Sicherheit

Passwort-Sicherheit - die besten Experten-Tipps

Montag den 21.05.2012 um 14:20 Uhr

von Panagiotis Kolokythas

Sicherheitsexperte beantwortet Leser-Fragen
Vergrößern Sicherheitsexperte beantwortet Leser-Fragen
© istockphoto.com / simoningate
An dem PC-WELT-Live-Chat zur Passwort-Sicherheit hatten sich viele Leser beteiligt. Hier lesen Sie alle Antworten des Sicherheitsexperten auf die Fragen der Leser.
Was ist die beste Strategie bei den Umgang mit Passwörtern? Welche Tricks sind bei der Erstellung und Verwaltung der Passwörter geeignet und welche eher nicht? Mit welchen Methoden versuchen Online-Kriminelle die User zu überlisten und was geschieht eigentlich mit den gestohlenen Daten? Das sind nur einige der Fragen, die der Web.de-Sicherheits-Experte Stefan Haunß im PC-WELT-Live-Chat in der vergangenen Woche beantwortet hat.

Sie hatten keine Zeit, um an dem Live-Chat teilzunehmen oder möchten nochmal die Antworten des Sicherheits-Experten in Ruhe nachlesen? Kein Problem: An dieser Stelle veröffentlichen wir nochmal alle Leser-Fragen und Antworten des Sicherheitsexperten.

Panagiotis Kolokythas - PC-WELT
Hallo liebe PC-WELT-Leser. Mein Name ist Panagiotis Kolokythas und ich begrüße Sie zu einem neuen Live-Chat, bei dem dieses Mal das Thema Passwort-Sicherheit im Mittelpunkt steht. Wir haben einen Experten eingeladen, der alle ihre Fragen zu diesem Thema beantworten wird. Dabei handelt es sich um Stefan Haunß, der seit 2006 als Spezialist für E-Mail-Sicherheit bei Web.de tätig ist.
 
Stefan Haunß - Sicherheitsexperte bei Web.de
Hallo, mein Name ist Stefan Haunß.
Seit 2006 arbeite ich im Bereich E-Mail-Sicherheit für 1und1 mit den Schwerpunkten E-Mail-Versand Analyse, Registrierungs-Missbrauch und Spamfilter Pflege-/Weiterentwicklung. Seit 2011 kümmere ich mich im Bereich Missbrauchs-Bekämpfung um die Zusammenarbeit mit Sicherheitsfirmen, Behörden und Abuse-Departments anderer Provider.
 
Panagiotis Kolokythas - PC-WELT
Bevor wir loslegen, noch kurz zum Prozedere: Es handelt sich um einen moderierten Live-Chat. Die von Ihnen - also den PC-WELT-Lesern - gestellten Fragen, erscheinen nicht gleich für alle anderen Leser, sondern werden von uns nach und nach freigeschaltet. Herr Haunß beantwortet immer eine freigeschaltete Frage, ehe wir uns dann der nächsten Frage widmen. Aber genug geredet - los geht´s mit der ersten Frage:
 
Frage von Norbert das Schaf Wie finde ich raus, ob mein Passwort sicher ist?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Ihr Passwort sollte mindestens 8 Zeichen lang sein, Groß- und Kleinschreibung beinhalten sowie Zahlen und Sonderzeichen. Im Internet gibt es auch entsprechende Seiten, wo Sie die Stärke Ihres Passworts testen können.
 
Panagiotis Kolokythas - PC-WELT
Hier finden Sie acht goldene Regeln für sichere Passwörter
 
Frage von CArsten  Hallo, ich bin über den 1&1 Blog hierhingekommen, in dem auch wieder eine These steht, die gerne bewertet haben würde. Warum sollte man Passwörter häufig ändern, wo ist da der Sicherheitszuwachs? Vor allem wenn man bedenkt, dass man sich neue Passwörter wieder merken muss, d.h. tendenziell werden Passwörter einfacher, je häufiger man sie ändert und sich merken muss (selbst wenn es mit Merkhilfen geschieht). Im schlimmsten Fall landet man wieder auf dem Zettel unter dem Schreibtisch, wo das aktuelle Passwort drauf steht.
 
