Steffen Voß - Technologie & Gesellschaft

Drei praktische Tipps : Wie Du Deine Accounts absicherst

Security
Foto: pixabay

Steffen Voß

Gerade hat es mal wieder einen größeren Hack gegeben: Daten von Politikern und Promis wurden veröffentlicht. Offenbar war deren Fehler, dass sie die gleichen Passwörter bei mehreren Diensten benutzt haben. Das sollte man nicht tun. Drei praktische Tipps dazu.

Passwortmanager

Eigentlich wollte ich mit sicheren Passwörtern anfangen. Aber dann ist die Frage, wie man sich die alle merkt. Das muss man gar nicht, wenn man einen Passwort-​Manager benutzt.

Ein Passwort-​Manager ist ein Programm, das alle Passwörter in einer gut verschlüsselten Datei speichert. Man muss sich dann ausschließlich das Passwort merken, mit dem man diesen Passwort-​Tresor öffnet.

Es gibt eine ganze Reihe Anbieter von Passwort-​Managern. Ich benutz Keepass. Das ist Open Source und scheint sicher zu sein. Keepass speichert die Daten in einem Format, das verschiedene Programme öffnen können. So funktioniert das bei mir unter Windows, Linux und auf dem Android-​Telefon.

Den Datentresor kann man zentral ablegen – zum Beispiel in der Dropbox oder der Nextcloud. Keepass kann auf externe Dateien zugreifen.

Es gibt Plugins mit denen man den Passwort-​Manager mit dem Browser verkuppelt. Dann werden die Login-​Felder automatisch ausgefüllt. Wer diesem Plugins nicht traut, kann aber auch die Auto-​Type-​Funktion von Keepass benutzen.

Weiterlesen: Wikipedia – Kennwortverwaltung

Sichere Passwörter

Wenn man einen Passwort-​Manager benutzt, muss man seine Passwörter überhaupt nicht mehr kennen. Ich weiß bei den meisten Passwörtern nicht einmal mehr, mit welchem Zeichen sie anfangen. Nach und nach habe ich meine alten, merkbaren Passwörter auf generierte Passwörter umgestellt.

Keepass hat eine Funktion, die beliebige Passwörter generiert, in verschiedenen Längen mit Sonderzeichen oder ohne. Mit dem Passwort-​Manager gibt es keinen Grund mehr, nicht die maximale Komplexität zu wählen. Und es gibt erst recht keinen Grund mehr, das gleiche Passwort mehrfach zu benutzen.

Manchmal kommen mir Dienste unter, die sich darüber beschweren und sagen, dass sie keine Passwörter haben wollen, die länger als 8 Zeichen sind. Dafür gibt es überhaupt keinen Grund. Solche Dienste sollte man meiden.

Als Hauptpasswort für den Passwort-​Manager brauchst Du am Ende doch ein Passwort, dass Du Dir merken kannst. Das sollte aber trotzdem nicht der Name des Partners und Euer Hochzeitstag sein. Lass Dir da auch lieber etwas generieren, was nichts mit Dir zu tun hat. Zum Beispiel vom XKCD-​Passwort-​Generator.

Ja. All Deine Passwörter sind dann grundsätzlich so sicher, wie dieses eine Passwort. Wähle es weise!

Weiterlesen: Wikipedia – Wahl sicherer Passwörter

Zwei-​Faktor-​Authentifizierung

Passwörter haben ihre Vor- und Nachteile. Ein paar der Nachteile kann man ausgleichen, wenn man den beiden ersten Tipps folgt. Ein weiterer Nachteil ist aber: Wenn jemand ein Passwort von Dir ergattert hat, dann kann er sich damit einfach einloggen.

Das mit das nicht ganz so einfach ist, kann man bei jedem vernünftigen Dienst einen zweiten Login-​Faktor einstellen. Bei Facebook geht das, bei Twitter, Google, Amazon, Github, WordPress, Nextcloud – bei einer ganzen Menge Dienste.

Das funktioniert dann so, dass man über das Handy eine PIN bekommt, die für kurze Zeit und nur einmal funktioniert. Bei den großen, kommerziellen Diensten kann man diese PIN per SMS bekommen. Bei Nextcloud, WordPress usw. kann man das mit einer extra App machen.

