computerwoche.de

Security

Log-in-Daten schützen

Passwörter und Login-Daten schützen - so geht's

27.08.2018
Von  und Thorsten Eggeling
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Alle Posts des Autors Email: Connect:
Wer online einkauft, seine Bankgeschäfte im Web erledigt und per E-Mail kommuniziert, ist ein potenzielles Ziel für Datendiebe. Doch Sie können Ihre Log-in-Daten vor Missbrauch schützen. Wir zeigen Ihnen, wie Sie dabei vorgehen.
Mit PC-WELT Passwort-Check prüfen Sie, ob das Passwort zu einem Onlinekonto bereits gestohlen wurde.
Mit PC-WELT Passwort-Check prüfen Sie, ob das Passwort zu einem Onlinekonto bereits gestohlen wurde.

Immer wieder müssen Unternehmen zugeben, dass Hacker an die Daten ihrer Kunden gelangt sind. Das - abgesehen vom Sicherheitsrisiko - größte Problem: Nicht alle Nutzer werden auf den Datendiebstahl aufmerksam gemacht, sodass viele Anwender gar nicht wissen, dass ihre Zugangsdaten im Internet kursieren. In diesem Beitrag gehen wir nicht nur auf dieses Thema ein, sondern erklären Ihnen auch, was knacksichere Kennwörter auszeichnet, und informieren Sie über die Möglichkeiten, die Ihnen zum Schutz der Zugangsdaten zur Verfügung stehen.

Sind Ihre Passwörter sicher?

Über 700 Millionen gestohlene Log-in-Daten kursieren im Internet. Ob Ihr Log-in dabei ist, überprüfen Sie mit dem exklusiven PC-WELT-Tool Passwort-Check und auf diversen Webseiten.

PROBLEM: Sie wollen wissen, ob Ihre Zugangsdaten kompromittiert wurden. Sie sind sich nicht ganz sicher, ob Ihr E-Mail-Postfach oder Konto bei einem Cloudspeicher gehackt wurde und Ihre Zugangsdaten im Internet zu finden sind.

LÖSUNG: Im Internet gibt es mehrere Dienste, die über gestohlene Datensätze verfügen und bei denen Sie überprüfen können, ob Ihre Daten dazugehören. Die Datensätze stammen aus Untergrundforen und anderen Quellen. Es ist nach dem Auspacken sofort startklar, ein Doppelklick auf die Datei "pcwPasswortCheck.exe" genügt. Oben links geben Sie Ihre Mailadresse ein und drücken als Nächstes auf "Prüfung starten". Nach wenigen Sekunden zeigt das Tool an, ob Ihre Log-in-Daten gestohlen wurden und wenn ja, aus wie vielen Onlinediensten. Angezeigt werden der Name des Onlinediensts und eine kurze Beschreibung. Darin finden sich meistens auch das Jahr sowie der Monat, in dem der Passwortdiebstahl stattgefunden hat. Am Ende des Textes steht hinter "Kompromittierte Felder", welche Daten genau bei dem Datendiebstahl in die Hände der Angreifer gelangten, und ob diese verschlüsselt waren. Auf diese Weise erfahren Sie, ob neben den reinen Log-in-Daten auch Infos wie Ihre Telefonnummer, Ihr Geburtstag oder Ihre Postadresse gestohlen wurden. Weitere Dienste: Rechts oben in unserem Tool PC-WELT Passwort-Check finden Sie ein Ausklappmenü, über das Sie weitere Passwortdatenbanken in einem externen Browser aufrufen können. Es lohnt sich, auch bei diesen anderen Diensten vorbeizuschauen, da diese teilweise andere Daten besitzen.

PROBLEM: Trotz Nutzung unseres Tools PC-WELT Passwort-Check haben Sie ein mulmiges Gefühl. Um auf Nummer sicher zu gehen, sollten Sie auch den anderen Passwort-Datenbanken einen Besuch abstatten.

LÖSUNG: Sie können auch auf diversen Webseiten überprüfen, ob Ihre Zugangsdaten bereits im Internet kursieren. Die folgenden drei sind empfehlenswert.

Hasso-Plattner-Institut: Dieser Dienst bietet unter https://sec.hpi.de/leak-checker/ search eine Datenbankabfrage, die auf knapp fünf Milliarden Datensätze zugreifen kann. Die Site ist deutschsprachig. Nach der Eingabe Ihrer Mailadresse und einem Klick auf "E-Mail-Adresse prüfen" bekommen Sie das Ergebnis der Abfrage per Mail zugesandt. Auf der Site ist überdies noch ein Blick unter "Statistik" interessant. Sie erfahren dort unter anderem, was die zehn häufigsten Passwörter sind. Selbstverständlich sollten Sie sich diese nicht als Vorbild nehmen. Die Plätze 1 bis 3 belegen - Sie haben es geahnt: "123456", "123456789" und "111111".

Bundesamt für Sicherheit in der Informationstechnik: Auf der Website https://www.sicherheitstest.bsi.de können Sie anhand Ihrer Mailadresse ebenfalls nach Passwortdiebstählen suchen lassen. Sie erhalten das Ergebnis per Mail, falls der Site ein Diebstahl bekannt ist.

Breach Alarm: Die Datenbank unter https://breachalarm.com kennt rund 700 Millionen Log-in-Daten und damit vergleichsweise wenige. Dennoch lohnt sich der Besuch auf der Site, denn Sie können dort kostenlos Ihre Mailadresse hinterlegen und auf Datendiebstahl überwachen lassen. Sollte diese Adresse zusammen mit Log-in-Daten im Internet auftauchen, werden Sie informiert.

