Ein Passwort will nicht nur richtig gewählt sein - auch der sichere Umgang von Anwendern mit selbigen darf dabei nicht vernachlässigt werden. Insbesondere in der aktuellen Situation, in der sich Gruppen von Cyberkriminellen geradezu darin überbieten, Anwender beispielsweise mit Phishing-Kampagnen hinters Licht zu führen, ist ein sorgsamer Umgang mit Zugangsdaten unerlässlich.
Foto: Alexsander Ovsyannikov - shutterstock.com
Starkes Passwort erstellen - so geht's
Anwender sind weiterhin angehalten, für ihre Online-Aktivitäten und -Dienste starke Passwörter zu verwenden. Diese sollten neben einer Groß- und Kleinschreibung von Buchstaben auch Zahlen und Sonderzeichen aufweisen sowie über eine ausreichende Länge von mindestens acht Zeichen verfügen - besser mehr. Ein regelmäßiger Wechsel des Kennworts ist jedoch nicht zwangsläufig zu empfehlen, da viele Anwender bei einer solchen Vorgabe eher dazu neigen, Passwörter nach gleichem Muster zu verwenden, was die Integrität der gewählten Passwörter gefährden könnte. Diese Ansicht teilt seit Kurzem auch das BSI.
Darüber hinaus gilt der Grundsatz: Kennwörter jeweils nur für einen Dienst zu benutzen, um zu vermeiden, dass ein Datenleck bei einem Dienst auch die Sicherheit weiterer Accounts gefährden könnte. An dieses Prinzip halten sich hierzulande jedoch lediglich 32 Prozent der Anwender, wie die kürzlich veröffentlichte Proofpoint-Studie "State of the Phish 2020" zeigt. 16 Prozent der professionellen Internetnutzer gaben sogar an, dass sie nur ein oder zwei Passwörter für all ihre Online-Konten nutzen.
Diese Ergebnisse scheinen zu belegen, dass bei der Vielzahl von Online-Services, die Internetnutzer heutzutage sowohl privat als auch geschäftlich nutzen, eine ganze Reihe von ihnen dazu neigt, leicht den Überblick zu verlieren und daher zu unsicheren Methoden greift. Hier können Passwortmanager eine hilfreiche Ergänzung sein, die dem Anwender einen sicheren Umgang mit seinen Passwörtern ermöglichen. Wie die Studie ferner zeigt, nutzen in Deutschland aktuell jedoch nur 23 Prozent der Befragten diese Art von Tools - in den USA sind es hingegen bereits 44 Prozent und damit fast die Hälfte der Umfrageteilnehmer.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Wie Hacker Ihr Passwort stehlen
Doch mit sicheren Passwörtern allein ist es nicht getan. Speziell die Frage, wie sorgsam Anwender Zugangsdaten handhaben, hat einen großen Einfluss darauf, wie sicher ihre Accounts sind. Denn Cyberkriminelle gehen zumeist den Weg des geringsten Widerstands. Anstatt mühsam Passwörter auszuprobieren, ist es für sie in der überwiegenden Zahl der Fälle einfacher, die Passwörter schlicht zu stehlen. Sie setzen dabei auf die meist schwächste Stelle in der Cybersecurity: Den Menschen. Hierfür gehen Online-Betrüger verschiedene Wege, um an ihr Ziel zu gelangen. Neben spezieller Malware, sogenannten Information Stealern, versuchen sie vornehmlich mittels Phishing und anderer Social-Engineering-Techniken Zugangsdaten zu erbeuten.
Daher ist insbesondere Vorsicht im Umgang mit E-Mails geboten, die einen Anwender dazu auffordern, eine Handlung auszuführen - und sei es nur auf einen Link zu klicken. Gerade Unternehmen sollten dafür sorgen, dass ihre Mitarbeiter umfassend geschult sind, wenn es um Fragen der IT-Sicherheit geht. Dabei reicht es bei weitem nicht, nur auf Webinare und Prüfungsfragen zu setzen. Simulierte Angriffe, bei denen die Geschulten legitime von illegitimen Mails zu unterscheiden haben, sind hier weitaus nachhaltiger und sichern so den Erfolg der Maßnahme. Denn nur wenn Anwender für die Gefahren sensibilisiert sind, stellen sie nicht mehr länger das größte Einfallstor in die Unternehmens-IT dar. (fm)