Die meisten von uns haben sehr viele Accounts da draußen. Fast jeder Dienst im Internet bietet die Erstellung eines Accounts oder Dienstkontos an. Selten ist eine Nutzung des Dienstes “frei”, häufig wird man regelrecht gezwungen ein Konto zu eröffnen, auch wenn man den Dienst genauso auch ohne Konto nutzen könnte. Wie etwa beim Onlineeinkauf, wo der Shop gerne unser Kaufverhalten beobachten möchte, um auf uns abgestimmte Produktempfehlungen zu geben. Die Folge ist: Jeder und jede von uns hat mehrere dutzend Accounts zu verwalten und die meisten nutzen der Einfachheit halber dieselben Login Daten für den Großteil ihrer Accounts. Was viele jedoch nicht wissen oder ignorieren ist, wie einfach es ist, die meisten Passwörter zu erraten. Wer es nicht glaubt, kann diesen Test gerne machen. Vergleich deine Passwörter einfach mit jenen hier: https://en.wikipedia.org/wiki/Wikipedia:10,000_most_common_passwords.
Falls du es in dem Wikipediaartikel findet, dann kannst du dir sicher sein, dass ein möglicher Angreifer diese auch finden wird. Und es gibt eine Vielzahl solcher “most commonly used passwords” Datenbanken im Netz. Doch selbst wenn man ein sicheres Passwort nutzt, könnte es sein, dass es infolge eines bereits erfolgten Angriffs deines Dienstanbieters bereits im Darknet verfügbar ist. Auf dieser Seite kannst du testen, ob eines deiner Accounts bereits bei einem BEKANNTEN Datenschutzvorfall (es gibt sicher noch viele nicht öffentlich bekannte) kompromittiert worden ist: https://haveibeenpwned.com/
Du kommst nicht um einen Passwortmanager herum
Die Konsequenz ist, dass du für jeden Internetdienst sichere Logindaten brauchst und das bedeutet sichere Passwörter (möglichst lang und komplex, d. h. Nutzung möglichst vieler Zeichen) und vor allem keine Wiederverwendung von Passwörtern bei unterschiedlichen Internetdiensten. Der BSI hat hier eine gute Zusammenfassung von Kriterien für sichere Passwörter, die man sich bei Interesse anschauen kann: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
Nur wenige jedoch können oder wollen sich all ihre komplexen Passwörter merken, ohne das Risiko einzugehen, ihre Passwörter mehrmals zu verwenden. Natürlich macht es Sinn, einige wichtige Passwörter auswendig zu kennen, damit ihr euch in eure wichtigsten Dienste einloggen könnt, ohne auf einen Passwortmanager angewiesen zu sein. Aber die meisten von uns haben eine Fülle an Accounts, die nicht sonderlich kritisch sind. Ihr werdet einige Stunden oder Tage ohne Zugriff auf den Onlineshop von “Zalando” aushalten. Ohne Zugriff auf euer Onlinebanking oder SSO (Single Sign-on) Daten für den Zugang zu den Diensten eures Arbeitgebers könnt ihr sicherlich nicht allzu lang auskommen.
Daher ist es sehr wichtig, dass du zumindest für deine unkritischen Accounts einen Passwortmanager nutzt. Mittlerweile gibt es sehr gute opensource Optionen und du musst nicht einmal mehr für das Programm zahlen. Daher gibt es keine Ausrede mehr, keinen Passwortmanager zu benutzen! Auch das Synchronisieren von Passwörtern ist kein Problem, da du die Passwort-Datenbank mittels eines Cloud-Dienstes immer synchron halten kannst.
Kritische Zugänge definieren
Wie oben bereits erwähnt, solltet ihr euch überlegen, bei welchen Accounts es sinnvoll ist, die Login-Daten auswendig zu kennen, weil ihr wie z. B. beim Onlinebanking nicht riskieren wollt, dass ihr auf den Passwortmanager angewiesen seid fürs Anmelden.
