Passwörter, überall. Kein Wunder, dass es sich viele Menschen einfach machen – und überall dasselbe Passwort verwenden. Darum sagt das BSI: Lieber weniger komplexe Passwörter, aber dafür garantiert überall ein anderes. Und das sollte man vorher auf Sicherheit überprüft haben.
Hallo. Schatz. 12345678. Passwort. Kaum zu glauben, aber das sind die beliebtesten Passwörter der Deutschen. Und das ist schon seit Jahren so. Dabei mahnen Experten doch immer: Passwörter sollten komplex sein, einmalig, unmöglich zu erraten. Doch die Menschen nutzen trotzdem immer die viel zu einfachen Passwörtern. Und dann das: Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, warnt jetzt sogar vor allzu komplizierten Passwörtern. Lieber einfacher – aber dafür einzigartig. Ein Thema, über das wir reden müssen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Regeln zum Thema IT-Sicherheit vor, nach denen sich viele orientieren. Jetzt hat das BSI die Regeln für Passwörter gelockert. Was hat sich geändert?
Das BSI sagt nicht mehr: Je komplexer ein Passwort, desto besser. Die Behörde empfiehlt heute: Ein bisschen weniger komplex geht auch – aber Hauptsache, einzigartig. Damit ist gemeint: Ein Passwort pro Onlinedienst. Wir sollten ein Passwort nicht für mehrere Onlinedienste nutzen. Denn das ist dann wie ein Generalschlüssel: Findet oder hackt jemand die Zugangsdaten, ist das schlimm genug. Wenn das Passwort aber für mehrere Onlinedienste funktioniert, ist das Schaden natürlich viel größer. Das gilt es zu vermeiden. Und weil wir uns weniger komplexe Passwörter besser merken können, sagt das BSI jetzt: Lieber ein bisschen weniger komplex, aber dafür auch garantiert in jedem Onlinedienst ein anderes Passwort.
Passwörter: Lieber weniger komplex, aber dafür einzigartig
Der Passwort-Check
Wenn ich mir jetzt ein Passwort ausdenke oder schon eins habe – wie kann ich denn herausfinden, ob das wirklich sicher ist?
Wer die goldenen Regeln beachtet, hat in der Regel schon ein gutes Passwort. Aber es gibt einen Onlinedienst, der hilft einem bei der Beurteilung. Ich empfehle einen Besuch auf checkdeinpasswort.de. Hier kann man sein Passwort eingeben – oder eins, das dem eigenen sehr ähnlich ist, man soll ja sein eigenes Passwort nicht verraten.
Mit jedem Tastendruck korrigiert checkdeinpasswort.de die Beurteilung und lässt einen wissen, was das Passwort taugt: Ist es lang genug, sind genug Sonderzeichen enthalten, enthält es Wörter aus dem Wörterbuch, ist es ausreichend komplex? Das sind schon mal konkrete Hinweise und Tipps, die man erhält. Darüber hinaus gibt checkdeinpasswort.de aber auch eine Einschätzung, wie lange ein Hacker brauchen würde, um dieses Passwort zu knacken (mit üblichen Mitteln). Das ist eine sehr wichtige Einordnung: Alles, was nicht wenigstens etliche Jahre dauern würde, taugt nichts.
CheckDeinPasswort: Praktischer Passwort-Checker
Wie gut sind Passwort-Manager?
Viele fragen sich: Soll ich meine Passwörter im Browser speichern, das ist ja bequem – oder kann ich sogar einen Passwort-Manager benutzen?
Meine Empfehlung dazu ist eindeutig: Lieber einen Passwort-Manager benutzen als nicht, denn mit Passwort-Manager ist es kein Problem, in jedem Onlinedienst ein gutes, solides Passwort zu haben – aber definitiv überall ein anderes. Der Passwort-Manager erledigt ja die Arbeit. Passwort-Manager schlagen sogar gute Passwörter vor, merken sich alles und warnen mich, wenn es irgendwo Sicherheitsprobleme gibt. Das ist großartig!
Das Risiko, dass jemand in einen Passwort-Manager einbricht und dort Passwörter klaut, ist gering. Denn zum einen sind Passwort-Manager selbst auch noch mal durch ein Master-Passwort abgesichert, und die Passwörter sind verschlüsselt gespeichert. Es gibt aber unbestreitbar ein Risiko. Aber der Vorteil, überall andere solide Passwörter zu verwenden, überwiegt eindeutig. Generell: Lieber einen richtigen Passwort-Manager verwenden als die Passwort-Funktion im Browser zu benutzen. Denn wenn jemand Zugang zum Rechner hat, kann er/sie diese Passwörter verwenden – da die Browser in der Regel nicht zusätzlich abgesichert sind.
httpv://www.youtube.com/watch?v=mG0g0yjE-Ls
Zwei Faktor Authentifizierung
Apropos zusätzlich abgesichert: Es gibt ja die sogenannte „Zwei-Faktor-Authentifizierung“. Was steckt dahinter? Und wieso heißt es aktuell, die wäre auch nicht sicher?
Bei der Zwei-Faktor-Authentifizierung müssen Benutzer neben Benutzername und Passwort noch einen zweiten Faktor eingeben (daher der Name), und das ist in der Regel ein Code, der in einer App generiert wird – oder den man per Mail oder SMS erhält.
Die Idee dahinter: Nur wer Zugriff auf das Smartphone hat, kann sich einloggen. Der Code ändert sich jedes Mal. Das erhöht die Sicherheit enorm, denn selbst wenn jemand das Passwort geknackt oder geklaut haben sollte, hat er keine Chance. Ich kann nur jedem empfehlen, überall die Zwei-Faktor-Authentifizierung zu aktivieren.
Das geht bei Facebook, Twitter, Amazon, Apple, Paypal, heute eigentlich fast überall. Der Aufwand ist ein bisschen höher – aber zu meistern. Gute Passwort-Manager übernehmen auch diese Aufgabe sogar. Es gibt mittlerweile auch Hacker, der versuchen, die Zwei-Faktor-Authentifizierung zu knacken, durch eine sogenannte „Man in the middle“-Attacke. Sie müssen dann mit Fake-Webseiten arbeiten und den Code abgreifen, wie bei einer Phishing-Attacke. Und den Code dann sofort missbrauchen. Das ist denkbar, aber enorm schwierig. Es bleibt dabei, dass Konten, die mit Zwei-Faktor-Authentifizierung abgesichert sind, deutlich besser gesichert sind.
