Umgang mit Passwörtern

Jeder Internetnutzer kennt es – fast alle Webseiten benötigen für ihre Dienste einen Benutzernamen und ein Passwort. Welches Passwort soll man wählen?

Grundsätzlich darf man nicht den Fehler machen und für alle Webseiten und deren Dienste das gleiche Passwort wählen.

Stellen wir uns einmal folgendes Szenario vor:

Herr Mustermann verwendet für seinen E-Mail Account das gleiche Passwort wie für den Bezahldienst PayPal und weil es einfacher ist, auch der Facebook Account und genauso auch die Accounts von Amazon und eBay. Ich würde sagen, das diese Webseiten von sehr vielen genutzt werden und daher nicht unwahrscheinlich ist, dass sowas auch in der Realität gängige Praxis ist. Herr Mustermann arbeitet seit neuestem mit einem Tabellenkalkulationsprogramm und benötigt Hilfe zu einer speziellen Formel. Er meldet sich nun in einem Forum an und bittet um Unterstützung, diese erhält er auch prompt. Nach einigen Wochen wird das Forum Opfer einer Cyberattacke. Durch eine Sicherheitslücke im Forum konnten nahezu alle Benutzerdaten ausgelesen werden. Darunter auch der Account von Herr Mustermann.

Der Angreifer besitzt nun die E-Mail Adresse und das Passwort, welches er für das Forum ausgewählt hat. Nach einer Zeit, bemerkt er auf seinem Girokonto unbekannte Abbuchungen von PayPal und Amazon. Bei dem Versuch, sich bei eBay oder Amazon anzumelden, erhält er einen Hinweis, dass das Passwort falsch ist. Er versucht es erneut, aber ohne erfolg. Letztendlich benutzt er die “Passwort vergessen?” Funktion der Webseite. Nachdem er die Sicherheitsfragen korrekt beantwortet hat, kontrolliert er sein E-Mail Postfach und wartet auf die E-Mail zum zurücksetzen seines Passwortes.

Diese wird er aber nie erhalten..

Was ist passiert?

Sicherlich keine schöne Vorstellung, aber dennoch möglich und relativ häufig. Nachdem der Angreifer seine Zugangsdaten durch das Forum erhielt, richtete er sich eine neue und unbenutzte E-Mail Adresse bei einem beliebigen Anbieter ein. Nachdem dies geschehen ist, konnte er die bei eBay, Amazon und PayPal hinterlegte E-Mail Adresse ändern und alle E-Mails auf die neue Adresse umleiten und er kann beruhigt einkaufen. Weiterhin hat er dank dem gleichen Passwort auch die Zugangsdaten zu seinem Onlinespeicher (Cloud-Dienste), wo sich die Steuererklärungen der letzten 10 Jahre befinden, private Urlaubsfotos, weitere Dokumente und Rechnungen.

Ein schreckliches Szenario, aber durchaus möglich. Es sollte daher klar sein, das die oberste Regel “Niemals das gleiche Passwort mehrmals verwenden” sich den ersten Platz sichert. Durch das verwenden der gleichen Passwörter, macht man es dem Angreifer besonders einfach und sollte unbedingt vermieden werden.

Passwortmanager sind mittlerweile sehr beliebt, denn damit braucht man sich nur ein Passwort merken und erhält so den Zugriff auf alle anderen Passwörter. Das was der Nutzer kann, kann aber auch der Angreifer – sobald er das Master Passwort erhält, hat auch er denn vollen Zugriff.

Einfacher und sicherer ist daher das systematische vergeben von Passwörtern. Dabei nimmt man sich eine zufällige Kombination von einer Zahlen, Buchstaben sowie Sonderzeichen und verknüpft diese mit einem Synonym für den Dienst.

Beispiel:

Man verwendet als Basis z.B. M=axMuster@Mann1982 und setzt sich aus Vornamen, Nachnamen, Geburtsjahr und Sonderzeichen zusammen. Dazu setzt man nur noch ein Synonym für die Webseite hinzu und fertig ist das sichere und systematisch gewählte Passwort.

Eine Möglichkeit wäre z.B. fur den PayPal Account:

Daten: Martin, Müller 1981

Passwort: Ma/rtin1981Mü@llerPay.Pal

Das Passwort erhält nun alle erdenklichen Kombinationen für ein sicheres Passwort und lässt sich mit etwas Übung gut einprägen. Wer sich Informationen über die Sicherheit des gewählten Passwortes holen möchte, kann gerne diese Seite nutzen: https://www.microsoft.com/de-de/security/pc-security/password-checker.aspx



Über Daniel Stahl

Hallo, ich bin Daniel und blogge leidenschaftlich gerne über IT-Sicherheit und Webdesign. Ich biete IT-Unterstützung für Privatpersonen, aber auch für KMU. Ich liebe die IT-Welt, Kaffee und Kuchen. Man findet mich auf Facebook, Google+ und Twitter.