2327868

Passwörter und Login-Daten schützen - so geht's

10.08.2019 | 09:09 Uhr | Arne Arnold, Thorsten Eggeling

Wer online einkauft, seine Bankgeschäfte im Web erledigt und per E-Mail kommuniziert, ist ein potenzielles Ziel für Datendiebe. Doch Sie können Ihre Log-in-Daten vor Missbrauch schützen. Wir zeigen Ihnen, wie Sie dabei vorgehen.

Immer wieder müssen Unternehmen zugeben, dass Hacker an die Daten ihrer Kunden gelangt sind. Das – abgesehen vom Sicherheitsrisiko – größte Problem: Nicht alle Nutzer werden auf den Datendiebstahl aufmerksam gemacht, sodass viele Anwender gar nicht wissen, dass ihre Zugangsdaten im Internet kursieren. In diesem Beitrag gehen wir nicht nur auf dieses Thema ein, sondern erklären Ihnen auch, was knacksichere Kennwörter auszeichnet, und informieren Sie über die Möglichkeiten, die Ihnen zum Schutz der Zugangsdaten zur Verfügung stehen.

Siehe auch: Wurde Ihr Passwort auch gehackt?

Sind Ihre Passwörter sicher?

Über 700 Millionen gestohlene Log-in-Daten kursieren im Internet. Ob Ihr Log-in dabei ist, überprüfen Sie mit dem exklusiven PC-WELT-Tool Passwort-Check und auf diversen Webseiten.

PROBLEM: Sie wollen wissen, ob Ihre Zugangsdaten kompromittiert wurden. Sie sind sich nicht ganz sicher, ob Ihr E-Mail-Postfach oder Konto bei einem Cloudspeicher gehackt wurde und Ihre Zugangsdaten im Internet zu finden sind.

LÖSUNG: Im Internet gibt es mehrere Dienste, die über gestohlene Datensätze verfügen und bei denen Sie überprüfen können, ob Ihre Daten dazugehören. Die Datensätze stammen aus Untergrundforen und anderen Quellen. Es ist nach dem Auspacken sofort startklar, ein Doppelklick auf die Datei „pcwPasswortCheck.exe“ genügt. Oben links geben Sie Ihre Mailadresse ein und drücken als Nächstes auf „Prüfung starten“. Nach wenigen Sekunden zeigt das Tool an, ob Ihre Log-in-Daten gestohlen wurden und wenn ja, aus wie vielen Onlinediensten. Angezeigt werden der Name des Onlinediensts und eine kurze Beschreibung. Darin finden sich meistens auch das Jahr sowie der Monat, in dem der Passwortdiebstahl stattgefunden hat. Am Ende des Textes steht hinter „Kompromittierte Felder“, welche Daten genau bei dem Datendiebstahl in die Hände der Angreifer gelangten, und ob diese verschlüsselt waren. Auf diese Weise erfahren Sie, ob neben den reinen Log-in-Daten auch Infos wie Ihre Telefonnummer, Ihr Geburtstag oder Ihre Postadresse gestohlen wurden. Weitere Dienste: Rechts oben in unserem Tool PC-WELT Passwort-Check finden Sie ein Ausklappmenü, über das Sie weitere Passwortdatenbanken in einem externen Browser aufrufen können. Es lohnt sich, auch bei diesen anderen Diensten vorbeizuschauen, da diese teilweise andere Daten besitzen.

PROBLEM: Trotz Nutzung unseres Tools PC-WELT Passwort-Check haben Sie ein mulmiges Gefühl. Um auf Nummer sicher zu gehen, sollten Sie auch den anderen Passwort-Datenbanken einen Besuch abstatten.

LÖSUNG: Sie können auch auf diversen Webseiten überprüfen, ob Ihre Zugangsdaten bereits im Internet kursieren. Die folgenden drei sind empfehlenswert.

