Sichere Passwörter – ganz einfach!
Jeder kann sichere Passwörter nutzen – es ist ganz einfach. Und wer sich nur ein schwieriges Passwort merken kann, sollte dieses für den Zugang zu einem Passwort-Manager nutzen, der sich alle anderen Passwörter merkt!
Die Statistik zeigt, wie die meisten Nutzer mit Passwörtern umgehen: über 50 Prozent geben an, dass sie sich Passwörter im Kopf merken. Allerdings steckt dahinter auch die bittere Wahrheit, dass die meisten Passwörter daher recht einfach gestaltet sind und in vielen Services gleichlautend verwendet werden. Nur jeder Zehnte verwendet einen Passwort-Manager, der alles sicher aufbewahrt. Aber was ist denn nun der richtige Weg?
Passwörter nach der Nutzung abstufen
Eines ist klar: verwenden Sie immer digital entworfene Passwörter für Ihre Zugänge. Allerdings sollten Sie dabei abstufen, wohin Ihr Passwort dann kommt.
Das Egal-Passwort: es wird meist für einfache Foren oder Zugänge genutzt, hinter denen keine sensiblen Informationen stecken, wie etwa Kreditkarteninfos. Für den schnellen Zugriff und als Co-Existenz zu einem Passwort-Manager empfiehlt sich hier ein Browser, wie Chrome, Firefox & Co. So erkennt zum Beispiel der neue Chrome-Browser, wenn eine Oberfläche den Nutzer auffordert, ein Passwort festzulegen. Per rechtem Mausklick schlägt Chrome dem Anwender ein Passwort vor. Wählt man dieses aus, dann speichert Google Chrome alle Zugangsdaten samt Passwort. Sind Anwender bei Chrome mit einem Google-Konto angemeldet, dann steht der gespeicherte Zugang auf allen Geräten mit Chrome und Google-Konto bereit. Der Nachteil dabei: hat ein Fremder Zugriff auf ein Gerät, kann er alle Passwörter in den Einstellungen von Chrome lesen oder sogar exportieren. Ein Masterpasswort gibt es leider nicht. Daher: Chrome ist eine einfache Hilfe, aber kein wirklicher Passwort-Manager oder Safe!
Das sichere Passwort per Passwort-Manager
Sich selbst gute und sichere Passwörter für viele Shops, Services oder Social-Media-Konten zu merken, ist unmöglich. Das funktioniert nur per Passwort-Manager. Für einen Manager braucht man im Prinzip nur ein sehr gutes Passwort. Eine gute Methode dafür ist diese: man überlegt sich einen Satz und merkt sich die ersten Buchstaben der Wörter, etwa „Ich gehe sonntags am 10.08 am liebsten Segeln!". Das Passwort wäre: Igsa10.08alS!. Dieses Passwort hat eine Länge von 71 Bit und selbst ein guter PC bräuchte mehr als 100 Millionen Jahre, um die 51 Quadrillionen möglichen Kombinationen durchzurechnen. Nutzen Sie ein solches sehr gutes Passwort als Masterpasswort für einen Passwort-Manager! Je länger der Satz, umso sicherer das Passwort.
Als Passwort-Manager bieten sich viele gute Tools an. Als kostenloses Desktop-Programm ist etwa die Open-Source-Software Keepass sehr beliebt. Neben der Windows-Version gibt es weitere Versionen für Mac, iOS, Android und viele andere Systeme. Der Nachteil von Keepass: die hoch verschlüsselte Passwort-Datei muss man selbst in einem Cloud-Speicher aufbewahren, damit alle Systeme darauf zugreifen können. Hierbei ist etwas Fachwissen und Bastelarbeit angesagt.
Passwort-Manager in der Cloud und kommerziell
Wer den Passwort-Manager automatisch zentral nutzen möchte, kann zum Beispiel den kostenlosen Basis-Service von LastPass verwenden. Die Zugangsdaten samt Passwörtern lassen sich dort komfortabel verwalten und mithilfe von Software und Apps für viele Plattformen und Geräte nutzen. Einige Security-Experten kritisieren allerdings, dass Passwort-Services immer wieder attackiert werden. Die Alternative dazu sind dann Passwort-Manager von Security-Software-Herstellern.
