Passwortkonzepte

Mehr Sicherheit im Internet - auch ohne Passwortmanager

17.05.2017
Von Bastian Gruber
Immer wieder diese Horrorgeschichten: Benutzer, deren Konto bei einem der großen Webanbietern gehackt wurde. Anschließend ist nicht nur dieses, sondern auch zahlreiche andere Konten in Gefahr. Diese Schritt-für-Schritt Anleitung erklärt den richtigen Umgang mit Passwörtern und E-Mails.
Foto: ra2studio - shutterstock.com

Neben der Zwei-Wege-Authentifizierung schlagen auch viele Experten einen Passwortmanager vor. Beliebte Dienste wie 1Password verlagern aber immer mehr auch die Konten der Benutzer in die eigene Cloud . Durch überlegtes Handeln können Sie sich den Aufwand meist sparen

Einmal angemeldet - Immer angemeldet

Typische Situationen, in denen man schon wieder ein neues Passwort benötigt: Sie wollen das eigene iPhone verkaufen, oder Sie finden eine schöne Hülle in einem Ihnen bisher unbekannten Online-Shop. Solche Websites, die Sie meist nur ein oder zwei Mal verwenden, verlangen aber nach der gleichen Informationsfülle wie Amazon und Co. Das Löschen des Benutzerkontos nach dem einmaligen Nutzen der Dienstleistung bringt nicht viel.

Unternehmen sind verpflichtet, steuerrechtliche Informationen für eine lange Zeitspanne zu sichern. Ein einmaliger Kauf hat also zur Folge, dass die privaten Daten für mehrere Jahre (und meist noch länger), auf den Servern des Anbieters liegen. Auch löschen viele Unternehmen die Daten nicht, sondern markieren sie als "deaktiviert". Hacker, die Jahre später Zugriff auf den Unternehmensserver erlangen, können somit auch Ihre Daten einsehen.

Wie funktioniert Hacking?

Hacking hat eine sehr negative Darstellung in der breiten Öffentlichkeit. Dabei sind es Einbrecher, die das System meist besser verstehen als die Entwickler selbst. Literatur gibt es zur Genüge, für Sie sind aber folgende Punkte wichtig, um sich gegen Angriffe zu wappnen:

Durch Social Hacking versuchen Angreifer, durch Passwort-Wiederherstellungsverfahren oder direkte Passworteingabe an ein Benutzerkonto zu gelangen. Die erforderlichen Daten wie Geburtstag des Vaters, Wohnort der Mutter etc. können in den meisten Fällen schon von jedem Facebook-Profil abgelesen werden.

Durch USB-Sticks können Angreifer Software auf den Mac oder PC spielen, die anschließend Tastaturanschläge aufnimmt und an einen entfernten Server sendet. Passwörter können so direkt abgegriffen werden. Derartige Malware ist auf dem Mac zwar seltener, Vorsicht ist aber stets geboten.

Das simple Abgucken in der U-Bahn der Passworteingabe am iPhone, und der anschließende Diebstahl verschafft einem Angreifer vollen Zugriff auf das Gerät.

Telefonanrufe oder E-Mails , die Name, Geburtstag oder ähnliches wollen, können für gezielte Phishing-Attacken hergenommen werden.

Die Lehren daraus sind klar: Jede Information, die ein Angreifer über Sie hat, hilft ihm dabei, gezielte Attacken auf Ihre Konten zu fahren. Daher sollten keinerlei E-Mails oder Anrufe beantwortet werden, wo der Absender oder Anrufer nicht eindeutig identifiziert werden kann. Unsere Online-Identitäten geben so viel Preis, dass es für Angreifer oft ein leichtes ist, Profile zu rekonstruieren, und sich auf anderen Webseiten als Sie auszugeben.

Tipp Nummer 1: Wegwerf E-Mail Adressen

Unser erste Tipp lautet daher, sich mit einer Wegwerf-E-Mail Adresse am gewünschten Online-Shop anzumelden, und sich ein Bild über dessen Dienstleistung zu machen. Sobald Sie nämlich Ihre primäre E-Mail Adresse mit Ihrem Namen und Adresse auf einer Plattform verknüpft haben, die Ihre Daten weiter verkauft oder durch einen Hack zugänglich macht, ist diese Kombination auf sämtlichen Schwarzmarkt-Adressen im Internet erhältlich.

