Die "Passwort vergessen"-Funktion ist für viele Internetnutzer häufig die letzte Rettung, um an den eigenen Online-Account zu gelangen. Bei der Vielzahl der genutzten Web-Dienste, wie Online-Shops, Mail-Accounts oder Social Media Plattformen, ist es nicht einfach hier noch den Passwort-Überblick zu behalten. Die Empfehlung vieler Experten, komplexe und für jede Plattform unterschiedliche Passwörter zu verwenden, ist natürlich richtig. Die Praxis sieht leider anders aus: Anwender setzten verstärkt auf schwache Kennwörter und nutzen diese häufig für eine Vielzahl privater und geschäftlich genutzter Zugänge. Es geht aber auch sicherer und zugleich einfacher. Zum Welt-Passwort-Tag am 2. Mai verrät Sicherheitsexperte Thomas Uhlemann seine Tipps, wie Anwender sichere Passwörter erstellen, ohne dabei den Überblick zu verlieren. "Empfehlenswert ist ein komplexes Kennwort, kombiniert mit dem Einsatz eines Password Managers sowie der Aktivierung der 2-Faktor-Authentifizierung", so Thomas Uhlemann, Eset Security Specialist DACH. "So behalten Anwender bei ihren Passwörtern leicht den Durchblick und auch wenn das Konto von einem Datendiebstahl betroffen ist, bleibt der Zugang durch die 2-Faktor-Authentifizierung weiter geschützt."

 

2-Faktor-Authentifizierung für mehr Sicherheit

"Durch eine 2-Faktor-Authentifizierung (2FA) sichern Anwender ihre Online-Konten mit einer zusätzlichen Sicherheitsschranke ab. Die Nutzung ist in der Regel kinderleicht", so Uhlemann. "Was Internetnutzer oftmals nicht wissen: Viele Anbieter haben diese zusätzliche Sicherheitsfunktionalität kostenlos integriert."

 

Standardmäßig meldet sich der Nutzer mit seinem Passwort an. Anschließend hält er eine Code-Abfrage. Diese Kennung wird meist an ein zuvor definiertes Smartphone geschickt. Wenn der Nutzer den Code eingegeben hat, wird die zweite Sperre geöffnet und er kann seinen jeweiligen Online-Dienst nutzen. "Ist die Zwei-Faktor-Authentifizierung aktiviert, müsste ein Angreifer zum einen das Passwort kennen und zum anderen auch Zugriff auf das Smartphone haben", erläutert der Eset-Experte. "Das ist mehr als unwahrscheinlich." Wichtig dabei: Anwender sollten auf keinen Fall ein und dasselbe Gerät, beispielsweise das Smartphone, für den Zugang und zugleich als auch für die Authentifizierung verwenden. Hier lohnt sich die Kombination mit einem PC oder Tablet. Bei der Suche nach Online-Diensten, die die 2-Faktor-Authentifizierung unterstützen, hilft die Webseite TwoFactorAuth.org.

 

Der Passwort Sicherheits-Check von Eset Security Specialist Thomas Uhlemann

 

- Auf einen Password Manager setzen: Im Passwort-Dschungel verlieren Anwender schnell den Überblick. Mit dem Password Manager in der Eset Smart Security Premium ist das kein Problem. Das Tool speichert und organisiert alle Passwörter. Der Vorteil: Der Password Manager kann auf dem PC, Mac, Android und iPhone genutzt werden. So ist das richtige Passwort für den jeweiligen Online-Dienst immer griffbereit.

 

- Passphrasen einsetzen: Ein einziges Wort als Passwort ist nicht ausreichend und lässt sich leicht erraten. Empfehlenswert sind sogenannte Passphrasen, die in keinem Wörterbuch zu finden sind. Ein guter Password Manager kann bei der Erstellung eines sicheren Passworts helfen.

 

- Passwörter regelmäßig wechseln: Nutzer sollten mindestens alle sechs Wochen die Kennwörter für ihre Online-Konten bei Shops oder sozialen Netzwerken ändern. Zudem sollte für jeden Dienst ein einzigartiges Passwort eingesetzt werden.