In vielen Internet-Security-Suiten in der größten Version ist ein Passwort-Manager dabei. So etwa zum Beispiel bei Kaspersky oder Symantec. Natürlich bieten die Hersteller die Passwort-Safes auch als einzelnes Produkt an. So gibt es etwa den F-Secure Key oder McAfee True Key. Relativ neu und kostenlos lässt sich auch der Norton Password Manager nutzen. Das Programm gibt es für Windows, Mac, iOS und Android. Die Daten speichert Symantec verschlüsselt in der Cloud.
2-Faktor-Authentifizierung für mehr Sicherheit
Mit Hilfe der 2-Faktor-Authentifizierung, oder kurz 2FA, sichert man seine Passwörter mit einer zweiten Sperre ab. In der Regel meldet sich ein Anwender mit einem Passwort bei seinem Angebot an und erhält eine weitere Code-Abfrage. Für die zweite Abfrage schickt das System einen generierten Code meist an ein zuvor definiertes Smartphone. Gibt der Anwender diesen Code ein, ist die zweite Sperre auch durchschritten und er landet in seinem Angebot.
Dieses System hat zwei Vorteile: das eigentliche Passwort muss nicht besonders stark sein, da es durch ein zweites Gerät abgesichert ist. Ein Angreifer müsste für den Zugang also das Passwort und das Smartphone haben. Viele Angebote bieten inzwischen eine 2-Faktor-Authentifizierung an. Leider ist die Antwort auf die Frage „Wie und wo aktiviert man die 2FA" nicht immer einfach zu finden. Hierbei hilft die Webseite TwoFactorAuth.org mit einer Übersicht über sehr viele Internet-Services und wie man bei diesen die 2FA aktiviert. Sofern vorhanden, gibt es bei jedem Angebot den Hinweis zur Dokumentation und wie man die 2FA freischalten kann: per SMS, Telefon-Anruf, Email, sowie Hardware- und Software-Token.
2-Faktor-Authentifizierung schützt besser
Maik Morgenstern
CTO AV-TEST GmbH
Wie bereits im Artikel erklärt, ist der erweiterte Schutz mit einer 2-Faktor-Authentifizierung (2FA) eine gute Sache.
Allerdings sollten Anwender nicht nur ein Gerät – etwa das Smartphone – für den Zugang und als 2. Faktor nutzen. Das verringert die Sicherheit wiederrum, da ein geentertes Smartphone so alle Türen öffnen kann. Besser ist die Kombination mit einem PC oder Tablet. Bei der 2FA muss ein neues Gerät meistens nur einmal mit beiden Faktoren angemeldet werden. Dropbox zum Beispiel merkt sich das Gerät und seine Hardware-ID. Bei Konten, die zum Beispiel mit Geld oder Überweisungen zu tun haben, wird die 2FA ständig für den Login genutzt. Loggt man sich zum Beispiel an einem Tablet ein, wird in der Regel eine SMS mit einem weiteren Code an das Smartphone geschickt.
Für einige Bank- oder Trader-Konten muss das Konto für die 2FA-Nutzung zwingend mit einer Authenticator-App bestätigt werden. Oft wird dabei die App Google Authenticator empfohlen. Der Umgang mit der App ist simpel gestaltet. Darin wird einfach ein neues Konto angelegt. Der Anbieter blendet dann meist einen QR-Code ein, der alle weiteren Einstellungen überträgt. Später zeigt die App einen 6-stelligen Zahlencode, der sich alle 30 Sekunden ändert. Dieser Code muss dann innerhalb der Zeitspanne für einen erfolgreichen Login zusätzlich eingegeben werden. Aber Achtung: die Daten des Google Authenticator werden nur im Smartphone gespeichert und nicht im Google-Konto. Ist das Smartphone defekt oder verloren, dann lassen sich die Schlüssel nicht mehr nutzen! Nutzt man innerhalb eines Service den Google Authenticator (oder eine andere Authenticator-App) für 2FA, dann bekommt man immer eine Reihe Notfallcodes mit angezeigt. Mit diesen kommt ein Anwender ersatzweise in sein Konto hinein. Diese Not-Codes sollte man stets sicher in einem Passwort-Safe aufbewahren!