Um also eure kritischen Accounts zu identifizieren, geht zunächst durch eure Accountliste durch uns stellt euch diese Fragen:
- Wie lange komme ich ohne diesen Account aus?
- Was würde passieren, wenn eine Angreiferin meine Logindaten hätte … Kann ich mit den Konsequenzen leben, den Account in dem Fall komplett “platt” zu machen?
- Wenn die Daten dieses Accounts an die Öffentlichkeit gelangen würden, könnte mich das gesundheitlich, sozial oder finanziell schlechter stellen?
- Nach all den voreingestellten Fragen ist es meine geistige Kapazität wert, den Account auswendig zu können oder will ich die Daten zusätzlich noch im Passwortmanager (als lokale Passwortdatei?) verfügbar haben?
Nachdem diese Fragen geklärt sind, solltest du eine Liste von kritischen Accounts definiert haben. Ich hoffe, es sind weniger als 10. Sollten es mehr als 10 sein oder du hast Angst, dich auszusperren, wenn du ein Passwort vergessen haben solltest, dann lohnt vielleicht die Idee, eine weitere Passwortdatenbank für diese Accounts lokal vorzuhalten, als Backup.
Jetzt musst du nur noch ein starkes Passwort überlegen, was du dir merken kannst …
Strategien zur Erstellung eines starken Passworts
Ein starkes Passwort bedeutet, das Passwort sollte möglichst lang und komplex sein. Denn jedes zusätzliche Zeichen erhöht die Rechennotwendigkeit enorm, falls das Passwort via spezieller Passwort-Hacking-Software erraten werden soll. Würde es beispielsweise bei einem 10 Zeichen langen Passwort, welches aus Klein- und Großbuchstaben und zusätzlich Zahlen besteht, ca. 7 Monate dauern es zu errechnen, sieht es bei der gleichen Kombination von Zeichen, aber einem 15 Zeichen langem Passwort rund 2000 Jahre dauern es zu errechnen.
Hier wird auch die Schönheit sogenannter Passphrasen deutlich. Passphrasen sind ähnlich wie Sätze, eine längere Zeichenkette, die aus einer Vielzahl an Wörtern bestehen kann, nur ohne auf die Grammatik achten zu müssen. Daher solltet ihr euch für die kritischen Zugänge einen für euch leicht zu merkenden Satz überlegen und hier z. B. einige Buchstaben groß machen oder die Leerräume durch Zeichen auffüllen oder Teile des Satzes durch Zahlen ersetzen. Und selbstverständlich ist es wichtig, nicht allzu offensichtliche Sätze, etwa “Ich heiße XY und wurde im Jahr XXXX geboren” zu nehmen, sondern etwa “Meinen4MenAccountBekommstDU.net” oder Ähnliches.
Nutze wo es möglich ist Multi-Faktor-Authentisierung
Und nicht zuletzt nutze überall, wo Dienste es anbieten und insbesondere bei kritischen Accounts, Multi-Faktor-Authentisierung (MFA). MFA bedeutet, dass du nicht nur durch die Eingabe von Nutzerkennung und Passwort einloggen kannst, sondern noch mindestens eine Komponente (z. B. Pin aus einer gesonderten App; Fingerabdruck etc.) für den Login-Vorgang brauchst. Dies ist oft etwas anstrengend, weil man immer noch an den zweiten oder dritten Faktor denken muss. Aber für deine Angreifer ist es um ein Vielfaches schwieriger, deinen Account bei aktivem MFA zu kompromittieren. Wobei, auch hier gibt es wieder Angriffstechniken, wie beispielsweise MFA Bombing oder MFA Spamming, wo ein Nutzer so lange mit MFA Anfragen genervt wird, bis er eine Anfrage bestätigt. Daher seid auch hier vorsichtig und klickt nicht voreilig auf “genehmigen”, bevor ihr euch nicht sicher seid, dass es sich um eine legitime Anfrage handelt.