Umgang mit Passwörtern

Jeder Inter­net­nut­zer kennt es — fast alle Web­sei­ten benö­ti­gen für ihre Dienste einen Benut­zer­na­men und ein Pass­wort. Wel­ches Pass­wort soll man wählen?

Grund­sätz­lich darf man nicht den Feh­ler machen und für alle Web­sei­ten und deren Dienste das glei­che Pass­wort wählen.

Stel­len wir uns ein­mal fol­gen­des Sze­na­rio vor:

Herr Mus­ter­mann ver­wen­det für sei­nen E-Mail Account das glei­che Pass­wort wie für den Bezahl­dienst Pay­Pal und weil es ein­fa­cher ist, auch der Face­book Account und genauso auch die Accounts von Ama­zon und eBay. Ich würde sagen, das diese Web­sei­ten von sehr vie­len genutzt wer­den und daher nicht unwahr­schein­lich ist, dass sowas auch in der Rea­li­tät gän­gige Pra­xis ist. Herr Mus­ter­mann arbei­tet seit neu­es­tem mit einem Tabel­len­kal­ku­la­ti­ons­pro­gramm und benö­tigt Hilfe zu einer spe­zi­el­len For­mel. Er mel­det sich nun in einem Forum an und bit­tet um Unter­stüt­zung, diese erhält er auch prompt. Nach eini­gen Wochen wird das Forum Opfer einer Cyber­at­ta­cke. Durch eine Sicher­heits­lü­cke im Forum konn­ten nahezu alle Benut­zer­da­ten aus­ge­le­sen wer­den. Dar­un­ter auch der Account von Herr Mustermann.

Der Angrei­fer besitzt nun die E-Mail Adresse und das Pass­wort, wel­ches er für das Forum aus­ge­wählt hat. Nach einer Zeit, bemerkt er auf sei­nem Giro­konto unbe­kannte Abbu­chun­gen von Pay­Pal und Ama­zon. Bei dem Ver­such, sich bei eBay oder Ama­zon anzu­mel­den, erhält er einen Hin­weis, dass das Pass­wort falsch ist. Er ver­sucht es erneut, aber ohne erfolg. Letzt­end­lich benutzt er die “Pass­wort ver­ges­sen?” Funk­tion der Web­seite. Nach­dem er die Sicher­heits­fra­gen kor­rekt beant­wor­tet hat, kon­trol­liert er sein E-Mail Post­fach und war­tet auf die E-Mail zum zurück­set­zen sei­nes Passwortes.

Diese wird er aber nie erhalten..

Was ist passiert?

Sicher­lich keine schöne Vor­stel­lung, aber den­noch mög­lich und rela­tiv häu­fig. Nach­dem der Angrei­fer seine Zugangs­da­ten durch das Forum erhielt, rich­tete er sich eine neue und unbe­nutzte E-Mail Adresse bei einem belie­bi­gen Anbie­ter ein. Nach­dem dies gesche­hen ist, konnte er die bei eBay, Ama­zon und Pay­Pal hin­ter­legte E-Mail Adresse ändern und alle E-Mails auf die neue Adresse umlei­ten und er kann beru­higt ein­kau­fen. Wei­ter­hin hat er dank dem glei­chen Pass­wort auch die Zugangs­da­ten zu sei­nem Online­spei­cher (Cloud-Dienste), wo sich die Steu­er­er­klä­run­gen der letz­ten 10 Jahre befin­den, pri­vate Urlaubs­fo­tos, wei­tere Doku­mente und Rechnungen.

Ein schreck­li­ches Sze­na­rio, aber durch­aus mög­lich. Es sollte daher klar sein, das die oberste Regel “Nie­mals das glei­che Pass­wort mehr­mals ver­wen­den” sich den ers­ten Platz sichert. Durch das ver­wen­den der glei­chen Pass­wör­ter, macht man es dem Angrei­fer beson­ders ein­fach und sollte unbe­dingt ver­mie­den werden.

Pass­wort­ma­na­ger sind mitt­ler­weile sehr beliebt, denn damit braucht man sich nur ein Pass­wort mer­ken und erhält so den Zugriff auf alle ande­ren Pass­wör­ter. Das was der Nut­zer kann, kann aber auch der Angrei­fer — sobald er das Mas­ter Pass­wort erhält, hat auch er denn vol­len Zugriff.

Ein­fa­cher und siche­rer ist daher das sys­te­ma­ti­sche ver­ge­ben von Pass­wör­tern. Dabei nimmt man sich eine zufäl­lige Kom­bi­na­tion von einer Zah­len, Buch­sta­ben sowie Son­der­zei­chen und ver­knüpft diese mit einem Syn­onym für den Dienst.

Bei­spiel:

Man ver­wen­det als Basis z.B. M=axMuster@Mann1982 und setzt sich aus Vor­na­men, Nach­na­men, Geburts­jahr und Son­der­zei­chen zusam­men. Dazu setzt man nur noch ein Syn­onym für die Web­seite hinzu und fer­tig ist das sichere und sys­te­ma­tisch gewählte Passwort.

Eine Mög­lich­keit wäre z.B. fur den Pay­Pal Account:

Daten: Mar­tin, Mül­ler 1981

Pass­wort: Ma/rtin1981Mü@llerPay.Pal

Das Pass­wort erhält nun alle erdenk­li­chen Kom­bi­na­tio­nen für ein siche­res Pass­wort und lässt sich mit etwas Übung gut ein­prä­gen. Wer sich Infor­ma­tio­nen über die Sicher­heit des gewähl­ten Pass­wor­tes holen möchte, kann gerne diese Seite nut­zen: https://www.microsoft.com/de-de/security/pc-security/password-checker.aspx