Stefan Haunß - Sicherheitsexperte bei Web.de Die Gefahr ist, dass Ihr Passwort abhandenkommt, z.B. bei der Eingabe in einem Internetkaffee oder beim Nutzen eines fremden Rechners. Die Hacker missbrauchen dann ohne Ihr Wissen den Account, da diese das Passwort heutzutage gar nicht mehr ändern und sich das Postfach mit dem echten Benutzer teilen. Um das zu verhindern sollten Sie Ihr Passwort in regelmäßigen Abständen ändern.
 
Frage von Strassenmann Kann man unbesorgt kürzere Passwörter als iPhone-Kennwort verwenden? Denn soweit mir bekannt ist, gibt es für iOS-Geräte keine Passwort-Knackprogramme.
 
Stefan Haunß - Sicherheitsexperte bei Web.de Nur weil man keine Programme kennt die das tun heißt das nicht, dass auch tatsächlich keine existieren. Man sollte also immer davon ausgehen, dass jederzeit eine Malware auch für IOS Geräte erscheinen wird. Mit steigender Nutzerzahl werden auch IOS Geräte immer attraktiver als Angriffsvektor.
  Frage von Guest  Eine Antivirus-App möchte über sämtliche Genehmigungen verfügen, wie z.B. SMS lesen, Telefonstatus, usw. Brauchen solche Apps dies wirklich und vor allem sollte ich solch eine Antivirus-App überhaupt herunterladen?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Eine Antiviren-App ist heutzutage ein Must-Have für ein Android-Gerät. Diese Anwendungen bringen verschiedene Funktionen mit sich, z.B. die Remote Löschfunktion bei einem Diebstahl. Um diese nutzen zu können braucht die Anwendung einfach die entsprechenden Rechte. Noch ein Tipp: installieren Sie keine Anwendungen aus anderen Markets als Google Play.
 
Frage von karottensammler Wenn ich ein wirklich starkes Passwort habe, beispielsweise eine willkürliche Kombination aus Zahlen und Buchstaben, wieso soll ich das nicht für mehrere Mail-konten gleichzeitig verwenden. wo liegt da das Risiko?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Wenn Sie Opfer eines Passwort-Klaus werden, dann sind sofort alle Accounts kompromittiert. Selbst wenn Sie ein ganz sicheres PW gewählt haben besteht immer die Gefahr, dass Sie dieses an einem infizierten Gerät eingeben und Internetkriminelle so beispielsweise durch einen Keylogger das Passwort ausspionieren.
 
Frage von Dr. h.c. of Immortaly  Muss ich mein Mail-PW regelmäßig ändern? Wie oft empfehlen Sie?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Sie sollten Ihr Passwort auf jeden Fall regelmäßig ändern.  Wie häufig ist schwer zu definieren, alle 3 Monate wäre ein gutes Intervall. Aber mindestens wenn Ihr Antivirenprogramm einen Virus erkennt sollten sie Ihre Passwörter ändern. Warum nicht gleich heute zum Tag der Passwortsicherheit? Das ist doch ein guter Anlass.
 
Frage von Strassenmann Welches Passwort haben Sie selbst mal verwendet, inzwischen aber nicht mehr, das Sie für sicher halten (ohne Erklärung in welchem Zusammenhang)?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Ich nutze mehrere Passwörter, davon halte ich natürlich keines für unsicher.  Generell sollten Sie Ihr Passwort nicht weitergeben oder irgendwo notieren.
 
