Drei praktische Tipps

Wie Du Deine Accounts absicherst

Security
Foto: pixabay

Gera­de hat es mal wie­der einen grö­ße­ren Hack gege­ben: Daten von Poli­ti­kern und Pro­mis wur­den ver­öf­fent­licht. Offen­bar war deren Feh­ler, dass sie die glei­chen Pass­wör­ter bei meh­re­ren Diens­ten benutzt haben. Das soll­te man nicht tun. Drei prak­ti­sche Tipps dazu.

Passwortmanager

Eigent­lich woll­te ich mit siche­ren Pass­wör­tern anfan­gen. Aber dann ist die Fra­ge, wie man sich die alle merkt. Das muss man gar nicht, wenn man einen Pass­wort-Mana­ger benutzt.

Ein Pass­wort-Mana­ger ist ein Pro­gramm, das alle Pass­wör­ter in einer gut ver­schlüs­sel­ten Datei spei­chert. Man muss sich dann aus­schließ­lich das Pass­wort mer­ken, mit dem man die­sen Pass­wort-Tre­sor öffnet. 

Es gibt eine gan­ze Rei­he Anbie­ter von Pass­wort-Mana­gern. Ich benutz Kee­pass. Das ist Open Source und scheint sicher zu sein. Kee­pass spei­chert die Daten in einem For­mat, das ver­schie­de­ne Pro­gram­me öff­nen kön­nen. So funk­tio­niert das bei mir unter Win­dows, Linux und auf dem Android-Telefon. 

Den Daten­tre­sor kann man zen­tral able­gen – zum Bei­spiel in der Drop­box oder der Next­cloud. Kee­pass kann auf exter­ne Datei­en zugreifen.

Es gibt Plug­ins mit denen man den Pass­wort-Mana­ger mit dem Brow­ser ver­kup­pelt. Dann wer­den die Log­in-Fel­der auto­ma­tisch aus­ge­füllt. Wer die­sem Plug­ins nicht traut, kann aber auch die Auto-Type-Funk­ti­on von Kee­pass benutzen. 

Wei­ter­le­sen: Wiki­pe­dia – Kennwortverwaltung

Sichere Passwörter

Wenn man einen Pass­wort-Mana­ger benutzt, muss man sei­ne Pass­wör­ter über­haupt nicht mehr ken­nen. Ich weiß bei den meis­ten Pass­wör­tern nicht ein­mal mehr, mit wel­chem Zei­chen sie anfan­gen. Nach und nach habe ich mei­ne alten, merk­ba­ren Pass­wör­ter auf gene­rier­te Pass­wör­ter umgestellt.

Kee­pass hat eine Funk­ti­on, die belie­bi­ge Pass­wör­ter gene­riert, in ver­schie­de­nen Län­gen mit Son­der­zei­chen oder ohne. Mit dem Pass­wort-Mana­ger gibt es kei­nen Grund mehr, nicht die maxi­ma­le Kom­ple­xi­tät zu wäh­len. Und es gibt erst recht kei­nen Grund mehr, das glei­che Pass­wort mehr­fach zu benutzen.

Manch­mal kom­men mir Diens­te unter, die sich dar­über beschwe­ren und sagen, dass sie kei­ne Pass­wör­ter haben wol­len, die län­ger als 8 Zei­chen sind. Dafür gibt es über­haupt kei­nen Grund. Sol­che Diens­te soll­te man meiden. 

Als Haupt­pass­wort für den Pass­wort-Mana­ger brauchst Du am Ende doch ein Pass­wort, dass Du Dir mer­ken kannst. Das soll­te aber trotz­dem nicht der Name des Part­ners und Euer Hoch­zeits­tag sein. Lass Dir da auch lie­ber etwas gene­rie­ren, was nichts mit Dir zu tun hat. Zum Bei­spiel vom XKCD-Pass­wort-Gene­ra­tor.

Ja. All Dei­ne Pass­wör­ter sind dann grund­sätz­lich so sicher, wie die­ses eine Pass­wort. Wäh­le es weise!