Hasso-Plattner-Institut: Dieser Dienst bietet unter https://sec.hpi.de/leak-checker/ search eine Datenbankabfrage, die auf knapp fünf Milliarden Datensätze zugreifen kann. Die Site ist deutschsprachig. Nach der Eingabe Ihrer Mailadresse und einem Klick auf „E-Mail-Adresse prüfen“ bekommen Sie das Ergebnis der Abfrage per Mail zugesandt. Auf der Site ist überdies noch ein Blick unter „Statistik“ interessant. Sie erfahren dort unter anderem, was die zehn häufigsten Passwörter sind. Selbstverständlich sollten Sie sich diese nicht als Vorbild nehmen. Die Plätze 1 bis 3 belegen – Sie haben es geahnt: „123456“, „123456789“ und „111111“.

Bundesamt für Sicherheit in der Informationstechnik: Auf der Website https://www.sicherheitstest.bsi.de können Sie anhand Ihrer Mailadresse ebenfalls nach Passwortdiebstählen suchen lassen. Sie erhalten das Ergebnis per Mail, falls der Site ein Diebstahl bekannt ist.

Breach Alarm: Die Datenbank unter https://breachalarm.com kennt rund 700 Millionen Log-in-Daten und damit vergleichsweise wenige. Dennoch lohnt sich der Besuch auf der Site, denn Sie können dort kostenlos Ihre Mailadresse hinterlegen und auf Datendiebstahl überwachen lassen. Sollte diese Adresse zusammen mit Log-in-Daten im Internet auftauchen, werden Sie informiert.

Tipp: So knacken Sie Ihr vergessenes Passwort

Das optimale Passwort

Der Log-in-Checker des Hasso-Plattner-Instituts versendet das Ergebnis seiner Prüfung per Mail.
Vergrößern Der Log-in-Checker des Hasso-Plattner-Instituts versendet das Ergebnis seiner Prüfung per Mail.

Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die technischen Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher. Schließlich ist die Leistung eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist.

PROBLEM: Sie möchten knacksichere Passwörter generieren, wissen aber nicht, worauf es dabei ankommt. Sichere Passwörter zu managen ist nicht ganz einfach. Ein einziger sicherer Zugangscode für mehrere Konten verbietet sich, denn wenn Hacker das Kennwort für ein Konto haben, haben sie zugleich Zugang zu weiteren. Einfache Phrasen, Zitate und Ähnliches inklusive simpler Zahlen-Buchstaben-Änderungen stehen längst in sogenannten „Wörterbüchern“, also Kennwortlisten, die in Hacker-Tools implementiert sind und das Knacken erleichtern. Mehr Schutz bietet die Zwei-Faktor-Authentifizierung (siehe Abschnitt Zwei-Faktor-Anmeldung – Einschalten lohnt sich). Kritisch ist auch das Auslagern in die Cloud, um von überall Zugriff darauf zu haben, weil man die Sicherheit aller Codes einem Dienst anvertraut.

LÖSUNG: Eine Möglichkeit, für jeden Dienst unterschiedliche Kennwörter zu verwenden, ist ein jeweils individuell abgewandelter Code. Wenn Sie ein 10-stelliges und aus Zahlen, Klein-und Großbuchstaben sowie Sonderzeichen bestehendes Kennwort ohne jegliches Muster wie zum Beispiel „aT>9§Rp3;E“ kreieren, ist das zwar zunächst schwer zu merken, dafür aber sicher. Nun können Sie dieses „Grundkennwort“ für jeden Zweck nach einem bestimmten Muster abwandeln, indem Sie beispielsweise die letzten beiden Buchstaben des gewählten Dienstes (oder etwa der Domain, des Programm usw.) nach einem bestimmten Muster integrieren. Zusätzlich kann man eine Zahl anhängen, etwa die Zeichenzahl des Namens plus oder minus X. Klingt alles furchtbar kompliziert, ist es aber nicht. Bei Google würde aus dem genannten Passwort damit „aTL>9§Rp34e;E“: „l“ und „e“ als Endbuchstaben von Google haben Sie an die dritte und drittletzte Stelle gesetzt und davor noch eine 4 (für 6 Google-Buchstaben minus 2). Analog hieße das Passwort für Paypal „aTA>9§Rp34l;E“.