Frage von slahdev0  Hallo, wie "erziehe" ich User im Unternehmen, sichere Passwörter zu verwenden? Ich kann zwar viel über Gruppenrichtlinien steuern aber Katze123! ist so etwas ausreichend??  
Stefan Haunß - Sicherheitsexperte bei Web.de Das von Ihnen genannte Passwort ist natürlich nicht sicher genug, in Unternehmen gelten dieselben Anforderungen an die Passwort-Sicherheit wie für private Nutzer. Über die Richtlinien kann man auch eine regelmäßige Passwortänderung erzwingen.
 
Frage von Schwurbel-Zwiebel Was tut web.de zum Schutz vor Hackern?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Web.de ergreift viele Maßnahmen gegen Hacker. Diese hier alle zu erläutern würde den Zeitrahmen sprengen. Als Beispiel überwachen wir den Login-Bereich auf Bruteforce-Attacken, so dass niemand durch Ausprobieren in Ihr Postfach kommt.
 
Frage von HeinzKetchup Ich benutzte immer den gleichen Passwortstamm (also zum Beispiel xyzabc) und ändere immer nur die letzte Ziffer alle paar Monate, also xyzabc1, xyzabc2, xyzabc3. Ist das ausreichend sicher?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Generell ist Ihr Passwort zu kurz und beinhaltet keine Sonderzeichen. Sobald Ihr Passwort einmal in falsche Hände gekommen ist und Sie es nach diesem Schema ändern, wird es nicht lange dauern bis ein Hacker diese Methode selbst probiert.
 
Frage von Robert  Woran erkenne ich, ob mein Postfach eventuell gehackt wurde?
 
Stefan Haunß - Sicherheitsexperte bei Web.de
Sie können das erkennen, wenn sie beispielsweise in Ihrem Gesendet-Ordner Mails finden, die Sie nicht selbst verschickt haben. Bei einem Login ins Postfach wird Ihnen von Web.de auch immer die Uhrzeit Ihres letzten Logins angezeigt. Achten Sie hier auf ungewöhnliche Abweichungen von Ihrem normalen Surfverhalten.  Auf dieser Seite können Sie ihre E-Mail Adresse eingeben und testen, ob diese bereits bei Hackern bekannt ist: https://shouldichangemypassword.com/
 
Frage von Schwurbel-Zwiebel Was ist das schlimmste, was man beim Passwort-Ausdenken falsch machen kann??
 
Stefan Haunß - Sicherheitsexperte bei Web.de Sie sollten auf keinen Fall Wörter benutzen, die in einem Lexikon stehen. Außerdem keine aufeinander folgenden Zahlen oder Buchstaben wie "qwertz", "asdf" oder 1234. Passwörter werden heutzutage auch über Social Engineering herausgefunden. Wenn Sie also auf Facebook den Namen Ihres Haustieres posten sollten Sie sich bewusst sein, dass dies eines der ersten Passwörter ist die ein Angreifer testet.
 
Frage von FranzM kann ich mir Zugang zu einem fremden web.de-Mailkonto verschaffen, wenn ich die Mail-Adresse kennen und nur oft genug ein Passwort im Eingabeformular auf der Webseite eingebe, Oder bricht web.de nach einer bestimmten Anzahl von Versuchen ab?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Web.de hat einige Sicherheitsmaßnahmen, die ich natürlich nicht öffentlich im Detail nennen kann. Der Feind liest immer mit. :) Wie oben bereits beschrieben, gibt es diverse Überwachungsmechanismen, um das Ausprobieren von Passwörtern zu verhindern.
 
Frage von Sven Guten Tag, für wie sicher halten Sie "LastPass" ?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Generell sind Passwortmanager eine gute Sache. Die meisten bringen im Funktionsumfang auch einen Keygenerator mit. Auch hier gilt, wenn Sie einen infizierten PC nutzen auf dem ein Keylogger installiert ist, dann hilft Ihnen auch dieser Dienst nichts. Manche dieser PW Container speichern auch eine Datei auf dem Rechner ab. Wenn diese in die Falschen Hände gerät ist es natürlich einfacher auf einem lokalen Rechner eine Passwortliste dagegen zu testen als beim Web.de Login. Hier müssen die Angreifer mit Internet-Latenzen leben und diversen Sicherheitsmechanismen.
 