Wei­ter­le­sen: Wiki­pe­dia – Wahl siche­rer Passwörter

Zwei-Faktor-Authentifizierung

Pass­wör­ter haben ihre Vor- und Nach­tei­le. Ein paar der Nach­tei­le kann man aus­glei­chen, wenn man den bei­den ers­ten Tipps folgt. Ein wei­te­rer Nach­teil ist aber: Wenn jemand ein Pass­wort von Dir ergat­tert hat, dann kann er sich damit ein­fach einloggen. 

Das mit das nicht ganz so ein­fach ist, kann man bei jedem ver­nünf­ti­gen Dienst einen zwei­ten Log­in-Fak­tor ein­stel­len. Bei Face­book geht das, bei Twit­ter, Goog­le, Ama­zon, Git­hub, Word­Press, Next­cloud – bei einer gan­zen Men­ge Dienste.

Das funk­tio­niert dann so, dass man über das Han­dy eine PIN bekommt, die für kur­ze Zeit und nur ein­mal funk­tio­niert. Bei den gro­ßen, kom­mer­zi­el­len Diens­ten kann man die­se PIN per SMS bekom­men. Bei Next­cloud, Word­Press usw. kann man das mit einer extra App machen.

Schal­te die 2‑Fak­tor-Authen­ti­fi­zie­rung ein, wo auch immer es geht! Der Auf­wand ist in der Regel gering. Auf dem Han­dy loggt man sich ohne­hin nur ein­mal bei der Instal­la­ti­on einer App ein. Auf dem Rech­ner macht man das ein­mal; beim Start.

Dar­über hin­aus ist es viel Auf­wen­di­ger, sei­ne gehack­ten Accounts wie­der­her­zu­stel­len, als ab und zu den zwei­ten Log­in-Fak­tor einzugeben.

Wei­ter­le­sen: Wiki­pe­dia – Zwei-Faktor-Authentisierung

Wenn Du Pass­wör­ter hast, die man nicht erra­ten kann, die Du nur ein­mal benutzt und dazu als zwei­ten Fak­tor ein Ein­mal-Pass­wort benutzt, hast Du alles getan, was man auf Dei­ner Sei­te tun kann. Wenn dann der Dienst selbst gehackt wird, kannst Du nichts machen, außer Dein Pass­wort für die­sen Dienst zu ändern.

Alle drei Tipps zu befol­gen, ist natür­lich drei­mal sicher. Aber Du kannst auch nur ein oder zwei der Tipps erst ein­mal umset­zen: Bes­se­re Pass­wör­ter benut­zen und die 2‑Fak­tor-Authen­ti­fi­zie­rung – aber nicht den Pass­wort-Mana­ger. Oder nur den Mana­ger und die 2‑Fak­tor-Authen­ti­fi­zie­rung. Das ist alles bes­ser als nichts. 

Steffen Voß

Schlagwörter

, , , , , , , , , , ,

Ähnliches Thema

Beliebte Artikel


Neueste Artikel

Folge mir

Kommentare

  1. Avatar von Marek Walther
    Marek Walther

    Wah­re Wor­te, die aber auf wenig frucht­ba­ren Boden fallen.

    Die Pro­ble­ma­tik ist seit über einem Jahr­zehnt bekannt und wird von den meis­ten Nut­zern gekonnt igno­riert. Gera­de im poli­ti­schem Geschäfts­be­trieb und im pro­mi­nen­ten Umfeld lau­fen fast nur digi­ta­le Analpha­be­ten rum, die froh sind, wenn sie ihr iPho­ne mit einer App­leID con­nec­tet haben. Alle exter­nen Diens­te lau­fen dann über das eine Benut­ze/­Pass­wort-Kom­bi­na­ti­on, die maxi­mal 8 Stel­len lang ist und Daten aus dem per­sön­li­chen Umfeld ent­hält. Ist das ein­mal anders, weis bei einer Migra­ti­on kei­ner mehr sei­ne Zugangs­da­ten für diver­se Diens­te. Hin­zu kommt, dass man sich ange­wöhnt hat jeden unnö­ti­gen Müll auf sei­nen Mobil­ge­rä­ten vor­zu­hal­ten, Pass­wort­lis­ten im Kon­takt- oder Mail­ma­na­ger zu pfle­gen und jeden Dienst unre­flek­tiert von Mobil­ge­rä­ten oder unbe­kann­ten Rech­nern zu nut­zen. Und dann wäre da noch das Dra­ma der ver­wais­ten Accounts und Diens­te. Vie­le nut­zen irgend­wel­che Accounts ein­fach nicht mehr, ohne die­se zu kün­di­gen. Gera­de bei alten Accounts wo man noch mit einer schlech­ten Pass­wort­po­li­cy unter­wegs war, ist das ein Problem.