Enthält Ihr Grundkennwort Zahlen und Sonderzeichen, lassen sich aus den systematischen Ergänzungen umgekehrt keinerlei Rückschlüsse ziehen – alles erscheint rein zufällig. Sogar wenn ein Zugangscode gestohlen werden sollte, lässt sich daraus nichts rekonstruieren. Sie selbst aber haben aus dem Grundkennwort und dem Ergänzungsmuster jeden Zugang schnell parat. Gefährlich wird es erst, wenn Hacker mehrere Ihrer Passwörter erbeuten und daraus das Muster erkennen.

Mehr Sicherheit durch Passwortmanager

Die Website „Just delete me“ hilft dabei, sich aus den gängigsten Onlinediensten abzumelden.
Vergrößern Die Website „Just delete me“ hilft dabei, sich aus den gängigsten Onlinediensten abzumelden.

Wer mehr als eine Handvoll Log-in-Daten verwalten muss, der kommt um einen Passwortmanager nicht herum. Denn jeder Login benötigt ein eigenes Passwort. Und jedes dieser Passwörter sollte möglichst lange und möglichst kompliziert sein. Das kann sich aber kaum ein Anwender merken.

PROBLEM: Sie nutzen ausschließlich zufällig generierte Kennwörter, die zwar sicher aber auch schwer zu merken sind. Hier helfen die Passwortmanager, die in der Regel ebenfalls das Ausfüllen der Logins in Browsern und Apps übernehmen.

LÖSUNG: Empfehlenswerte Passwortmanager sind Keepass und Lastpass . Während Lastpass Ihre Daten verschlüsselt im Internet ablegt, behält Keepass sie standardmäßig auf Ihrer Festplatte. Jeder Passwortmanager schlägt Ihnen komplexe Passwörter vor. Wie komplex, lässt sich einstellen. Sie können zum Beispiel festlegen, ob Sonderzeichen und Großbuchstaben im Passwort vorkommen müssen. Wie komplex ein sicheres Passwort sein sollte, verrät Ihnen das Bundesamt für Sicherheit in der Informationstechnik (BSI). Demnach sollte ein gutes Passwort mindestens acht Zeichen lang sein – je länger, desto besser. Für das WLAN sollte das Passwort allerdings mindestens aus 20 Zeichen bestehen. Passwörter sollten aus Groß- und Kleinbuchstaben und Sonderzeichen wie etwa !, ? oder % und Ziffern bestehen. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. Diese Daten lassen sich leicht erraten – entweder durch einen Angreifer, der Sie gezielt ausspioniert, oder mit einem Passwortknackprogramm, das häufige Namen systematisch austestet. Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $, !, ?, # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert. Auch das wird von Passwortknackprogrammen routinemäßig getestet.

Tipp: Facebook sicher in 3 Minuten - keine Chance für Hacker

Passwörter für mehrere Dienste ändern

Für den Fall, dass der Test mit dem Tool PC-WELT Passwort-Check ergeben haben sollte, dass Ihre Log-in-Daten für einen Dienst gestohlen wurden, und Sie befürchten, dass Sie das betreffende Passwort auch für andere Dienste verwendet haben, müssen Sie die Passwörter für alle diese Dienste ändern.

PROBLEM: Sie nutzen bei verschiedenen Diensten das gleiche Passwort und möchten die Zugangsdaten nun ändern. Wer bereits einen Passwortmanager nutzt, hat es hier viel leichter. Denn mit dem Tool kann man sich anzeigen lassen, bei welchen Log-ins ein und dasselbe Passwort vorkommt. Einige Passwortmanager helfen sogar beim Wechseln eines Passworts.

LÖSUNG: In Lastpass zum Beispiel können Sie Passwörter für bekannte Dienste wie Facebook oder Amazon per Klick automatisch ändern. Dazu öffnen Sie Ihren Passworttresor. Das geht in der Regel über das Browser-Plug-in von Lastpass und einen Klick auf „Meinen Tresor öffnen“. Suchen Sie sich dann den betreffenden Log-in heraus und klicken Sie auf das Schraubenschlüsselsymbol. Unterhalb des Passwortfeldes zeigt Lastpass Ihnen den Link „Automatische Passwortänderung“ an. Wenn dieser Link fehlt, kann Lastpass das Kennwort nicht automatisch ändern.

