1790476

Tipps zur Passwort-Sicherheit

28.06.2013 | 08:38 Uhr |

Am 26. Juni haben PC-WELT und Web.de einen Live-Chat zum Thema Passwort-Sicherheit veranstaltet. Stefan Haunß, Sicherheitsexperte von Web.de, hat einige spannende Leserfragen, die während des Chats nicht mehr beantwortet werden konnten, noch nachträglich beantwortet. Plus: Ein Extra-Tipp.

Hier können Sie den Sicherheits-Chat von PC-WELT und Web.de noch einmal in voller Länge nachlesen. Die Antworten auf einige Fragen, die am Mittwoch aus Zeitgründen nicht mehr beantwortet werden konnten, liefern wir hier nun nach:

Frage (sinngemäß): Wie soll ich mir die vielen Passwörter alle merken? Vor allem, wenn ich für jedes Portal ein eigenes Passwort verwende? Und ich meine Passwörter auch noch regelmäßig ändere?

Stefan Haunß, Sicherheitsexperte von Web.de: Eine beliebtes Hilfsmittel ist die sogenannte Satzmethode. Damit lassen sich auch schwierige Passwörter leicht merken. Wählen Sie einen Satz aus, der für Sie Sinn ergibt und den Sie sich leicht ins Gedächtnis rufen können. Es kann auch ein Satz aus ihrem Lieblingsbuch oder ein Filmzitat sein. Nehmen Sie die Anfangsbuchstaben der einzelnen Wörter. Ersetzen Sie Buchstaben durch Sonderzeichen oder Ziffern, bspw. @ statt a oder 1 statt I. Schon ist ein sicheres Passwort generiert. Bspw: "Ich checke meine E-Mails mindestens einmal am Tag." wird zu: "IcmEm1*aT."
 
Mit diesem Grundgerüst lassen sich individuelle Passwörter für jeden Dienst erstellen, wenn man es beispielsweise mit einem Kürzel für jeden Dienst versieht. Für WEB.DE also IcmEm1*aT.-W
 
Frage: Ist es viel unsicherer, für jede Seite nur ein abgewandeltes Passwort zu haben (also z.B. MICKYMAUS-webde, MICKYMAUS-bank usw.) als ein komplett verschiedenes für jede Seite?

Haunß: Wenn Sie das Passwort auch regelmäßig ändern ist dagegen nichts einzuwenden, ein Grundpasswort mit einer individuellen Erweiterung je Dienst zu versehen. Im Gegensatz zu Mickymaus, sollten Sie aber einen sicheren Stamm wählen ;-) Beispielsweise mit der oben erwähnten Satzmethode. Wichtig ist hier auch, nicht stur dieser Regel zu folgen, sondern solche Faustregeln mit ein wenig Fantasie abzuändern - also beispielweise das Kürzel voranzustellen oder den Dienstnamen in den Passwortsatz einzubauen.

Frage: Sie sagen gerade, dass es durchaus sinnvoll ist, einen Account nach drei Fehlversuchen für eine gewisse Zeit zu sperren. Warum tut WEB.DE dies dann nicht? Was hat das mit der Sperrung einzelner IP-Adressen zu tun?

Haunß: Um die Nutzer zu schützen, verwenden die WEB.DE-Sicherheitsforensiker verschiedene Anomalie-Detection-Verfahren. Sie identifizieren beispielsweise Muster, mit denen Hacker versuchen, in Accounts einzudringen und machen diese unschädlich. Nach bestimmten Kriterien wie beispielsweise Zugriffszeit, benutzte Browser-Kennung oder IP-Adressen-Raum sind diese unter anderem zu erkennen. Aus diesen Mechanismen werden Maßnahmen abgeleitet, um ihren Account zu schützen. Das kann auch - wie von Ihnen beschrieben - eine Sperre nach auffälligen fehlerhaften Loginversuchen sein. Die meisten Schutzmaßnahmen laufen aber im Hintergrund ab, so dass die reguläre Nutzung nicht beeinträchtigt wird. Weitere Details können wir aus Sicherheitsgründen nicht nennen, um Hackern nicht zu viele Informationen zu geben.
 
Frage: Ich kenn Leute, die haben verschiedene Passwort-Ebenen: Komplexes Einmal-Passwort für wichtige Sachen und Schrott-Passwort für unwichtige Sachen. Ist das gut so?
 
Haunß: Prinzipiell sollten Sie auch für weniger wichtige Dienste ein sicheres Passwort wählen. Auch in solchen Diensten könnten Hacker Informationen über Sie bekommen, mit denen sie versuchen könnten, in andere Dienste einzudringen.
 
Beispiel: Sie haben einen wichtigen Dienst mit einem sicheren Einmalpasswort geschützt. Als Kontaktadresse, die auch zum Passwort-Zurücksetzen genutzt werden kann, haben Sie aber eine sogenannte Wegwerf-E-Mail-Adresse angeben und diese nur mit einem "unsicheren" Passwort geschützt. Schon haben Hacker einfaches Spiel.
 
Extra-Tipp, der selten genannt wird

Vorbereiten auf den Ernstfall: Egal ob Online-Shopping, Social-Media-Plattform oder E-Mail-Postfach – die Bestandsdaten sollten gewissenhaft ausgefüllt werden.  Beim Anlegen eines Accounts überspringt man gerne die Eingabe der persönlichen Daten wie Handynummer oder alternative Kontaktadresse. Wenn man nun Opfer eines Passwort-Diebstahls wird, ist das aber oft die einzige, - beziehungsweise leichteste - Art für Unternehmen, dem Kunden eine sichere Möglichkeit zur Passwort-Änderung anzubieten. Auch hier ist Augenmaß erforderlich. Bevor man seine Kontaktdaten angibt, sollte die Seriosität des Anbieters überprüft werden. Und vor dem Hintergrund des aktuellen Prism-Skandals in den USA sollte auch abgewogen werden, ob man seine Daten bei einem US-amerikanischen Unternehmen ablegen möchte oder lieber einem hiesigen Unternehmen vertraut.
 

0 Kommentare zu diesem Artikel
1790476