Ändern ja, aber gewusst wie: Fünf Tipps zum „Ändere dein Passwort“-Tag am 1. Februar
Das Ziel des „Ändere dein Passwort“-Tags, der 2012 von der Website Gizmodo anlässlich eines spektakulären Webshop-Hacks in den USA aus der Taufe gehoben wurde, ist ehrenwert, aber nicht wirklich realistisch: Im Laufe der Zeit sammeln sich selbst bei mäßig internetaffinen Menschen Dutzende, wenn nicht hunderte Passwörter an. Stromanbieter und Internetprovider verlangen sie für den Login auf ihre Kundenportale ebenso wie Social Media-Plattformen und Foren, Webmail-Dienste und die Heerschar der Onlineshops. Wer hier regelmäßig alles ändern möchte, sollte viel Zeit, Geduld und Leidensfähigkeit mitbringen – oder lässt es besser gleich ganz: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jedenfalls schon Anfang 2020 die Empfehlung zum regelmäßigen Passwortwechsel aus seinem Kompendium zum IT-Grundschutz gestrichen. Besseren Schutz gewährleisten fünf einfache Grundregeln:
1. Verwenden Sie jedes Passwort nur einmal: Wiederverwendung macht bei Pfandflaschen Sinn, bei Passwörtern ist sie schlicht fehl am Platz. Wer jedes Passwort nur einmal vergibt, muss sich weniger Sorgen machen, falls eines doch in falsche Hände gerät. Das passiert schneller als gedacht: Der Identity Leak Checker des Hasso-Plattner-Instituts verzeichnet aktuell sagenhafte zwölf Milliarden bei Cyberangriffen erbeutete und von den Hackern veröffentlichte Nutzerkonten.
2. Ändern Sie nur unsichere Passwörter: Eine regelmäßige Passwortänderung verleitet eher dazu, ein zu kurzes, unsicheres Passwort zu verwenden und beispielsweise von „blume0815“ zu „blume0816“ zu wechseln. Anders ist es zwar, nur leider nicht sicherer. Wer solche Exemplare noch im Passwort-Fundus hat, sollte besser sogleich Tipp drei beherzigen.
3. Wählen Sie ein sicheres Passwort: Wann immer möglich, sollten dabei Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zum Einsatz kommen. Auch die Länge des Passworts ist entscheidend: Bei 20 bis 25 Zeichen reichen bereits zwei Zeichenarten aus – ideal, um sich beispielsweise einen Satz als Passwort zu merken. Ist das Passwort nur acht bis zwölf Zeichen lang, sollten alle vier Zeichenarten genutzt werden.
4. Nutzen Sie Passwortmanager: Nur die wenigsten Menschen sind so geübte Gedächtniskünstler, dass sie sich Dutzende Passwörter im Kopf merken können. Zettel, Textdateien und ähnliches sind keine ideale Aufbewahrungslösung, können sie doch verloren gehen oder Unbefugten in die Hände fallen. Greifen Sie besser gleich zu einem Passwortmanager, mit dem sich alle Daten sicher verschlüsseln und aufbewahren lassen. Neben zahlreichen kommerziellen Lösungen hat sich auch die Freeware KeePass im Alltag bewährt. Die Entschlüsselung erfolgt über ein Masterpasswort, das zusätzlich durch den Einsatz einer Schlüsseldatei – beispielsweise auf einem USB-Stick – oder eines speziellen Hardwaretokens verstärkt werden kann.
5. Nutzen Sie Zwei-Faktor-Authentisierung: Viele Onlinedienste bieten mittlerweile die Möglichkeit, das Passwortverfahren durch eine zusätzliche Zwei-Faktor-Authentisierung zu ergänzen. Nach der Eingabe des Passworts muss beispielsweise ein SMS-Code eingegeben werden, der automatisiert ans Mobilgerät des Nutzers gesandt wird. Darüber hinaus setzen sich passwortfreie Authentisierungs-Verfahren wie Face ID oder Fingerabdruck immer mehr durch. Wann immer sich die Möglichkeit bietet, sollten Sie diese Optionen aktivieren, da sie die Sicherheit Ihrer Accounts weiter erhöhen.
Bequemlichkeit ist der falsche Weg
Wer wirklich noch unsichere Passwörter vom Schlage eines „123456“ oder „qwertz“ nutzt, sollte den „Ändere dein Passwort“-Tag zum Anlass nehmen, dieses Einfallstor für Cyberkriminelle zu schließen. Für alle anderen gilt: Ständige Wechsel sind nicht nötig, wenn das Passwort lang genug ist und eine sinnvolle Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zum Einsatz kommt. Wann immer sie angeboten wird, sollte außerdem die Zwei-Faktor-Authentisierung oder ein passwortfreies Login-Verfahren aktiviert werden.
Nevis
Birmensdorferstrasse 94
CH8003 Zürich
Telefon: +41 (43) 21529-09
http://www.nevis.net
E-Mail: nevis-security@teamlewis.com