Schalte die 2‑Faktor-​Authentifizierung ein, wo auch immer es geht! Der Aufwand ist in der Regel gering. Auf dem Handy loggt man sich ohnehin nur einmal bei der Installation einer App ein. Auf dem Rechner macht man das einmal; beim Start.

Darüber hinaus ist es viel Aufwendiger, seine gehackten Accounts wiederherzustellen, als ab und zu den zweiten Login-​Faktor einzugeben.

Weiterlesen: Wikipedia – Zwei-​Faktor-​Authentisierung

Wenn Du Passwörter hast, die man nicht erraten kann, die Du nur einmal benutzt und dazu als zweiten Faktor ein Einmal-​Passwort benutzt, hast Du alles getan, was man auf Deiner Seite tun kann. Wenn dann der Dienst selbst gehackt wird, kannst Du nichts machen, außer Dein Passwort für diesen Dienst zu ändern.

Alle drei Tipps zu befolgen, ist natürlich dreimal sicher. Aber Du kannst auch nur ein oder zwei der Tipps erst einmal umsetzen: Bessere Passwörter benutzen und die 2‑Faktor-​Authentifizierung – aber nicht den Passwort-​Manager. Oder nur den Manager und die 2‑Faktor-​Authentifizierung. Das ist alles besser als nichts.

Hat’s Dir gefallen? Bitte teilen:



Kommentare

Marek Walther
Marek Walther:

Wahre Worte, die aber auf wenig fruchtbaren Boden fallen.

Die Problematik ist seit über einem Jahrzehnt bekannt und wird von den meisten Nutzern gekonnt ignoriert. Gerade im politischem Geschäftsbetrieb und im prominenten Umfeld laufen fast nur digitale Analphabeten rum, die froh sind, wenn sie ihr iPhone mit einer AppleID connectet haben. Alle externen Dienste laufen dann über das eine Benutze/​Passwort-​Kombination, die maximal 8 Stellen lang ist und Daten aus dem persönlichen Umfeld enthält. Ist das einmal anders, weis bei einer Migration keiner mehr seine Zugangsdaten für diverse Dienste. Hinzu kommt, dass man sich angewöhnt hat jeden unnötigen Müll auf seinen Mobilgeräten vorzuhalten, Passwortlisten im Kontakt- oder Mailmanager zu pflegen und jeden Dienst unreflektiert von Mobilgeräten oder unbekannten Rechnern zu nutzen. Und dann wäre da noch das Drama der verwaisten Accounts und Dienste. Viele nutzen irgendwelche Accounts einfach nicht mehr, ohne diese zu kündigen. Gerade bei alten Accounts wo man noch mit einer schlechten Passwortpolicy unterwegs war, ist das ein Problem.

Der erste Schritt währe daher Accountmanagement, gefolgt von Passwortmanagement. Beides lässt sich bestens mit einem Offline Manger wie Keepass erschlagen und man hat die Möglichkeit, relativ sichere Zufallskennwörter mit ausreichender Länge (=>20 Zeichen) erstellen zu lassen. Im Rahmen dieser Tätigkeit, kann man gleich eine Zonenbewertung seiner Accounts durchführen und diese dann ensprechend der eingestuften Sicherheitszone in eigenen Datenbanken ablegen. Die Zugangsdaten für meine Bank, Versicherungen, Krankenkasse und Co. brauche ich meistens nicht auf meinen Mobilgeräte, anders wie die Accounts von Twitter und Facebook.
Auf jeden Fall gilt, jeder Account bekommt ein eigenes sichere Kennwort.

Im nächsten Fall heist es ausmisten, welchen Mist brauche ich nicht mehr auf meinen Mobilgeräten und was machen die Firmendaten auf diesem. Am besten dienstliches und privates auch gerätemässig trennen und aufhören, dienstliche Mails und Co. auf private Mailaccounts umzuleiten.

