4 effektive Strategien für mehr Passwortsicherheit

11.12.2009 08:39 Uhr2 Kommentare

Passwortsicherheit StrategienDer goldene Tipp an vielen Stellen lautet: Wählen Sie ein Zufallspasswort und verwenden Sie niemals ein Passwort an mehreren Stellen. Jedes Konto und jeder Account soll ein eigenes Passwort erhalten.

Natürlich wäre es prima, an jeder Stelle ein einmaliges, 42-stelliges Passwort aus Zufallszeichen zu benutzen. Die Sicherheit wäre diesbezüglich großartig.

Aber mal ehrlich, wer hält einen derartiger Aufwand lange durch? Meine Erfahrung ist, dass zu aufwendige Verfahren darauf hinauslaufen, dass sie einen Internetnutzer frustrieren und verärgern. Die Konsequenz ist dann oft sogar kontraproduktiv: Faulheit siegt und die Passwortsicherheit sinkt auf ein Minimum.

Mit den Strategien aus diesem Artikel schaffen Sie den Spagat: Ein hohes Maß an Sicherheit, das Sie komfortabel halten können.

Strategische Passwortsicherheit

  1. Sparen Sie nicht an Aufwand bei sensiblen Onlinekonten.
    Nicht alle Dienste sind gleich wichtig und müssen ähnlich kompliziert betreut werden. Priorisieren Sie Ihre Zugänge. Ihre wichtigsten Accounts (wie z.B. Online-Banking, Shopping-Portale – geben wir ihnen Sicherheitsstufe 1) sollten Ihnen aufwendige Maßnahmen wert sein:

    • Vergeben Sie ein eindeutiges Passwort, das Sie wirklich nur bei dem jeweiligen Onlinedienst verwenden.
    • Vergeben Sie einen eindeutigen Benutzernamen, den Sie nur hier verwenden.
    • Notieren Sie das Passwort nicht – und schon gar nicht in einer Textdatei auf dem Computer! Wenn Sie es notieren müssen, dann auf einem Zettel im Geldbeutel. Und dann ausschließlich das Passwort: Es darf weder Benutzername noch Onlinedienst oder ein sonstiger Hinweis auf die Verwendung dabei stehen.
    • Wenden Sie alle Regeln aus „5 Grundregeln für sichere Passwörter“ an.
  2. Auch Ihr E-Mail-Konto hat Sicherheitsstufe 1.
    Bei vielen Online-Communities ist es üblich, dass der Benutzername der E-Mail-Adresse entspricht. Das Problem dabei: Es verleitet dazu, auch überall dasselbe Passwort zu benutzen.
    Angenommen, Sie registrieren sich auf Webseite XY mit Ihrer E-Mail-Adresse und geben bei der Registrierung dasselbe Passwort an, das Sie bereits für Ihr E-Mail-Konto ( z.B. bei web.de, gmx.de, googlemail, o.ä.) nutzen.
    Dann bedeutet das, dass ein Angreifer, der Zugriff auf die Daten von Webseite XY erlangt, Ihre E-Mail-Adresse und auch Ihr zugehöriges Passwort kennt. Er könnte sich nun problemlos an Ihrem E-Mail-Konto anmelden und Ihre E-Mails lesen.
    Wenn Sie die betroffene E-Mail-Adresse zur Registrierung bei anderen Onlinediensten verwendet haben, findet er nun sämtliche Registrierungsbestätigungen und hat somit Zugriff auf alle Ihre Profile im Internet.
  3. Onlinedienst mit Sicherheitsstufe 2.
    Onlinedienste, die keine Bankdaten oder ähnlich sensible Daten enthalten, sollten Sie mindestens der Sicherheitsstufe 2 zuordnen. Ich habe hier eine Strategie entwickelt, so dass ich mir nur ein Passwort merken muss, aber dennoch bei jedem Onlinedienst ein individuelles Passwort habe.
    Dazu verwende ich ein 8-stelliges Passwort aus Kleinbuchstaben, Großbuchstaben und Zahlen. Dieses Passwort nenne ich mein Masterpasswort und lasse es von einem Passwort-Generator erzeugen.
    Nun erweitere ich das Passwort um die letzten 3 Buchstaben der Webseite für die ich es verwenden will.
    Beispiel: Mein Masterpasswort ist „d1mssMpW„:

    • Für mein Konto bei YouTube wäre mein Passwort: „d1mssMpWube“ („d1mssMpW“ + „ube„)
    • Mein Passwort für Facebook wäre: „d1mssMpWook“ („d1mssMpW“ + „ook„)
    • Und für Twitter wäre mein Passwort: „d1mssMpWter“ („d1mssMpW“ + „ter„)

    Somit habe ich für jeden Onlinedienst ein einzelnes Passwort obwohl ich mir nur mein Masterpasswort merken muss.
    Wichtig: Wählen Sie diese Strategien nur für Webseiten, die keine Bankdaten enthalten und von großen Anbietern betrieben werden. Nutzen Sie diese Strategie nicht, um Ihr Passwort für ein kleines lokales Forum oder eine privat betriebene Webseite zu bestimmen.

  4. Onlinedienste mit Sicherheitsstufe 3.
    Wenn es für Sie möglich ist, sollten Sie auch bei unwichtigen Onlinediensten auf Ihre Passwortsicherheit achten und mindestens die Strategie aus Punkt 3 anwenden. Allerdings habe selbst ich einzelne Konten bei diversen Onlinediensten, die ich mit ein und demselben Passwort schütze.
    Wägen Sie ab, ob auch Sie Konten haben, die für Sie nicht wichtig sind. Aber beachten Sie:

    • Wenn Sie dasselbe Passwort für mehrere Konten verwenden, muss es sich unbedingt von Ihren anderen Passwörtern (Sicherheitsstufe 1 und 2) unterscheiden.
    • Wählen Sie in keinem Fall Ihr Masterpasswort.
    • Wählen Sie nicht Sicherheitsstufe 3, wenn persönliche Daten bei dem Onlinedienst hinterlegt sind.
    • Achten Sie darauf, dass bei keinem Onlinedienst der Sicherheitsstufe 3 Ihre E-Mail-Adresse veröffentlicht wird.

Weniger Passwortsicherheit

Machen Sie sich bitte bewusst: Im Vergleich zur optimalen Variante der Zufallspasswörter reduzieren die hier vorgestellten Strategien Ihre Passwortsicherheit.

Jedoch gibt es nur sehr wenige Leute, die es schaffen für jeden Onlinedienst ein einmaliges und hochsicheres Passwort zu verwenden. Dafür gibt es etliche Internetnutzer die sehr schwache Passwörter benutzen.

Bevor Sie selbst zur letzten Gruppe gehören, entscheiden Sie sich bitte für den hier vorgestellten Mittelweg. Er sichert Ihre Passwörter ausreichend gut, ohne Ihnen dabei zu viel Komfort zu nehmen.

Wenn Sie noch mehr Sicherheit komfortabel erreichen wollen, hilft nur noch der Einsatz von spezieller Software. Über derartige Software werde ich zukünftig noch berichten.

Ein Trackback

Ein Kommentar

  • OneWorld schreibt:

    E-Mail-Dienste, die vielmehr als nur E-Mail beinhalten würde ich sogar in Stufe 1 tun. Insbesondere google speichert viel mehr: Handydaten (Android), Suchhistorie, Adressen, Fotos

    Mich würde außerdem interessieren, wo der Autor Instant Messenging (Skype, ICQ usw.) einordnet.