Frage von der_Waldschrat Sind Passwort-Fragen wie "Wer war ihre erste Liebe?" sicher??
 
Stefan Haunß - Sicherheitsexperte bei Web.de Das ist eine gute Methode um sich ein sicheres Passwort zu bauen das man sich auch noch merken kann. Indem Sie z.B. den ersten Buchstaben jedes Worts nehmen und das entstandene PW mit Sonderzeichen ergänzen. Durch Social Engineering sind solche Informationen natürlich heraus zu finden. Daher sollten Sie bei solch einer Frage lieber eine ungewöhnliche Antwort geben.
 
Frage von toilet king kann ich meine Mails auf einem fremden Rechner (Internetcafé) checken?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Wenn Sie gezwungen sind das im Internetkaffee zu tun sollten Sie darauf achten, den privaten Modus (Firefox) des Browsers zu nutzen, etwas Vergleichbares gibt es bei jedem aktuellen Browser. Im privaten Modus werden zumindest keine Login-Informationen auf dem fremden Rechner abgelegt. Es bleibt hier natürlich das Restrisiko eines infizierten PCs.
  Frage von toilet king Hilfe!! Mein Passwort wurde geknackt, glaub ich!!! Was soll ich machen?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Wenn Sie sich nicht sicher sind, dann sollten Sie ihr Passwort ändern. Im Idealfall auf einem sauberen Rechner. Es empfiehlt sich also vorher noch einen Virencheck zu machen. Es gibt auch Viren, die installierte Sicherheitssoftware umgehen und nicht erkannt werden. Um ganz sicher zu gehen können Sie sich auf https://www.botfrei.de/webde/ kostenfrei einen aktuellen Scanner herunter laden.
 
Panagiotis Kolokythas - PC-WELT Zwischenruf: Es sind noch viele Fragen offen. Wir hängen noch 15 Min. dran.
  Frage von Andreas R. Ist es sicher, Passwörter im Firefox zu speichern?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Im Firefox werden die Passwörter im Klartext gespeichert und sind automatisiert auslesbar. Ich würde also davon abraten dies zu tun und lieber ein Passwortcontainer verwenden.
 
Frage von Andreas Wie fallen denn typischerweise Passwörter in Hackerhände? Gibt es dafür Erfahrungswerte oder typische Szenarien?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Manche Passwörter werden durch einfaches Ausprobieren erraten. Die größte Gefahr geht hier aber von Malware aus.  Diese können Sie sich ohne es zu merken beim schlichten Besuch einer infizierten Seite einfangen. Solch eine Malware kennt viele Bankseiten, Social Networks und Services wie Paypal oder Ebay und liest die Passwörter dafür entweder aus der gespeicherten PW-Liste im Browser oder schneidet sie direkt bei der Eingabe auf der Seite mit.
 
Frage von der_Waldschrat Stimmt es, dass mit das tollste Passwort nix nützt, wenn oben "http" statt "https" steht?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Da haben Sie Recht. Wenn Login-Informationen unverschlüsselt übertragen werden, können diese von Internetkriminellen ausgelesen werden. Bei Web.de kommen Sie standardmäßig auf einen verschlüsselten Login-Bereich. Auch die Abfrage der Mails per IMAP oder POP3 ist verschlüsselt möglich und sollte bei der Nutzung eines externen Clients wie Outlook oder Thunderbird auf jeden Fall genutzt werden.
 