Zweifaktor Authentifizierung sollte man bei allen wichtigen Konten einsetzten, am besten mit U2FD. Hier ist aber bei den Accounts daran zu denken, dass der zweite Faktor wie Smartphone mit der Zeit ausgetauscht werden wird und dann eine Anpassung am Account notwendig ist. Mailadressen und SMS eignet sich nur bedingt für 2F. Besser sind U2FD-​Sticks oder der gute alte Yubikey.

Lange Passphrasen lassen sich sehr gut aus Liedtexten oder Gedichtsversen bilden. Einfach von jedem Wort nach eignen Regeln eine Buchstaben nehmen, mit Sonderzeichen und Zahlen würzen und schon hat man eine 20 Zeichen Passphrase, die man sich mit dem Wissen schnell wieder zusammensetzten kann. Ist nicht so perfekt wie eine Zufallspaphrase, aber schnell anzuwenden und später im Altenheim ist man als erstes mit dem Gedächstrainig durch und darf ans Büffet.

Das sind Sachen, die alle Admins seit über einem Jahrzehnt predigen und die bei den Anwenderen auf Beratungsresistenz fällt. Es bringt nichts, der innere Schweinehund ist stärker und die Bequemlichkeit siegt. Gerade in der jetzt betroffenen Personengruppe die es gewohnt ist, das andere ihre Belange managen. Sehr schön ist das an den Reaktionen zu erkennen, wo die Politik von einem Angriff auf die Demokratie, hackback und brutalst mögliche Aufklärung fordert. Das ist ja schon fast so wie 2013 bei den Snowden Enthüllungen, nicht. Es wird versucht die eigene Unfähigkeit als Missetat der anderen zu verkaufen, Änderungen oder Besserungen sind damit nicht in Sicht. Es ist wie bei einem Alkoholiker der an Leberzirrhose sterben wird, weil er seine Probleme nicht eigesteht. Da ist es halt auch immer der Barmann, der ständig das Glaß auffüllt.

Ergo, es wird sich nichts ändern und die ganze Sache ist auch nur ein Sturm im Wasserglas der dafür genutzt werden wird, sinnlose Gesetze und Einschnitte in den Freiheiten der anderen durchzusetzten. Inhaltlich ist der Leak auch eher mau und es gibt in den Daten wenig Substanz. Für die Betroffenen sicher unschön, aber die meisten Daten bestehen aus Aggregation von Listen und öffentlich zugänglichen Information. Alleine schon die persönlichen Kontaktdaten der Politiker resultieren wahrscheinlich aus einer Handvoll der geleakten Adressbücher. Es wurde mehr Aufwand in die Darstellung des Materials gelegt als in das Material selber. Das macht aber auch deutlich, dass jeder mit seinen Karteileichen auf seinen Mobilgeräten oder Clouddiensten eine Gefahr für andere darstellt. Hygiene und Datensparsamkeit ist angesagt. Dagegen haben wir im letzten Jahr die DSGVO gesetzt, die die Datensammelei durch Information und Unterschrift legalisiert. In den richtigen Ecken des Netzes bekommt man schön heute Datenbestände die eine deutlich höhere Brisanz haben, als der derzeitige Leak. Auch können wir uns in der Zukunft sicher an weiterer solcher Leaks erfreuen, denn wo Datenhalden aufgebaut werden, gehen auch Datenhalden verloren. Das betrifft wie man jetzt sieht nicht nur den prof. Bereich der Hoster und Anbieter, sondern insbesondere den privaten Bereich.

In dem Sinne, willkommen in der Digitalisierung und ein spannendes 2019

5. Januar 2019 um 16:09
Steffen Voß
Steffen Voß:

Wie du schon sagst: Diese Tipps sind zeitlos. Deswegen habe ich sie mal aufgeschrieben. So kann ich sie ab und zu mal weitergeben.

Ohne Passwort-​Manager ist es vollkommen unmöglich, sichere Passwörter nur für einen Account zu benutzen. Passwort-​Manager sind aber immer noch nicht wirklich bekannt – obwohl in Apple-​Geräten mit dem iCloud-​Schlüsselbund einer eingebaut ist…

6. Januar 2019 um 17:36

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.