Gerade erst wurde wieder einmal deutlich, wie groß die Sorglosigkeit vieler Internetnutzer ist. Es gibt ein wahres Passwort-Desaster, wie man zu hören bekommt. Dabei ist es eigentlich ganz einfach, seine Accounts so sicher wie möglich zu gestalten. Ich gebe zu, bei mir war das auch lange Zeit nicht der wichtigste Tagesordnungspunkt. Aber nun ja, wie sagt man? „Lernen durch Schmerzen“. Ich musste auch erst lernen, dass Daten ausgenutzt werden können, wenn man sie nicht ausreichend absichert. Und davon möchte ich gern erzählen.
Was für ein Passwort-Desaster!
Jahr für Jahr wird bekannt gegeben, welche Passwörter die beliebtesten im abgelaufenen Jahr waren. Und in Deutschland ist es Jahr für Jahr immer wieder ein und dasselbe: 12345, 123456, 123456789, hallo, qwertz, basteln, admin und so weiter und so fort. Ich denke mir das ja nicht aus. Das könnt ihr alles hier nachlesen. Denkt ihr da nicht auch, was das für ein Passwort-Desaster ist? Vielleicht seid ihr euch der ganzen Dimension auch gar nicht bewusst. Oder es ist euch egal.
Mir war es einige Zeit lang egal. Bis ich dann bei einem Freemailer (Davon gibt es ja eine ganze Menge) einen Einbruch in meinen Email-Account mitbekam. Das ist viele, viele Jahre her. Und das Email-Konto gibt es auch seitdem nicht mehr. Ich hatte es ja schließlich auch schon lang nicht mehr benutzt. Und das brachte mich dann eigentlich erst auf die Idee, über Passwort-Sicherheit und ähnliches nachzudenken. Ja, eigentlich schwach für jemanden, der „was mit IT“ macht.
Ich meine, ich hatte zwar immer etwas bessere Passwörter als die Beispiele da oben. Aber sie waren dann eben doch zu einfach zu entschlüsseln. Und wenn der Anbieter eines Dienstes auch keine Datensicherheit mitbringt, ist es eben ein Leichtes für Angreifer, in Accounts einzudringen. Und das sehe ich als das eigentliche Problem bei all dem Passwort-Desaster an. Es geht nicht darum, dass man Mails von „Oma Hilde“ zugänglich macht, sondern darum, was mit einem gekaperten Account passiert.
Was kann denn schon passieren?
Meine Mutter hatte immer gesagt: „Was wollen denn die von einer alten Frau?“ – Jaja, da stehst du da und ringst um Argumente. Als ich ihr dann aber bewiesen hatte, dass über den oben genannten Freemailer-Account Spam-Angriffe sonstwo hin vollführt wurden, kam sie dann doch ins Grübeln. Da wurden irgendwelche hanebüchene Mail-Angebote per Massenmail in der Menge, wie sie der Anbieter gerade noch zuließ, an Unmassen von Empfängern verschickt. Ohne mein Zutun.
Ich hatte ihr dann ein sicheres Passwort für ihren Email-Account eingerichtet. Für sie hatte sich ja nichts geändert. Aber so war der Account zumindest auf der sicheren Seite. Und nachdem ich von dem Freemailer den Account entfernt hatte und seitdem peinlichst genau auf Passwortsicherheit achte, kommt so ein Passwort-Desaster bei mir nicht mehr so sehr vor. Es gibt keine absolute Sicherheit, aber im Moment hat man relative Ruhe.
Am Ende ist es aber tatsächlich so, dass so Angreifer, die irgendwelche Accounts kapern, kein Interesse an „Oma Hilde“ haben. Die wollen weitere Accounts für ihre Spielchen. Und wer weiß, vielleicht ist da auch mal eine Ransomware-Attacke darunter. Die gilt dann nicht dem eigentlichen Inhaber des Accounts, sondern einem bestimmten Opfer. Wie Supermarkt-Inside neulich erzählt hat, werden solche Angriffe gegenüber Händlern in letzter Zeit immer häufiger.
Und es ist doch immer oder meistens so, dass ungenügend abgesicherte Accounts der Grund dafür sind, dass solche Angriffe überhaupt möglich sind. Unternehmen und Organisationen etc. sollen und müssen sich absichern. Gerade in der Vorweihnachtszeit nahm das Ganze Thema überhand. Und viele dieser Angriffe können stattfinden, weil es zu wenig Sensibilität beim Thema Passwort-Desaster gibt.
Gut gebrüllt, Löwe! Und nun?
Wir können natürlich jetzt alle hergehen und unsere Passwörter ändern. Beim jeweils neuen Passwort hauen wir wie die Bekloppten auf Tastaturen herum und speichern uns diese neuen, völlig absurden Passwörter nirgends. Wie gut würde das Alles funktionieren? Besser ist es doch, über sinnvoll anwendbare Dinge nachzudenken. Darüber gibt es unzählige Artikel und Anleitungen und all das im Internet. Für mich persönlich hat sich aber eine Kombination aus folgendem bewährt:
- kein allzu kompliziertes Passwort (sinnvolle Buchstaben + irgendeine merkbare Zahlenkombi + ein sinniges Satzzeichen), meinetwegen: Berta Schmidt und Hans Schmidt sind seit 1974 verheiratet. Als Passwort wäre das vielleicht:
BSHS.1974. Reicht aus. - Ein Passwort-Manager, den man auch gut benutzen kann. Da gehen die Meinungen sehr stark auseinander. Aber ich schrieb ja schon mal, dass auch der Chrome Browser als solcher taugt, zumindest besser als nix.