Frage von Strassenmann Wie schützt man sich vor Passwortdiebstahl?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Eine Methode für ein sicheres Passwort ist die „Satzmethode“. Dabei sucht sich der Nutzer einen Satz aus, den er sich gut merken kann. Von diesem nimmt er die Anfangsbuchstaben, inklusive der Groß- und Kleinschreibung, und baut sie zu einem Passwort zusammen. Noch sicherer wird das Passwort, wenn man beispielsweise ein Fragezeichen vor und ein Ausrufezeichen hinter den Satz macht. Buchstaben kann man durch Sonderzeichen oder Zahlen ersetzen, z.B. a=@, S=$, E=3. Hier wird beschrieben, nach welchem Schema Sie Buchstaben durch Sonderzeichen ersetzen können. Zusätzlich sollten Sie immer Ihr Betriebssystem und die installierten Programme aktuell halten.
 
Frage von Strassenkehrer Kann web.de auf meine Daten zugreifen (z.B. mein Passwort oder bestimmte E-mails)?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Hier kann ich guten Gewissens ausdrücklich nein sagen. Die Passwörter liegen bei uns immer verschlüsselt vor. Auf private E-Mails dürfen wir nur zugreifen mit richterlichem Beschluss und diese Information wird auch ohne unsere Einsicht an die entsprechende Behörde geleitet.
 
Frage von Quest Gibt es unter dem Gesichtspunkt Passwortsicherheit ein bestimmtes Betriebssystem, das Sie empfehlen würden?
 
Stefan Haunß - Sicherheitsexperte bei Web.de Desto größer die Nutzergruppe, umso interessanter wird ein Betriebssystem für Hacker. Daher ist Linux derzeit wohl für die bösen Jungs am wenigsten interessant. Ich würde trotzdem entsprechende Sicherheitssoftware installieren.
 
Panagiotis Kolokythas - PC-WELT Wir kommen zum Ende: Ich bedanke mich bei allen Lesern für die Teilnahme an dem PC-WELT Live-Chat zur Passwort-Sicherheit und natürlich ein großes Danke auch an unseren Sicherheitsexperten Stefan Haunß von Web.de, der all die vielen Fragen beantwortet hat. Ich wünsche allen Lesern noch einen schönen Tag und eine sichere Hand bei der Auswahl der Passwörter. Panagiotis Kolokythas, PC-WELT.

Montag den 21.05.2012 um 14:20 Uhr

von Panagiotis Kolokythas

Kommentieren Kommentare zu diesem Artikel (4)
  • Mariofan13 13:48 | 18.03.2013

    Ich verwende für Admin-Accounts in Foren, Für eBay und für Gesichtsbuch und für den Mail-Account sehr komplexe Passwörter (mindestens 16 Zeichen, kleine/große Buchstaben, Zahlen, Sonderzeichen).
    Ist es auch nötig, normale Forenaccounts ohne spezielle Rechte mit so sicheren Passworten zu schützen? Die meisten Foren haben ja einen Schutz gegen Brute Force integriert...

    Antwort schreiben
  • kazhar 11:15 | 27.05.2012

    Zitat: dutschy
    Ich verwende grundsätzlich nur virtuelle Bildschirmtastatur


    das mit der bidschirmtastatur kannst du auch sein lassen. bringt nix.

    Antwort schreiben
  • dnalor1968 09:37 | 27.05.2012

    Zitat: dutschy
    Ich verwende grundsätzlich nur virtuelle Bildschirmtastatur und lasse meine Passwörter niemals von den Programmen speichern. Das ist zwar sehr umständlich, aber ich fühle mich daher auf der sicheren Seite. Ist das falsch?

    Nein, sofern die Passwörter nicht zu einfach sind.

    Antwort schreiben
  • dutschy 05:49 | 27.05.2012

    Passwort-Sicherheit

    Schade, ich war verreist und habe deshalb den Chat über die Passwortsicherheit nicht mitbekommen.
    Ein ganz wesentlicher Punkt wurde gar nicht angesprochen: Ich verwende grundsätzlich nur virtuelle Bildschirmtastatur und lasse meine Passwörter niemals von den Programmen speichern. Das ist zwar sehr umständlich, aber ich fühle mich daher auf der sicheren Seite. Ist das falsch?

    Antwort schreiben
1467395