Passwort: sicher
Security-Checkliste Passwörter & Accounts
Passwörter sind nicht nur ein notwendiges Übel, sondern der Schlüssel zur digitalen Identität. Mit den folgenden Tipps haben Sie so wenig Passwortstress wie möglich, ohne an der Sicherheit zu sparen.
☑ Nicht recyceln
Nutzen Sie für jeden Dienst ein anderes Kennwort. Sollten Sie Passwörter recycelt haben, gehen Sie am besten alle wichtigen Zugänge durch und legen Sie individuelle Passwörter fest – insbesondere bei Diensten, bei denen es um persönliche Daten oder um Geld geht.
☑ Besser lang
Um Passwörter ranken sich zahlreiche Mythen, viele davon sind inzwischen widerlegt. So gilt es als überholt, Passwörter regelmäßig zu ändern. Ändern müssen Sie ein Passwort nur, wenn es in die falschen Hände gelangt, etwa nach einem Hack.
Ein gutes Passwort muss alltagstauglich sein und sich auch am Smartphone eintippen lassen. Besser als möglichst viele Sonderzeichen ist es, möglichst lange Passwörter einzusetzen: Die Länge ist der größte Hebel, um die Sicherheit zu erhöhen. Insbesondere bei Verschlüsselung (Dateien, Festplatten, PGP & Co.) sollten Sie so viele Zeichen nutzen, wie Sie handhaben können. Ein Weg zum Ziel ist das Aneinanderreihen von Wörtern zu „Passphrasen“, absichtliche Schreibfehler sorgen für mehr Sicherheit.
☑ Passwortmanager
Nutzen Sie am besten einen Passwortmanager wie KeePass oder Bitwarden, um Ihre Zugangsdaten zu verwalten. Die nützlichen Helfer speichern Passwörter sicher verschlüsselt auf Rechner, Smartphone und Tablet. Sie müssen sich dann nur noch das Masterpasswort merken, mit dem Sie den Passwortmanager entsperren. Einen Vergleichstest von 15 Passwortmanagern finden Sie in c’t 5/2021 [1].
☑ Darknet-Leaks checken
Cyber-Ganoven erbeuten immer wieder und im großen Stil Datenbanken mit Zugangsdaten. Überprüfen Sie von Zeit zu Zeit in öffentlichen Datenbanken, ob und für welche Ihrer Zugänge Passwörter bereits im Darknet kursieren. Das können Sie zum Beispiel mit dem „HPI Identity Leak Checker“ und „Have i been pwned?“ herausfinden (siehe ct.de/ypzu). Gibt es einen Treffer, sollten Sie das betroffene Passwort als kompromittiert betrachten und ändern. Rechnen Sie außerdem mit einem Anstieg an Phishingmails an die betroffene Mailadresse, die sich möglicherweise sogar auf den gehackten Dienst beziehen.
☑ Zwei Faktoren nutzen
Viele Onlinedienste bieten eine optionale Zwei-Faktor-Authentifizierung (2FA), die effektiv vor Hackern schützt: Ist sie aktiv, fragt der Dienst beim Einloggen nicht nur nach dem Passwort, sondern auch nach einem zweiten Faktor, etwa in Form eines Zahlencodes. Schalten Sie wann immer möglich eine 2FA-Methode ein [2]. Meiden Sie dabei aber das SMS-Verfahren, da es unsicher ist. Nutzen Sie besser das Verfahren „Time-based One-time Password“ (TOTP), bei dem Sie die Codes selbst mit einer App wie Google Authenticator, Authy oder FreeOTP generieren.
Am sichersten ist FIDO2, das jedoch noch nicht viele Webdienste als Anmeldemethode anbieten. Zukünftig werden Sie sich bei immer mehr Diensten mit einem sogenannten Passkey [3] registrieren und einloggen können. Die Eingabe eines Passworts oder 2FA-Codes ist damit nicht mehr nötig. Nutzen Sie diese Möglichkeit, wenn sie angeboten wird. Das klappt unter anderem bereits bei Google. (rei@ct.de)
Darknet-Leaks checken: ct.de/ypzu