Bis auf Spam-E-Mails ist das auch nicht weiter tragisch. Mit der Zeit lässt sich so aber ein tiefes Netz aus Informationen über Ihre Person knüpfen, die für wesentlich gezieltere Angriffe benutzbar ist. Auch nicht vergessen: Haben Sie die gleiche E-Mail / Passwort-Kombination auf der gehackten Plattform wie Amazon und Co, so haben Angreifer leichtes Spiel Ihnen auch anderswo Schaden zu zufügen.

Deshalb gilt: Solange die Seite keine wichtigen Informationen aufweist, legen Sie eine Wegwerf-E-Mail Adresse und ein leichtes Passwort an. Somit können Sie den Dienst ausgiebig testen. Müssen Sie zum Bezahlen oder Versenden weitere Details angeben, so beachten Sie Tipp 2 und 3.

Tipp Nummer 2: Wichtige und unwichtige Konten trennen

Passwortstärke ist nicht das alleinige Kriterium. Seiten wie Amazon haben einen anderen Sicherheitsgrad für Sie als ein Blog-Forum oder die Kino-Webseite von nebenan. Bestenfalls gliedern Sie Ihre besuchten Seiten in drei oder vier Kategorien ein. Wichtig ist hierbei: Benutzen Sie keinesfalls die gleiche E-Mail/Passwort-Kombination auf der Blog-Forum-Seite wie bei Amazon.

Streng genommen raten wir, bei jeder Seite eine andere E-Mail und/oder ein anders Passwort zu wählen. Wenn also beispielsweise eBay gehackt werden sollte, und dadurch Ihr Passwort und E-Mail an den Angreifer übergehen, so können diese Informationen keinen weiteren Schaden anrichten, da Sie für Amazon und iCloud eine andere Kombination, ja sogar eine ganz andere E-Mail Adresse verwenden.

Auch hier gibt es Kategorien. Bei Kino-Webseiten empfiehlt sich, nur via PayPal zu bezahlen, da so Ihre Kontodaten auf einer Seite bleiben. Auch kann beim Kino eine Standard-E-Mail/Passwort Kombination herhalten, da im Fall der Fälle damit nicht viel erreicht werden kann.

Geht es jedoch um Webseiten mit Zahlungsinformationen und privaten Details, wie Facebook und Amazon, so empfiehlt sich hier eine komplett eigene E-Mail Adresse und Passwort. In Hinblick auf Datenschutz erstellen Sie sogar eine eigene E-Mail mit der Sie sich auf Facebook anmelden, um so Datensammler kein eindeutiges Bild zu gewähren, da diese sicherlich Informationen von Facebook, Amazon und anderen Webseiten zusammen führen, um Sie so eindeutiger identifizieren zu können.

Tipp Nummer 3: E-Mail Aliase

Um die Flut an Internetkonten so bewältigen zu können, benutzen Sie am besten sogenannte Aliasse. Unter iCloud zum Beispiel können Sie bis zu drei zusätzliche, völlig unabhängige E-Mail-Adressen erstellen. Diese leiten automatisch alle ein- und ausgehenden E-Mails an Ihre Hauptadresse weiter.

Zum Beispiel erstellen Sie ein iCloud-Konto mit mustername@icloud.com. Unter diesem Konto können Sie dann weitere Adressen wie "einkaufen@icloud.com" und "sozialedienste@icloud.com" erstellen. Bei Amazon erstellen Sie anschließend ein Konto mit der "einkaufen@icloud.com" Adresse, und separaten Passwort. Wird Amazon gehackt, so hat der Angreifer eine E-Mail Adresse und Passwort, mit denen er nichts anfangen kann, da nirgendwo sonst ein Konto mit damit angelegt ist.

Über die Weboberfläche von iCloud können Sie bis zu drei E-Mail-Aliase erstellen. Diese können Sie anschließend für Online-Shops und andere Seiten verwenden, um nicht Ihre primäre iCloud-Adresse zu verraten.
Über die Weboberfläche von iCloud können Sie bis zu drei E-Mail-Aliase erstellen. Diese können Sie anschließend für Online-Shops und andere Seiten verwenden, um nicht Ihre primäre iCloud-Adresse zu verraten.

Doch das wichtigste dabei ist: Der Zugriff zu Ihrem Hauptkonto bei iCloud, ist nicht veröffentlicht. Somit sind all Ihre Geräte und Informationen weiterhin sicher. Sie könnten nach dem Hack Ihren Alias löschen und einen neuen anlegen.

Inhalt dieses Artikels