Privatsphäre Ihr Gedächtnis ist der schlechteste Platz für Passwörter

Am sichersten sind komplett zufällige Kennwörter, die Sie sich nicht selbst ausdenken, sondern generieren lassen. Diese Funktion bringen die meisten Browser mit. Auf den Seiten von Passwortmanagern wie Lastpass, Dashlane, 1Password und Roboform können Sie Passwörter generieren lassen. Das ist sinnvoll, denn einen Passwort-Manager sollten Sie ohnehin verwenden.

2. Nutzen Sie einen Passwort-Manager

Ihr Gedächtnis ist der schlechteste Platz für Passwörter. Stift und Papier sind nur geringfügig besser - wenn Sie den Zettel verlieren oder unterwegs nicht dabeihaben, sperren Sie sich aus. Vertrauen Sie Ihre Login-Daten stattdessen einem Passwort-Manager an. Damit verwalten sie alle Anmeldeinformationen und synchronisieren diese über mehrere Geräte hinweg. Ein zentrales Master-Kennwort gibt Ihnen Zugriff auf alle anderen Zugänge - dass dieses Passwort besonders lang und sicher sein sollte, versteht sich von selbst.

IT-Sicherheit "Ich könnte den Sicherheitsdiensten helfen herauszufinden, wer der Hacker ist"
Youtuber zu Datenleak

"Ich könnte den Sicherheitsdiensten helfen herauszufinden, wer der Hacker ist"

Youtuber Tomasz Niemiec hat Kontakt zu dem mutmaßlichen Hacker, der Daten von Politikern und Journalisten ins Netz stellte. Was er nicht versteht: Warum sich die Ermittler noch nicht bei ihm gemeldet haben.   Interview von Simon Hurtz

Zwar können auch die Anbieter von Passwortmanagern gehackt werden, doch die meisten Dienste verschlüsseln die Daten der Nutzer mit sicheren kryptografischen Verfahren. Angreifer erhalten dann nur Zeichensalat, mit dem sie wenig anfangen können. Die Stiftung Warentest hat neun Passwort-Manager getestet und vier davon als "empfehlenswert" eingestuft. Die SZ-Redaktion hat mit Lastpass und Keepass gute Erfahrungen gemacht. Beide Dienste sind kostenlos.

3. Vermeiden Sie Single Sign-on

Single-Sign-on (SSO) beschreibt ein Verfahren, bei dem ein einzelnes Konto genutzt wird, um sich bei unterschiedlichen Diensten anzumelden. Google, Facebook und Twitter bieten etwa an, sich mit dem jeweiligen Account bei anderen Webseiten anzumelden. Sie müssen dann kein Passwort vergeben und keine zusätzliche Login-Daten speichern.

Das ist komfortabler und sicherer, als doppelte oder einfach zu erratende Kennwörter zu verwenden. Aber die Methode birgt eigene Risiken. Einerseits gibt es Bedenken, was den Datenschutz angeht, insbesondere beim Login mittels Facebook. Andererseits können sich Kriminelle, die Zugriff auf einen Ihrer Hauptaccounts erlangen, damit bei weitere Diensten anmelden. Setzen Sie deshalb besser auf getrennte Zugangsdaten, die Sie über einen Passwort-Manager verwalten.

4. Misstrauen Sie Sicherheitsfragen

"Wie lautet der Vorname Ihrer Großmutter mütterlicherseits?" Oder: "Wie hieß Ihr erstes Haustier?" Manche Anbieter setzen solche Fragen als zusätzliche Absicherung ein, wenn Nutzer ihr Passwort vergessen haben oder zurücksetzen wollen. Grundsätzlich ist ein zweiter Faktor eine gute Idee, aber die Sicherheitsfragen bergen ein Risiko: Oft lassen sich die Antworten erraten oder aus öffentlich einsehbaren Informationen, zum Beispiel aus Profilen in sozialen Netzwerken, rekonstruieren.

Eine simple, aber effektive Strategie ist es, bewusst falsche Antworten zu geben. Eine Großmutter mit dem Vornamen "Wackelpudding" wird vermutlich kein Angreifer erraten, zumal die Zahl der Versuche begrenzt ist. Wenn Sie ganz sicher gehen wollen, generieren Sie als Antwort auf die Sicherheitsfrage ein zweites, zufälliges Kennwort, das Sie ebenfalls in Ihrem Passwort-Manager speichern.

5. Sichern Sie wichtige Konten mit einem zweiten Faktor

Die gute Nachricht: Immer mehr Dienste bieten mittlerweile Zwei-Faktor-Authentisierung (2FA) an. Die schlechte: Viele Menschen sind zu bequem oder zu leichtfertig, um ihr Konto damit zu schützen. Sie verzichten ohne Not auf einen zweiten Faktor, der Angreifer auch dann aussperrt, wenn diese das Passwort erbeuten. Oft handelt es sich um einen Code, den Sie in einer separaten App empfangen oder per SMS zugeschickt bekommen. Manchmal kommen auch biometrische Merkmale oder zusätzliche Hardware wie der Yubikey zum Einsatz.

Alle Methoden haben eines gemeinsam: Das Passwort allein reicht nicht, in den meisten Fällen benötigen Hacker physischen Zugriff auf Ihr Smartphone. Das senkt das Risiko für einen erfolgreichen Angriff signifikant. 2FA können Sie bei mehreren Dutzend größerer Anbieter aktivieren, darunter Facebook, Google, Apple und Amazon. Das Anmelden dauert eine Minute länger, aber die Sicherheit sollten Ihnen den Aufwand Wert sein. Vor allem beim E-Mail-konto (das Hackern oft Zugriff auf weitere Accounts ermöglicht, da sie darüber Passwörter zurücksetzen können) und Diensten wie Ebay, Paypal oder Ihrem Bankzugang sollte 2FA Pflicht sein.

6. Nutzen Sie Messenger mit Ende-zu-Ende-Verschlüsselung

Ende-zu-Ende-Verschlüsselung (E2E) klingt nach einer komplizierten Angelegenheit. Das Gegenteil ist der Fall. Sie müssen sich keinen PGP-Key zulegen und Ihre E-Mails chiffrieren, um sicher zu kommunizieren. Viele Messenger verschlüsseln Ihre Nachrichten, sodass weder Geheimdienste noch Kriminelle mitlesen können. E2E bedeutet, dass Text, Bilder und Videos lokal auf dem Gerät des Absenders in Zeichensalat verwandelt und erst mit dem einzigartigen Schlüssel des Empfängers - und nur von diesem - in den Ursprungszustand gebracht werden können. Das unterscheidet sie von der sogenannten Transportverschlüsselung.