passwort-Manager verwenden möchtest, funktioniert auch ein herkömmliches Notizbuch aus Papier für deine Passwörter, solange du es an einem sicheren Ort aufbewahrst. Die einzige Praxis, die man tunlichst unterlassen sollte, ist das Speichern von Passwörtern in E‑Mails, in der Cloud oder in Online-Notizen.
Fazit
Das Verwalten von Passwörtern kann sich häufig lästig anfühlen – und das ist es auch! Dennoch ist es wichtig, sie richtig zu verwalten, um sicherzustellen, dass Hacker nicht in dein digitales Leben eindringen können. Durch ein besseres Verständnis davon, wie Hacker typischerweise vorgehen, und die Verwendung eines sicheren Tools zum Speichern von Passwörtern, wie einen Passwort-Manager oder ein Offline-Notizbuch, kannst du deine Online-Sicherheit deutlich verbessern und wieder etwas ruhiger schlafen.
Hinweis des Herausgebers: Evernote nimmt das Thema Kontosicherheit sehr ernst. Wir empfehlen allen unseren Kunden dringend, die Ratschläge in diesem Artikel zu befolgen und zusätzlich nicht nur für dein Evernote-Konto, sondern wo immer dies möglich ist, die Zwei-Faktor-Authentisierung zu aktivieren. Wir danken dem Autor für seinen Beitrag zu diesem sehr wichtigen Thema.
Matt Muller ist Leiter der Sicherheitsabteilung bei Coinbase, einer der weltweit größten Plattformen für Kryptowährungen. Er genießt nichts mehr auf der Welt, als Betrüger in die Verzweiflung zu treiben, aber eine gute Kombination aus Wein und Käse kommt dem auch schon recht nahe.