- Und wo es geht, die 2-Faktor-Authentifizierung aktivieren. Das ist bei den jeweiligen Diensten meistens gut erklärt.
Wie gesagt: Das funktioniert bei mir. Bei euch kann das ganz anders sein. Ob ihr dann von Zeit zu Zeit das Passwort erneuern wollt, ist eure Sache. Nehmt aber für jeden Dienst ein eigenes Passwort. So bekommt ihr vielleicht halbwegs das Passwort-Desaster in den Griff. Gerade in Zeiten von einem wieder erstarkten Emotet und einer unüberschaubaren log4j-Nummer sicher nicht ganz blöd. Aber seid nicht immer so sorglos. Wer weiß, wer alles irgendwas in eurem Namen tut? Seid vorsichtig!
Hi Henning,
nachdem bei einer Datenpanne mal Passwörter von mir im Internet auftauchten, habe ich auch reagiert. Das Problem ist die Vielzahl an Passwörtern, die man hat. Immer das gleiche sichere verwenden? Ist eines aufgetaucht sind alle Accounts offen. Im Kopf speichern? Unmöglich – ich habe über 100 verschiedene Login Daten. Das managt man nur über einen Passwort Manager. Ich nutze Keepass 2 weil ich dort Passwörter nach Rubriken verwalten kann. Die Datenbank ist lokal gespeichert und zur Sicherheit auf der NAS gespeichert. Google traue ich schon deshalb nicht, weil die Passwörter unter den Geräten mit meinem Konto synchronisiert werden. Google schickt also meine Daten locker flockig durch die Internet-Weltgeschichte..
Naja, natürlich synchronisieren sie. Aber soweit ich weiß verhasht. Das reduziert die Gefahr, dass Google selbst reingucken kann. Aber klar, Skepsis ist angebracht. Allerdings könntest du dann den alten Nokia-3310-Knochen reaktivieren, wenn du tatsächlich so skeptisch wärst.
Das Problem ist ja, dass du möglichst auf allen Geräten Zugriff auf deine Passwörter haben willst. Und da denken viele daran, Passwörter zu synchronisieren. So, wie es der Chrome macht, der Edge. Du kannst wohl auch den Firefox synchronisieren. Und die Passwörter in LastPass gehen auch.
Warum ich den Chrome immer wieder anmerke? Nicht, weil es die beste Lösung ist. Das ist mir klar, dass das nicht stimmt. Aber es ist besser als drölfzig mal „123456“ zu verwenden.
Da hast Du Recht.. aber wenn mir google nach einer Passwortpanne direkt aufzählt welche meiner Accounts betroffen ist, dann kommt man schon ins grübeln. Kauft google heimlich über meinen Account bei Amazon ein?.. ;-)
Auch wenn die gehasht sind – wenn bei Datenpannen Daten gestohlen werden (bei mir hat jemand meine Kreditkarteninfos missbraucht), dann wird ja irgendwo scheinbar etwas sorglos damit umgegangen. Ist aber eines kompromittiert kann man ja mal mit der zugehörigen email-Adresse testen, wo man damit eventuell noch einkaufen kann. Ich sag nur Amazon, ebay und Co.
Die Wahrscheinlichkeit, dass man ein vermeintlich sicheres Passwort bei mehreren Accounts verwendet ist ja groß. Meine sind so lang und sicher, dass ich Sie mir unmöglich alle merken kann. Also entweder ein (vermeintlich) sicheres merken für alle – und hoffen dass es gutgeht – oder einen Passwortmanager und 2stufige Authentifizierung. Ich mache letzteres. Seitdem ich mitbekomme wieviele Angriffe ich auf meine NAS habe, frage ich mich sowieso ob manche Leute nix anderes zu tun haben..
Aber dass es mit der Moral der Menschheit bergab geht ist ja nix neues..
Da gebe ich dir Recht. Es ist wohl bei Google mit den Passwörtern das gleiche wie mit der Werbung. Die verfolgt dich auf Schritt und Tritt quer durchs Internet, wenn du dich nicht davor schützt. Warum sollte das dann bei Passwörtern anders sein?
Ich bin heilfroh, dass ich davor gefeit bin, dass Kreditkarteninfos missbraucht werden. Das liegt aber vielleicht nur daran, weil ich keine habe. Es ist aber sonst schon übel, was da im Internet abgeht. Und ich habe den Eindruck, als ob es durch die Pandemie noch schlimmer geworden ist.
Ich habe mehrere hundert Zugangsdaten und alle haben eigene Passwörter. Wenn ich aber mal mein Super-Passwort von 1Password vegesse, bin ich erledigt.
Na klar, ohne geht’s nicht. Aber man muss wirklich nicht für seine hunderte von Zugängen ein und dasselbe Passwort haben. Und auch „123456“ muss nicht sein. Beides kommt aber häufig genug vor. Und das ist das Problem.
Am besten ist ein Satz, den man sich leicht merken kann, dem man dann bei jedem Zugang eine entsprechende Zugangskombi anhängt. Beispiel:
Mein Onkel Bernd feiert am 21.8. Hochzeitstag, wird zu
MOBfa218H
und da drann hängt man noch den 2, und 1. Buchstaben des Diesnstes / des Unternehmens, z,B. MA für Amazon.
MOBfa218HMA
Wer mag hängt noch ein Sonderzeichen dran oder dazwischen, immer gleiche Zahlen o.ä.
MOBfa218HMA#
Da hast du völlig Recht. Das ist überhaupt eine ziemlich gute Idee. Grundsätzlich ist mir aber dann schon 2FA lieber. Aber am besten finde ich Modern Authentication, wie sie Microsoft vorschlägt. Aber auch da wird es jede Menge Bedenkenträger geben.