Mehrmals im Jahr berichten Zeitschriften, Blogs und andere Medien über den Verlust von Benutzerdaten bei einem oder mehreren Internetdiensten. Über 1,5 Milliarden Nutzerdaten wurden seit 2014 bei Yahoo entwendet – darunter auch die Passwörter der Benutzer. Die Passwörter waren zwar mit dem Verfahren MD5 verschleiert, jedoch kann diese Methode in kurzer Zeit von Maschinen entschlüsselt werden.

Falls eines Ihrer Logins entwendet wurde und Sie identische E-Mail-Adresse und Passwort Kombination für Ihre Accounts benutzen, kann es zur versuchten Übernahme oder Missbrauch Ihrer Benutzerkonten kommen. Ihre Accounts bei Facebook, Twitter oder Ihrer WordPress Seite könnten in diesem Fall in Gefahr sein. Welche Maßnahmen können Sie als Anwender treffen, um sich besser zu schützen?

Testen Sie, ob Ihre Mail-Adresse bereits in einem Datendiebstahl enthalten war: https://sec.hpi.de/leak-checker/search. Diese Suche erschöpft natürlich nicht alle bisherigen Diebstähle, kann Ihnen aber Anhaltspunkte geben, welches Ihrer Passwörter unbedingt geändert werden sollte.

Wurzel des Dilemmas – Das Passwort

Jeder ist sich in der heutigen Zeit bewusst, dass Passwörter wie “1234”, “qwertz” und “hallo” keine sicheren Passwörter sind, trotzdem waren sie im vergangenen Jahr unter den am liebsten genutzten Passwörtern. Zwei Faktoren erhöhen das Risiko beim Umgang mit Passwörtern: Die Einfachheit und die Wiederverwendung.

Die Einfachheit lässt sich recht simpel überwinden: Sie nehmen sich einen Zettel, schreiben wahllos kleine und große Buchstaben, Zahlen und Sonderzeichen auf und beginnen dann acht bis zehn Zeichen zu verbinden – Ihr persönlicher Passwortgenerator.

Es sollte aber nicht bei einem Passwort bleiben, jedem wichtigen Zugang muss ein einmaliges Passwort zugeordnet werden. Damit befinden Sie sich als Anwender sehr schnell in einem Dilemma – die Verwaltung und sichere Organisation Ihrer Passwörter für Online-Banking, Social Media Accounts, CMS-Zugänge und Online-Shops.

Ein Zettel als Passwort Manager

Der Retter – Passwortmanager

Natürlich könnten Sie sich für jeden Login einen extra Zettel anlegen, der dann an einen sicheren Ort abgelegt wird. Aber ist das in Zeiten von mehreren Endgeräten und dem immer und überall verfügbaren mobilen Internet in der Bahn oder im Urlaub praktikabel? Sehr wahrscheinlich nicht.

Die Lösung für dieses Problem sind Passwortmanager. Es gibt eine Vielzahl an kostenlosen und kostenpflichtigen Passwortmanagern, als Beispiele seien an dieser Stelle 1Password, LastPass und Dashlane genannt. Die Anwendungen helfen beim Generieren, Aufbewahren und Verwalten von Passwörtern und machen sie auf einer Vielzahl – hier sollten Sie sich vorab bei den Anbietern informieren, ob Ihre Geräte unterstützt werden – von Endgeräten verfügbar.

Grundlegend benötigen Sie dann nur noch ein Passwort. Am Besten eine Wortgruppe getrennt mit Sonderzeichen, die Sie sich gut merken können, beispielsweise “alexanderplatz-hamburg!blog?artikel”. Sie dient fortan als Zugang zu Ihrem Passworttresor.

Die Programme sind in verschiedenen Bezahlmodellen verfügbar. Die grundlegenden Funktionen sind zumeist kostenfrei, die Möglichkeit der Synchronisation über mehrere Geräte und andere Features kosten bei einigen Anbietern eine einmalige oder monatliche Gebühr. Die genannten Anbieter stellen zum Beispiel auch eine Familien-/ Team-Option bereit, um Passwörter innerhalb dieser Gruppen zu teilen und somit sicher freizugeben und zu verwalten.

Grundsätzlich ist das eine gute Investition, da der Aufwand, bei einem Verlust eines Passwortes, zumeist aufwändiger ist, als präventiv einen Passwortmanager zu verwenden.

Zusätzliche Sicherheit – Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung bezeichnet ein Verfahren, das zusätzlichen Schutz bei dem Login auf einer Seite bieten soll. Die Authentifizierung läuft so ab, dass Sie nach dem Login zusätzlich einen Code eingeben müssen, den Sie per SMS oder App auf Ihrem Smartphone erhalten. Anbieter, wie Facebook und Twitter bieten beide Wege als Möglichkeit an, um sich einzuloggen. Haben Sie zwar Internetzugriff, aber kein Handy-Netz, können Sie eine App benutzen (z.B. Google Authenticator, der zwar von Google stammt, aber nicht darauf beschränkt ist), um den Login-Vorgang abzuschließen.

Jemand, der in den Besitz des Passworts gelangt, ist somit nicht in der Lage, sich in Ihren Account einzuloggen, da er nicht im Besitz Ihres Smartphones ist. Diese Methode stellt einen Umweg und zusätzlichen Aufwand dar – aber bedenken Sie: Eine Minute für einen weiteren Schritt zum Login kann sich schnell auszahlen, wenn Sie den Aufwand einer Rettungsaktion für den verlorenen Account und die darin hinterlegten Daten dagegen halten.

Hier sehen Sie als Beispiel den Login mit der Zwei-Faktor-Authentifizierung bei Twitter:

Zweifaktorauthentifizierung bei Twitter

tl;dr | In aller Kürze

Nichts ist schlimmer als nach einem erfolgreichen Einbruch eines Hackers in einen Account zu versuchen, alle anderen Accounts, bei denen Sie die betroffene Benutzername-Passwort-Kombination verwenden, zu schützen.

Daher gilt: Handeln Sie präventiv, schützen Sie Ihre Social Media Accounts, die Zugänge zu Content Management Systemen und Webseiten, auf denen Sie sensible Daten gespeichert haben. Nutzen Sie für Maschinen schwer zu entschlüsselnde Passwörter mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen die mindestens 8-10 Zeichen enthalten und verwenden Sie kein Passwort zweimal.

Zusätzlich sollten Sie, wenn die Website es anbietet, die Zwei-Faktor-Authentifizierung aktivieren. Diese Methode ist im ersten Moment aufwändiger und fühlt sich vielleicht anstrengend an, zahlt sich aber mit einer realen Steigerung der Sicherheit Ihres Accounts über das eigentliche Passwort hinaus aus. Wer Ihr Passwort hat, benötigt zusätzlich auch Ihr Smartphone zum erfolgreichen Login.

Es gibt keine hundertprozentige Sicherheit im Internet, aber Sie haben mit einem sicheren Passwort und Zwei-Faktor-Authentifizierung die Möglichkeit, sich nachhaltiger zu schützen.