Kategorien
online accounts

Ordnung und Sicherheit für deine Online-Accounts und Passwörter

Die meisten von uns besitzen heute eine große Zahl an Online-Accounts. Fast jeder Dienst verlangt eine Registrierung – oft auch dann, wenn man den Dienst eigentlich ohne Konto nutzen könnte. Besonders beim Online-Shopping wird man dazu gedrängt, damit Händler unser Kaufverhalten analysieren und personalisierte Empfehlungen ausspielen können.

Das führt dazu, dass wir alle mehrere Dutzend Accounts verwalten müssen. Viele Menschen verwenden aus Bequemlichkeit dieselben Zugangsdaten für die meisten Dienste. Was viele nicht bedenken: Die meisten Passwörter lassen sich erschreckend leicht erraten. Wenn du das überprüfen möchtest, vergleiche deine Passwörter mit http://dieser Liste der 10.000 häufigsten Passwörter: https://en.wikipedia.org/wiki/Wikipedia:10,000_most_common_passwords
Taucht dein Passwort dort auf, kannst du sicher sein, dass auch Angreifer es kennen. Und diese Liste ist nur eine von vielen.Selbst ein starkes Passwort schützt nicht immer. Wenn ein Anbieter gehackt wurde, kann dein Passwort bereits im Darknet kursieren. Ob einer deiner Accounts von einem bekannten Datenleck betroffen ist, kannst du hier prüfen:
https://haveibeenpwned.com/

Foto von Towfiqu barbhuiya auf Unsplash

Warum ein Passwortmanager unverzichtbar ist

Für jeden Dienst brauchst du ein eigenes, sicheres Passwort – lang, komplex und niemals wiederverwendet. Das BSI bietet dazu eine gute Übersicht: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

Doch kaum jemand kann sich Dutzende solcher Passwörter merken. Einige besonders wichtige Passwörter solltest du im Kopf behalten, etwa fürs Onlinebanking oder berufliche SSO-Zugänge. Die meisten Accounts sind jedoch nicht kritisch – ein paar Tage ohne Zalando sind verkraftbar, ohne Onlinebanking eher nicht.

Für alle weniger kritischen Accounts solltest du deshalb einen Passwortmanager nutzen. Es gibt sehr gute Open-Source-Lösungen, die kostenlos sind. Auch die Synchronisation über Cloud-Dienste ist problemlos möglich.

Sicherheit trotz Cloud-Synchronisation

Viele fragen sich, ob es nicht gefährlich ist, eine Passwortdatenbank in der Cloud zu speichern. Doch die Datenbank wird vom Passwortmanager selbst verschlüsselt. KeePass nutzt beispielsweise den Advanced Encryption Standard (AES) mit 256-Bit-Schlüsseln. Ein solcher Schlüssel hat
115.792.089.237.316.195.423.570.985.008.687.907.853.269.984.665.640.564.039.457.584.007.913.129.639.936
mögliche Kombinationen. Kein existierender Supercomputer könnte das in einem realistischen Zeitraum knacken – es würde Millionen Jahre dauern.

Quantencomputer könnten eines Tages neue Risiken darstellen, aber bis dahin werden Passwortmanager längst quantensichere Verfahren anbieten.

Welche Passwörter du auswendig kennen solltest

Überlege dir, welche Accounts so wichtig sind, dass du ihre Zugangsdaten im Kopf behalten möchtest. Besonders bei Onlinebanking oder beruflichen Zugängen willst du nicht darauf angewiesen sein, erst deinen Passwortmanager öffnen zu müssen.

Foto von Suyash Mahar auf  Unsplash

Gehe deine Accountliste durch und stelle dir folgende Fragen:

  • Wie lange komme ich ohne diesen Account aus?
  • Was passiert, wenn eine Angreiferin meine Zugangsdaten erhält? Könnte ich im Notfall damit leben, den Account komplett zu löschen?
  • Würde ein öffentliches Datenleck dieses Accounts mich gesundheitlich, sozial oder finanziell gefährden?
  • Ist es mir die geistige Kapazität wert, dieses Passwort auswendig zu lernen? Oder möchte ich es zusätzlich im Passwortmanager (ggf. lokal) speichern?

Nach dieser Analyse solltest du eine Liste deiner kritischen Accounts haben – idealerweise weniger als zehn. Wenn es mehr sind oder du Angst hast, dich auszusperren, kann eine zweite, rein lokale Passwortdatenbank als Backup sinnvoll sein.

Wie du ein starkes Passwort erstellst

Ein starkes Passwort ist vor allem lang. Ein Beispiel:

  • 10 Zeichen (Groß-/Kleinbuchstaben + Zahlen): ca. 7 Monate Rechenzeit
  • 15 Zeichen mit denselben Zeichenarten: ca. 2000 Jahre Rechenzeit

Passphrasen sind dafür ideal. Sie bestehen aus langen, leicht merkbaren Sätzen – ohne Rücksicht auf Grammatik. Du kannst Großbuchstaben einbauen, Leerzeichen durch Sonderzeichen ersetzen oder Teile durch Zahlen austauschen.

Wichtig ist nur, keine offensichtlichen Sätze wie „Ich heiße XY und wurde 19XX geboren“ zu verwenden. Besser sind kreative Konstruktionen wie:

„Meinen4MenAccountBekommstDU.net“

Multi-Faktor-Authentisierung nutzen

Aktiviere überall, wo es möglich ist – besonders bei kritischen Accounts – die Multi-Faktor-Authentisierung (MFA). Neben Nutzername und Passwort brauchst du dann mindestens einen weiteren Faktor, z. B.:

  • eine PIN aus einer Authenticator-App
  • einen Fingerabdruck
  • einen Hardware-Token

Das macht Angriffe deutlich schwieriger.

Beachte jedoch: Auch MFA ist nicht unverwundbar. Angriffe wie „MFA Bombing“ oder „MFA Spamming“ setzen darauf, dass Nutzer irgendwann genervt eine Anfrage bestätigen. Klicke daher niemals vorschnell auf „genehmigen“, sondern prüfe, ob du die Anfrage selbst ausgelöst hast.

Checkliste

  1. Verwende für jeden Online-Dienst ein eigenes, langes und komplexes Passwort.
  2. Prüfe regelmäßig, ob deine Passwörter zu den häufigsten gehören oder in Datenlecks aufgetaucht sind.
  3. Nutze einen Passwortmanager, um alle nicht-kritischen Passwörter sicher zu speichern und zu synchronisieren.
  4. Entscheide für deine kritischsten Accounts, ob du zusätzlich eine lokale Kopie der Passwortdatenbank benötigst oder ob diese Passwörter ausschließlich lokal gespeichert bleiben sollten.
  5. Erstelle starke Passphrasen, die lang, kreativ und leicht zu merken sind.
  6. Aktiviere überall, wo es möglich ist, Multi-Faktor-Authentisierung für zusätzlichen Schutz.
  7. Bestätige MFA-Anfragen nur dann, wenn du sicher bist, dass du sie selbst ausgelöst hast.