    Der ers­te Schritt wäh­re daher Account­ma­nage­ment, gefolgt von Pass­wort­ma­nage­ment. Bei­des lässt sich bes­tens mit einem Off­line Man­ger wie Kee­pass erschla­gen und man hat die Mög­lich­keit, rela­tiv siche­re Zufalls­kenn­wör­ter mit aus­rei­chen­der Län­ge (=>20 Zei­chen) erstel­len zu las­sen. Im Rah­men die­ser Tätig­keit, kann man gleich eine Zonen­be­wer­tung sei­ner Accounts durch­füh­ren und die­se dann enspre­chend der ein­ge­stuf­ten Sicher­heits­zo­ne in eige­nen Daten­ban­ken able­gen. Die Zugangs­da­ten für mei­ne Bank, Ver­si­che­run­gen, Kran­ken­kas­se und Co. brau­che ich meis­tens nicht auf mei­nen Mobil­ge­rä­te, anders wie die Accounts von Twit­ter und Facebook.
    Auf jeden Fall gilt, jeder Account bekommt ein eige­nes siche­re Kennwort.

    Im nächs­ten Fall heist es aus­mis­ten, wel­chen Mist brau­che ich nicht mehr auf mei­nen Mobil­ge­rä­ten und was machen die Fir­men­da­ten auf die­sem. Am bes­ten dienst­li­ches und pri­va­tes auch gerä­te­mäs­sig tren­nen und auf­hö­ren, dienst­li­che Mails und Co. auf pri­va­te Mail­ac­counts umzuleiten.

    Zwei­fak­tor Authen­ti­fi­zie­rung soll­te man bei allen wich­ti­gen Kon­ten ein­setz­ten, am bes­ten mit U2FD. Hier ist aber bei den Accounts dar­an zu den­ken, dass der zwei­te Fak­tor wie Smart­phone mit der Zeit aus­ge­tauscht wer­den wird und dann eine Anpas­sung am Account not­wen­dig ist. Mail­adres­sen und SMS eig­net sich nur bedingt für 2F. Bes­ser sind U2FD-Sticks oder der gute alte Yubikey.

    Lan­ge Pass­phra­sen las­sen sich sehr gut aus Lied­tex­ten oder Gedichtsver­sen bil­den. Ein­fach von jedem Wort nach eig­nen Regeln eine Buch­sta­ben neh­men, mit Son­der­zei­chen und Zah­len wür­zen und schon hat man eine 20 Zei­chen Pass­phra­se, die man sich mit dem Wis­sen schnell wie­der zusam­men­setz­ten kann. Ist nicht so per­fekt wie eine Zufalls­pa­phra­se, aber schnell anzu­wen­den und spä­ter im Alten­heim ist man als ers­tes mit dem Gedächs­trai­nig durch und darf ans Büffet.