Das optimale Passwort

Der Log-in-Checker des Hasso-Plattner-Instituts versendet das Ergebnis seiner Prüfung per Mail.
Der Log-in-Checker des Hasso-Plattner-Instituts versendet das Ergebnis seiner Prüfung per Mail.

Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die technischen Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher. Schließlich ist die Leistung eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist.

PROBLEM: Sie möchten knacksichere Passwörter generieren, wissen aber nicht, worauf es dabei ankommt. Sichere Passwörter zu managen ist nicht ganz einfach. Ein einziger sicherer Zugangscode für mehrere Konten verbietet sich, denn wenn Hacker das Kennwort für ein Konto haben, haben sie zugleich Zugang zu weiteren. Einfache Phrasen, Zitate und Ähnliches inklusive simpler Zahlen-Buchstaben-Änderungen stehen längst in sogenannten "Wörterbüchern", also Kennwortlisten, die in Hacker-Tools implementiert sind und das Knacken erleichtern. Mehr Schutz bietet die Zwei-Faktor-Authentifizierung (siehe Abschnitt Zwei-Faktor-Anmeldung - Einschalten lohnt sich). Kritisch ist auch das Auslagern in die Cloud, um von überall Zugriff darauf zu haben, weil man die Sicherheit aller Codes einem Dienst anvertraut.

LÖSUNG: Eine Möglichkeit, für jeden Dienst unterschiedliche Kennwörter zu verwenden, ist ein jeweils individuell abgewandelter Code. Wenn Sie ein 10-stelliges und aus Zahlen, Klein-und Großbuchstaben sowie Sonderzeichen bestehendes Kennwort ohne jegliches Muster wie zum Beispiel "aT>9§Rp3;E" kreieren, ist das zwar zunächst schwer zu merken, dafür aber sicher. Nun können Sie dieses "Grundkennwort" für jeden Zweck nach einem bestimmten Muster abwandeln, indem Sie beispielsweise die letzten beiden Buchstaben des gewählten Dienstes (oder etwa der Domain, des Programm usw.) nach einem bestimmten Muster integrieren. Zusätzlich kann man eine Zahl anhängen, etwa die Zeichenzahl des Namens plus oder minus X. Klingt alles furchtbar kompliziert, ist es aber nicht. Bei Google würde aus dem genannten Passwort damit "aTL>9§Rp34e;E": "l" und "e" als Endbuchstaben von Google haben Sie an die dritte und drittletzte Stelle gesetzt und davor noch eine 4 (für 6 Google-Buchstaben minus 2). Analog hieße das Passwort für Paypal "aTA>9§Rp34l;E".

Enthält Ihr Grundkennwort Zahlen und Sonderzeichen, lassen sich aus den systematischen Ergänzungen umgekehrt keinerlei Rückschlüsse ziehen - alles erscheint rein zufällig. Sogar wenn ein Zugangscode gestohlen werden sollte, lässt sich daraus nichts rekonstruieren. Sie selbst aber haben aus dem Grundkennwort und dem Ergänzungsmuster jeden Zugang schnell parat. Gefährlich wird es erst, wenn Hacker mehrere Ihrer Passwörter erbeuten und daraus das Muster erkennen.

Mehr Sicherheit durch Passwortmanager

Die Website „Just delete me“ hilft dabei, sich aus den gängigsten Onlinediensten abzumelden.
Die Website „Just delete me“ hilft dabei, sich aus den gängigsten Onlinediensten abzumelden.

Wer mehr als eine Handvoll Log-in-Daten verwalten muss, der kommt um einen Passwortmanager nicht herum. Denn jeder Login benötigt ein eigenes Passwort. Und jedes dieser Passwörter sollte möglichst lange und möglichst kompliziert sein. Das kann sich aber kaum ein Anwender merken.

PROBLEM: Sie nutzen ausschließlich zufällig generierte Kennwörter, die zwar sicher aber auch schwer zu merken sind. Hier helfen die Passwortmanager, die in der Regel ebenfalls das Ausfüllen der Logins in Browsern und Apps übernehmen.

LÖSUNG: Empfehlenswerte Passwortmanager sind Keepass und Lastpass . Während Lastpass Ihre Daten verschlüsselt im Internet ablegt, behält Keepass sie standardmäßig auf Ihrer Festplatte. Jeder Passwortmanager schlägt Ihnen komplexe Passwörter vor. Wie komplex, lässt sich einstellen. Sie können zum Beispiel festlegen, ob Sonderzeichen und Großbuchstaben im Passwort vorkommen müssen. Wie komplex ein sicheres Passwort sein sollte, verrät Ihnen das Bundesamt für Sicherheit in der Informationstechnik (BSI). Demnach sollte ein gutes Passwort mindestens acht Zeichen lang sein - je länger, desto besser. Für das WLAN sollte das Passwort allerdings mindestens aus 20 Zeichen bestehen. Passwörter sollten aus Groß- und Kleinbuchstaben und Sonderzeichen wie etwa !, ? oder % und Ziffern bestehen. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. Diese Daten lassen sich leicht erraten - entweder durch einen Angreifer, der Sie gezielt ausspioniert, oder mit einem Passwortknackprogramm, das häufige Namen systematisch austestet. Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $, !, ?, # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert. Auch das wird von Passwortknackprogrammen routinemäßig getestet.