bedeckt München 20°

IT-Sicherheit:Passwörter nicht doppelt verwenden

Niemand käme auf die Idee, nur einen Schlüssel für Haustür, Wohnungstür, Tresor und Fahrradschloss zu verwenden. Die analoge Vorsicht scheint im digitalen Leben außer Kraft gesetzt zu sein: Viele Menschen nutzen dieselben Passwörter für mehrere Konten. Das ist fatal: Wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen.

Die NIST-Experten empfehlen Seitenbetreibern, leichtsinnige Nutzer vor sich selbst zu schützen: Sie sollen Passwörter automatisch mit anderen Daten abgleichen, etwa mit Login-Informationen, die aus früheren Hacks oder Sicherheitslücken bekannt sind. Diese werden in Datenbanken wie Haveibeenpwned.com gesammelt, wo Nutzer übrigens auch selbst prüfen können, ob ihre E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

Der automatische Abgleich soll noch weitere Datenbanken umfassen, beispielsweise Einträge aus Wörterbüchern oder simple Sequenzen wie "aaaaaa", "1234abcd" oder "qwertz". Entdeckt der Algorithmus Übereinstimmungen, müssten Nutzer eine neue Sicherheitsphrase wählen. Das gilt auch, wenn sie Abwandlungen von Nutzernamen oder anderen Daten verwenden, die sie bei der Anmeldung angegeben haben, etwa Geburtsdaten oder Telefonnummern. Ein Beispiel: Will sich jemand mit dem Benutzernamen "SZ-Leser" anmelden, sollte das Passwort nicht "SZ-Leser1" lauten.

Keine regelmäßigen Änderungen

"Ihr Passwort ist abgelaufen, bitte wählen Sie ein neues." Angestellte kennen solche E-Mails ihrer IT-Abteilung. Die wenigsten freuen sich über die Aufforderung zum Passwortwechsel - völlig zu Recht. Das NIST hat aus dem Fehler von Bill Burr gelernt und rät davon ab, Login-Daten Passwörter alle paar Wochen zu ändern. Denn Nutzer neigen dann dazu, unsichere Chiffren zu verwenden, die sie sich leicht merken können. Eine Ausnahme gibt es: Sobald der Betreiber vermutet, dass Hacker Daten erbeutet haben, sollten alle Nutzer unverzüglich alarmiert und zum Wechseln angehalten werden.

Sicherheitsfragen bringen wenig Sicherheit

Passwort Warum es falsch ist, Passwörter regelmäßig zu ändern
16 aus 2016
IT-Sicherheit

Warum es falsch ist, Passwörter regelmäßig zu ändern

Das Bauchgefühl sagt: alle paar Monate Kennwörter wechseln. Die Wissenschaft sagt: bringt nichts. Andere Methoden schützen viel besser.   Von Simon Hurtz

"Wie hieß Ihr erstes Haustier?", "Wie lautet der Geburtsname Ihrer Mutter?", "Was ist Ihre Lieblingsfarbe?" Einige Webseiten setzen auf solche Sicherheitsfragen. Grundsätzlich ist das keine schlechte Idee, da Kriminelle mehr Informationen über das Opfer benötigen als nur das Passwort. Allerdings lassen sich solche Daten oft leicht im Netz finden.

Deshalb rät das NIST dringend davon ab, diese Methode als einzige Authentifizierung zu verlangen, um das Passwort zurückzusetzen. Angreifer könnten die Antwort der Sicherheitsfrage erraten oder sie aus öffentlichen Informationen zusammensuchen, etwa aus Profilen in sozialen Netzwerken. Gelingt ihnen das, können sie ein neues Passwort vergeben und erhalten Zugriff auf den gesamten Account.

Für Nutzer bedeutet das im Umkehrschluss: Wenn Sie die Wahl zwischen mehreren Sicherheitsfragen haben, dann nehmen Sie nicht gerade die Frage nach Ihrem Lieblingstier oder der Marke Ihres Autos, wenn Sie gleichzeitig Katzenbilder und Fotos von Ihrem Sommerurlaub mit VW-Bus auf Facebook posten. Eine andere Möglichkeit: Niemand zwingt Sie, Sicherheitsfragen ehrlich zu beantworten. Wenn Sie als Geburtsnamen Ihrer Mutter Ihre Lieblingsfarbe angeben, macht es das Angreifern deutlich schwerer. Passen Sie dabei nur auf, dass Sie sich nicht selbst verwirren.

Nutzen Sie Passwort-Manager

Ihr Gedächtnis ist der schlechteste Platz für Passwörter. Stift und Papier sind nur geringfügig besser - wer den Zettel verliert oder nicht dabei hat, sperrt sich aus. Stattdessen sollten Sie Ihre Login-Daten einem Passwort-Manager anvertrauen. Sie verwalten alle Anmeldeinformationen und synchronisieren diese über mehrere Geräte hinweg. Nutzer müssen dann nur ein zentrales Masterkennwort im Gedächtnis behalten, um Zugriff auf alle Logins zu erhalten. Außerdem können die meisten Passwort-Manager Zufalls-Kennwörter generieren, die sicherer sind als selbst ausgedachte Phrasen.

Zwar können auch diese Dienste gehackt werden, doch die meisten Anbieter verschlüsseln die Daten der Nutzer mit sicheren kryptografischen Verfahren. Digitale Angreifer erhalten dann nur wirre Zeichenketten, mit denen sie wenig anfangen können. Die Stiftung Warentest hat neun Passwort-Manager getestet und vier davon als "empfehlenswert" eingestuft.

Zwei Faktor-Authentifizierung für wichtige Konten

Für Konten mit wichtigen und sensiblen Daten, etwa Facebook, Amazon oder Ihren E-Mail-Account, sind einzigartige und wirklich sichere Passwörter Pflicht. Sie können den Schutz aber noch deutlich verbessern, wenn Sie auf die sogenannte Zwei Faktor-Authentifizierung (2FA) setzen.

Dann ist für die Anmeldung zusätzlich zum Kennwort eine weitere Eingabe nötig. Meist ist das ein Code, den Sie auf Ihrem Smartphone empfangen. Das bedeutet: Hacker benötigen nicht nur Ihr Passwort, sondern physischen Zugriff auf Ihr Handy, wenn Sie Ihr Konto übernehmen wollen.

Hier erfahren Sie, welche Dienste 2FA anbieten, wie Sie die Option aktivieren und was es dabei sonst noch zu beachten gibt.

Zwei-Faktor-Authentifizierung So sichern Sie Ihre Konten bei Facebook, Amazon und Google

Passwort-Sicherheit

So sichern Sie Ihre Konten bei Facebook, Amazon und Google

Nur ein Passwort reicht nicht. Wer seine Accounts besser schützen will, sollte Zwei-Faktor-Authentifizierung verwenden. Was das ist und was Nutzer beachten müssen.   Von Morten Luchtmann

IT-Sicherheit Sogar "ji32k7au4a83" ist ein mieses Passwort

IT-Sicherheit

Sogar "ji32k7au4a83" ist ein mieses Passwort

Warum? Sie werden es nicht erraten. Aber die Erkenntnis ist wichtig für Ihre Sicherheit: Nur Zufallsgeneratoren schützen Ihre Konten zuverlässig.   Von Simon Hurtz