Zwei-Faktor-Anmeldung – Einschalten lohnt sich

Die App Authenticator von Google generiert ein temporäres Zusatzpasswort für Onlinedienste.
Vergrößern Die App Authenticator von Google generiert ein temporäres Zusatzpasswort für Onlinedienste.

Ob bei Amazon, Google, Facebook oder Dropbox – viele Online-Accounts, und auch NAS-Systeme von Asustor, Qnap und Synology unterstützen die Zwei-Faktor-Authentifizierung und sperren dadurch Angreifer effektiv aus. Denn selbst wenn ein Hacker Ihr Passwort besitzt, kann er sich nicht einloggen. Denn hierfür ist zwingend ein zweiter Faktor erforderlich. Der zweite Faktor ist meist ein temporäres Zusatzpasswort, das nur wenige Sekunden gültig ist und für dessen Generierung Sie ein zweites Gerät benötigen. Meistens ist das ein Smartphone, auf das Ihnen der Dienst eine SMS mit dem Zusatzpasswort sendet. Oder das Passwort wird von einer App auf Ihrem Smartphone erzeugt und angezeigt.

PROBLEM: Sie trauen der Authentifizierung mittels Benutzernamen und Kennwort nicht. In diesem Fall sollten Sie den Zugang zu den von Ihnen verwendeten Online-Services durch die Zwei-Faktor-Authentifizierung absichern.

LÖSUNG: Beliebt ist die App Authenticator von Google, die kostenlos für Android und iOS zu haben ist. Die Zwei-Faktor-Anmeldung ist deutlich weniger aufwendig zu realisieren, wie es auf den ersten Blick erscheinen mag. Denn bei den meisten Diensten müssen Sie den Zusatzcode nur einmal pro Gerät oder pro verwendeter Software eingeben. Das heißt, wenn Sie den Browser auf Ihrem PC einmal mit dem Zusatzkennwort freigeschaltet haben, brauchen Sie das nicht noch mal zu tun. Unterstützt wird diese Form der Authentifizierung unter anderem von Amazon, Dropbox, Instagram, Microsoft (Onedrive, Word.com, Outlook.com, Hotmail und andere), Facebook und Google (Gmail, Google Drive sowie andere).

Die Themen in Tech-up Weekly #106: +++ Ernste Sicherheitslücke in fast allen Intel-CPUs +++ Android spioniert Standort-Daten aus +++ Preissturz: AMDs Ryzen-CPUs günstiger erhältlich +++ Quick-News der Woche +++ Kommentar der Woche +++ Fail der Woche: Erde ist flach: Mann baut Rakete, um dies zu beweisen

------

► Die besten Technik-Schnäppchen:
www.pcwelt.de/cyber

► Ernste Sicherheitslücke in fast allen Intel-CPUs (1:05):
www.pcwelt.de/2313402

► Android spioniert Standort-Daten aus (2:27):
www.pcwelt.de/2313493

► Preissturz: AMDs Ryzen-CPUs günstiger erhältlich (3:40):
www.pcwelt.de/2313073

------

Quick-News (5:21):

► Steam Link für 5,49 Euro und Top-Spiele stark reduziert:
www.pcwelt.de/2313593

► Apple bestätigt illegale Studentenarbeit am iPhone X:
www.pcwelt.de/2313396

► Ab 2020 gibt es kein BIOS mehr:
www.pcwelt.de/2312928

► EU: Geoblocking im Online-Handel verboten:
www.pcwelt.de/2313248

► Breitbandausbau: Geringes Interesse an schnellem Internet:
www.pcwelt.de/2313776

► Microsoft-Support: Polizei warnt vor neuer Betrugsmasche:
www.pcwelt.de/2312930

------

Kommentar der Woche (6:40)

------

Fail der Woche (7:25):

► Erde ist flach: Mann baut Rakete, um dies zu beweisen:
www.pcwelt.de/2313476

2327868