    Das sind Sachen, die alle Admins seit über einem Jahr­zehnt pre­di­gen und die bei den Anwen­de­ren auf Bera­tungs­re­sis­tenz fällt. Es bringt nichts, der inne­re Schwei­ne­hund ist stär­ker und die Bequem­lich­keit siegt. Gera­de in der jetzt betrof­fe­nen Per­so­nen­grup­pe die es gewohnt ist, das ande­re ihre Belan­ge mana­gen. Sehr schön ist das an den Reak­tio­nen zu erken­nen, wo die Poli­tik von einem Angriff auf die Demo­kra­tie, hack­back und bru­talst mög­li­che Auf­klä­rung for­dert. Das ist ja schon fast so wie 2013 bei den Snow­den Ent­hül­lun­gen, nicht. Es wird ver­sucht die eige­ne Unfä­hig­keit als Mis­se­tat der ande­ren zu ver­kau­fen, Ände­run­gen oder Bes­se­run­gen sind damit nicht in Sicht. Es ist wie bei einem Alko­ho­li­ker der an Leber­zir­rho­se ster­ben wird, weil er sei­ne Pro­ble­me nicht eige­steht. Da ist es halt auch immer der Bar­mann, der stän­dig das Glaß auffüllt.

    Ergo, es wird sich nichts ändern und die gan­ze Sache ist auch nur ein Sturm im Was­ser­glas der dafür genutzt wer­den wird, sinn­lo­se Geset­ze und Ein­schnit­te in den Frei­hei­ten der ande­ren durch­zu­setz­ten. Inhalt­lich ist der Leak auch eher mau und es gibt in den Daten wenig Sub­stanz. Für die Betrof­fe­nen sicher unschön, aber die meis­ten Daten bestehen aus Aggre­ga­ti­on von Lis­ten und öffent­lich zugäng­li­chen Infor­ma­ti­on. Allei­ne schon die per­sön­li­chen Kon­takt­da­ten der Poli­ti­ker resul­tie­ren wahr­schein­lich aus einer Hand­voll der gele­ak­ten Adress­bü­cher. Es wur­de mehr Auf­wand in die Dar­stel­lung des Mate­ri­als gelegt als in das Mate­ri­al sel­ber. Das macht aber auch deut­lich, dass jeder mit sei­nen Kar­tei­lei­chen auf sei­nen Mobil­ge­rä­ten oder Cloud­diens­ten eine Gefahr für ande­re dar­stellt. Hygie­ne und Daten­spar­sam­keit ist ange­sagt. Dage­gen haben wir im letz­ten Jahr die DSGVO gesetzt, die die Daten­sam­me­lei durch Infor­ma­ti­on und Unter­schrift lega­li­siert. In den rich­ti­gen Ecken des Net­zes bekommt man schön heu­te Daten­be­stän­de die eine deut­lich höhe­re Bri­sanz haben, als der der­zei­ti­ge Leak. Auch kön­nen wir uns in der Zukunft sicher an wei­te­rer sol­cher Leaks erfreu­en, denn wo Daten­hal­den auf­ge­baut wer­den, gehen auch Daten­hal­den ver­lo­ren. Das betrifft wie man jetzt sieht nicht nur den prof. Bereich der Hos­ter und Anbie­ter, son­dern ins­be­son­de­re den pri­va­ten Bereich.

    In dem Sin­ne, will­kom­men in der Digi­ta­li­sie­rung und ein span­nen­des 2019

  2. Avatar von Steffen Voß
    Steffen Voß

    Wie du schon sagst: Die­se Tipps sind zeit­los. Des­we­gen habe ich sie mal auf­ge­schrie­ben. So kann ich sie ab und zu mal weitergeben. 

    Ohne Pass­wort-Mana­ger ist es voll­kom­men unmög­lich, siche­re Pass­wör­ter nur für einen Account zu benut­zen. Pass­wort-Mana­ger sind aber immer noch nicht wirk­lich bekannt – obwohl in Apple-Gerä­ten mit dem iCloud-Schlüs­sel­bund einer ein­ge­baut ist…

  3. Chromebook Linux: GalliumOS ist flott und hübsch

    […] Gal­li­um­OS mit Chro­mi­um als Brow­ser. Fire­fox lässt sich aber ein­fach nach­in­stal­lie­ren. Genau wie Kee­pass als Pass­wort­ma­na­ger. Was lei­der nicht dabei ist, ist der Next­cloud-​Cli­ent. Man kann aber einfach […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert