Gerade hat es mal wieder einen größeren Hack gegeben: Daten von Politikern und Promis wurden veröffentlicht. Offenbar war deren Fehler, dass sie die gleichen Passwörter bei mehreren Diensten benutzt haben. Das sollte man nicht tun. Drei praktische Tipps dazu.
Passwortmanager
Eigentlich wollte ich mit sicheren Passwörtern anfangen. Aber dann ist die Frage, wie man sich die alle merkt. Das muss man gar nicht, wenn man einen Passwort-Manager benutzt.
Ein Passwort-Manager ist ein Programm, das alle Passwörter in einer gut verschlüsselten Datei speichert. Man muss sich dann ausschließlich das Passwort merken, mit dem man diesen Passwort-Tresor öffnet.
Es gibt eine ganze Reihe Anbieter von Passwort-Managern. Ich benutz Keepass. Das ist Open Source und scheint sicher zu sein. Keepass speichert die Daten in einem Format, das verschiedene Programme öffnen können. So funktioniert das bei mir unter Windows, Linux und auf dem Android-Telefon.
Den Datentresor kann man zentral ablegen – zum Beispiel in der Dropbox oder der Nextcloud. Keepass kann auf externe Dateien zugreifen.
Es gibt Plugins mit denen man den Passwort-Manager mit dem Browser verkuppelt. Dann werden die Login-Felder automatisch ausgefüllt. Wer diesem Plugins nicht traut, kann aber auch die Auto-Type-Funktion von Keepass benutzen.
Weiterlesen: Wikipedia – Kennwortverwaltung
Sichere Passwörter
Wenn man einen Passwort-Manager benutzt, muss man seine Passwörter überhaupt nicht mehr kennen. Ich weiß bei den meisten Passwörtern nicht einmal mehr, mit welchem Zeichen sie anfangen. Nach und nach habe ich meine alten, merkbaren Passwörter auf generierte Passwörter umgestellt.
Keepass hat eine Funktion, die beliebige Passwörter generiert, in verschiedenen Längen mit Sonderzeichen oder ohne. Mit dem Passwort-Manager gibt es keinen Grund mehr, nicht die maximale Komplexität zu wählen. Und es gibt erst recht keinen Grund mehr, das gleiche Passwort mehrfach zu benutzen.
Manchmal kommen mir Dienste unter, die sich darüber beschweren und sagen, dass sie keine Passwörter haben wollen, die länger als 8 Zeichen sind. Dafür gibt es überhaupt keinen Grund. Solche Dienste sollte man meiden.
Als Hauptpasswort für den Passwort-Manager brauchst Du am Ende doch ein Passwort, dass Du Dir merken kannst. Das sollte aber trotzdem nicht der Name des Partners und Euer Hochzeitstag sein. Lass Dir da auch lieber etwas generieren, was nichts mit Dir zu tun hat. Zum Beispiel vom XKCD-Passwort-Generator.
Ja. All Deine Passwörter sind dann grundsätzlich so sicher, wie dieses eine Passwort. Wähle es weise!
Weiterlesen: Wikipedia – Wahl sicherer Passwörter
Zwei-Faktor-Authentifizierung
Passwörter haben ihre Vor- und Nachteile. Ein paar der Nachteile kann man ausgleichen, wenn man den beiden ersten Tipps folgt. Ein weiterer Nachteil ist aber: Wenn jemand ein Passwort von Dir ergattert hat, dann kann er sich damit einfach einloggen.
Das mit das nicht ganz so einfach ist, kann man bei jedem vernünftigen Dienst einen zweiten Login-Faktor einstellen. Bei Facebook geht das, bei Twitter, Google, Amazon, Github, WordPress, Nextcloud – bei einer ganzen Menge Dienste.
Das funktioniert dann so, dass man über das Handy eine PIN bekommt, die für kurze Zeit und nur einmal funktioniert. Bei den großen, kommerziellen Diensten kann man diese PIN per SMS bekommen. Bei Nextcloud, WordPress usw. kann man das mit einer extra App machen.
Schalte die 2‑Faktor-Authentifizierung ein, wo auch immer es geht! Der Aufwand ist in der Regel gering. Auf dem Handy loggt man sich ohnehin nur einmal bei der Installation einer App ein. Auf dem Rechner macht man das einmal; beim Start.
Darüber hinaus ist es viel Aufwendiger, seine gehackten Accounts wiederherzustellen, als ab und zu den zweiten Login-Faktor einzugeben.
Weiterlesen: Wikipedia – Zwei-Faktor-Authentisierung
Wenn Du Passwörter hast, die man nicht erraten kann, die Du nur einmal benutzt und dazu als zweiten Faktor ein Einmal-Passwort benutzt, hast Du alles getan, was man auf Deiner Seite tun kann. Wenn dann der Dienst selbst gehackt wird, kannst Du nichts machen, außer Dein Passwort für diesen Dienst zu ändern.
Alle drei Tipps zu befolgen, ist natürlich dreimal sicher. Aber Du kannst auch nur ein oder zwei der Tipps erst einmal umsetzen: Bessere Passwörter benutzen und die 2‑Faktor-Authentifizierung – aber nicht den Passwort-Manager. Oder nur den Manager und die 2‑Faktor-Authentifizierung. Das ist alles besser als nichts.
Schreibe einen Kommentar