 

- 2-Faktor-Authentifizierung aktivieren: Anwender sollten 2FA bei jedem Online-Dienst verwenden, der dies anbietet. Dadurch sichern Anwender ihre Online-Konten mit einer zusätzlichen Schranke ab. Je nachdem wird eine Einmal-Code per SMS oder über einen Authenticator verschickt, der neben dem Passwort benötigt wird. Alle gängigen Dienstleister, wie Facebook, Paypal oder Linkedin, bieten diese Funktion an.

 

- Sofort aktualisieren: Sicherheits-Updates sind essentiell, um den Schutz des Computers oder des Mobilgerätes zu gewährleisten. Generell sollte das Betriebssystem und die installierten Apps auf dem aktuellen Stand gehalten und Updates umgehend installiert werden.

 

- Sicherheitslösung einsetzen: Desktop, Notebooks, Server, Smartphones oder Tablets, ob im Privathaushalt oder Unternehmen, sollten immer über eine aktuelle Sicherheitslösung verfügen. Gerade Mobilgeräte werden häufig arglos verwendet, obwohl sie das "klassische" Einfallstor für Cyberkriminelle sind, um an sensible Daten heranzukommen oder in ein Firmennetzwerk zu gelangen.

 

Alles im Blick mit einem Password Manager

Für viele Privatanwender wird der Passwort-Dschungel erst richtig undurchschaubar, wenn sie das Kennwort nach den gängigen Tipps der Experten erstellen sollen. Ein Password Manager, wie in der Eset Smart Security Premium, speichert und organisiert alle Zugangscodes, füllt Formulare automatisch aus und generiert auf Wunsch auch sichere Varianten. Der Password Manger kann sowohl auf dem Windows-PC, als auch in unterschiedlicher Kombination auf Mac, Android und iPhone genutzt werden. So müssen sich Anwender keine Unmengen an komplexen Zugangsdaten merken und haben jederzeit das richtige Passwort parat - auch unterwegs. Der Eset Password Manager geht hierbei sogar noch einen Schritt weiter und unterstützt in seiner neuesten Version den Google Authenticator. Wie schon vorher erwähnt, bieten viele Online-Dienste die 2FA an. Neben der gängigen Praxis des Versandes eines Einmal-Codes per SMS, kann der Google Authenticator als App genutzt werden. Der Vorteil: Einmal im Eset Password Manager auf dem Windows-PC oder Mac eingeschaltet, aktiviert diese Funktion auf allen Geräten, die auch als vertrauensvoll eingestuft wurden.

 

Da viele Nutzer für verschiedene Anwendungen und Webdienste das gleiche Passwort nutzen, stellt dies für Unternehmen ein enormes Sicherheitsrisiko dar. Aus diesem Grund bietet Eset mit seiner 2-Faktor-Authentifizierungslösung Eset Secure Authentication eine sichere Lösung für Unternehmen an. So wird der Zugriff auf Unternehmensressourcen zusätzlich abgesichert und das Risiko durch schwache oder gar verlorene Passwörter minimiert, da bei der Anmeldung neben dem regulären Passwort ein zweiter Faktor abgefragt wird.

 

Was ist der Welt-Passwort-Tag?

Im Jahr 2013 wurde der Welt-Passwort-Tag ins Leben gerufen. Ziel dieses Tages ist es, auf den richtigen Umgang mit Passwörtern hinzuweisen. Anwender sollen dazu angehalten werden, sichere Kennwörter und wenn möglich 2-Faktor-Authentifizierung zu benutzen, um die Zugänge zu Online-Diensten besser zu schützen.

 

Experteninterview mit Prof. Thorsten Strufe zum Welt-Passwort-Tag

In unserer digitalisierten Welt ist der richtige Umgang mit Passwörtern die wichtigste Voraussetzung, um eigene Daten und Geräte zu schützen und Cyber-Kriminellen das Leben schwer zu machen. Zum Welt-Passwort-Tag am 2.

Mai erklärt Prof. Thorsten Strufe, Professor für Datenschutz und Datensicherheit an der TU Dresden, wie Hacker vorgehen und wie man sichere Passwörter erstellt und nutzt.

 

Frage: Angeblich gehören „12345“, „Passwort“ oder „Admin“ noch immer zu den beliebtesten Passwörtern – Warum ist das so? Wir werden doch ständig von allen Seiten gemahnt, unbedingt sichere Passwörter zu verwenden?

Prof. Thorsten Strufe: Da spielen mehrere Aspekte eine Rolle: Zum einen denken viele Menschen, dass sie als Ziel für Angreifer gar nicht interessant sind. Schließlich sind sie nicht prominent und haben auf ihren privaten Geräten scheinbar keine wichtigen Informationen. Außerdem kommen viele Geräte, gerade aus dem Smart-Home-Bereich, mit voreingestellten Standardpasswörtern. Viele denken nicht daran, dass auch ihr DSL-Router und sogar ihr Thermostat im Internet sind und entsprechend gesichert werden müssen.

 

Was vielen dabei nicht klar ist: Hacker haben es nur in wenigen Fällen tatsächlich auf die Daten von Privatpersonen abgesehen. Viel häufiger erleben wir entweder Ransomware, also Schadsoftware, die Festplatten von Opfern verschlüsselt und anschließend ein Lösegeld erpresst, oder noch häufiger den Fall, dass Angreifer fremde Geräte als Ressourcen für weitere Angriffe nutzen.

 

Was bedeutet das?

Sie legen dort zum Beispiel unbemerkt Daten ab, mit denen sie selbst nicht in Verbindung gebracht werden möchten. Das können illegal verbreitete Filme, im schlimmsten Fall sogar Kinderpornographie sein. Auch das massive Verschicken von Spam, unerwünschten Massen-E-Mails, passiert häufig über solche gehackten Rechner. Oder die Angreifer nutzen sie, um damit selbst Angriffe durchzuführen. Sabotage-Angriffe auf Webseiten oder Internet- Dienste sind hier ein häufig vorkommendes Beispiel. Dafür brauchen die Angreifer Computer, die mit dem Internet verbunden, aber nicht auf sie zurückzuführen sind. Das kann für den Besitzer der Geräte sehr unangenehm werden, auch wenn er nichts davon wusste.

 

Hacken sich Angreifer in Social Media, werden diese oft für illegale Werbe-Kampagnen genutzt. Facebook-Accounts können so sehr gut für politische Kampagnen missbraucht werden. Jemand liked und verbreitet im Namen des eigenen Accounts bestimmte Themen. Wer sich also wundert, warum plötzlich merkwürdige Beiträge in seiner Timeline auftauchen, sollte mal in sein Aktivitätenprotokoll schauen.

 

Wie sieht das perfekte Passwort aus?

Ein Angreifer wird versuchen, nicht alle theoretisch möglichen Passworte auszuprobieren, sondern von Menschen gewählte – und damit häufig leicht vorhersehbare – Passworte zu raten. Um das zu erschweren, sollte ein gutes Passwort mindestens zehn Zeichen haben, und die sollten möglichst unterschiedlicher Art sein: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Besonders wichtig ist es, dass es zufällig aussieht und Angreifer es möglichst schwer haben, ein System zu erkennen. Außerdem sollte man nicht dasselbe Passwort für verschiedene Accounts nutzen. Denn ist es einmal geknackt, vielleicht weil der Anbieter des Dienstes nicht aufgepasst hat, sind gleich mehrere Konten betroffen.

 

Stimmt es, dass man sein Passwort öfter ändern sollte?

Prinzipiell ja, wobei man heute sagt, dass es ausreicht, das alle ein oder zwei Jahre zu tun. Je öfter man sie ändert, desto schwieriger ist es, sich die Passwörter zu merken. Und dann neigt man wieder dazu, einfachere und unsicherere Passwörter zu nutzen oder alte zu recyceln.

 

Ein großes Problem ist, dass sich die meisten mittlerweile so viele verschiedene Passwörter merken müssen: für mehre E-Mail-Adressen, Social- Media-Kanäle, Webshops, Banking, Foren, Portale… Wie kann man das lösen?

Hier können Passwortmanager helfen. Sie speichern Passwörter verschlüsselt ab, sodass man sich nur noch ein Masterpasswort merken muss. Dieses sollte natürlich besonders sicher sein. Man loggt sich ein und kann seine Passwörter einfach per copy & paste in die jeweiligen Anmeldemasken übertragen. Passwortmanager können zudem wirklich zufällige und sichere Passwörter generieren – besser als der Mensch, der sich naturgemäß unheimlich schwer damit tut, sich etwas Zufälliges auszudenken.

 

Wie gehen Hacker vor?

Hacker nutzen Software, die sie ohne großen Aufwand im Internet finden können. Diese Tools versuchen im großen Stil, in Accounts einzubrechen, indem sie sich systematisch durch mögliche Passwort-Kombinationen arbeiten. Diese Automatisierung führt auch dazu, dass Angreifer inzwischen alle möglichen mit dem Internet verbundenen Geräte angreifen können: Sie wählen diese Ziele nicht mehr manuell aus sondern starten schlicht Programme, die versuchen, alle mit dem Internet verbundenen Geräte zu finden und automatisch anzugreifen.

 

Oft ist von zweistufigen Verfahren die Rede. Sind sie die Lösung?

Die sogenannte Mehr-Faktor-Authentifizierung ist dann sinnvoll, wenn dafür verschiedene Geräte notwendig sind, also zum Beispiel das Passwort am Rechner und ein Code, der auf dem Handy empfangen wird. Wir kennen das klassisch schon lange von Geldautomaten, bei denen man eine Karte und eine PIN braucht, oder vom Online-Banking, bei dem man sich zuerst anmeldet aber für Transaktionen weitere geheime TANs braucht. Die Zwei-Faktor- Authentifizierung ist gerade für attraktive Angriffsziele, also zum Beispiel Ihre Accounts in sozialen Medien, immer anzuraten.

 

Wie wird sich die Technologie in Sachen Passwortschutz weiterentwickeln?

Werden Passwörter irgendwann von sichereren und einfacheren Verfahren abgelöst?

Man hat eine Zeitlang viel an sogenannten inhärenten Faktoren, also biometrischen Eigenschaften, geforscht, wie zum Beispiel Fingerabdruck- oder Iris-Scans. Ein weiterer Ansatz war, das Smartphone durch die spezifischen Charakteristika des Besitzers, wie zum Beispiel seine Art zu gehen, zu entsperren. Diese Verfahren haben sich aber alle als nicht sicherer und meist auch nicht als komfortabler erwiesen. Wir gehen deshalb davon aus, dass wir auch künftig daran arbeiten werden, den Leuten die Nutzung sicherer Passwörter beizubringen.

 

Haben Sie weitere Tipps zum Umgang mit Passwörtern?

Hilfreich ist sicher immer eine Risikoabschätzung. Man sollte Prioritäten setzen und überlegen, welche Geräte und Konten wie stark zu schützen sind.

 

Es gibt natürlich Konten, die nicht so drastisch geschützt werden müssen, vielleicht bei einem Diskussionsportal, oder einem Portal wo man durch die Anmeldung schlicht auf Daten zugreifen kann, ohne selbst wirklich Spuren zu hinterlassen oder mit dem Konto irgendwelche für andere sichtbaren Aktionen vollziehen zu können. Ganz sicher sind der private PC und das Netz zu Hause, die Geräte und Accounts am Arbeitsplatz, Social-Media- und natürlich Bankaccounts interessante Ziele für Angreifer und müssen daher mit guten Passwörtern geschützt sein.

 

Außerdem kann natürlich nicht häufig genug daran erinnert werden: Neben den sicheren Passwörtern ist es ungemein wichtig, die Software, also Betriebssysteme, aber auch die Apps und andere Programme regelmäßig zu updaten und immer aktuell zu halten, damit bekannte Schwachstellen nicht offenstehen.

 

Siehe auch:

https://www.eset.com/de/business/secure-authentication

https://tu-dresden.de/ing/informatik/sya/ps