Passwortsicherheit spielt gerade beim Thema Finanzen eine wichtige Rolle. Viele Deutsche nehmen das aber nach wie vor auf die leichte Schulter. Wie du vorausschauend damit umgehst, erklärt dir der Blogger und Podcaster Dr. Michael „Mitch“ Symalla in seinem Gastartikel.
Inhalt
Überblick Passwortsicherheit
23,36 Millionen Menschen in Deutschland wurde nach einer Studie des Sicherheitsunternehmens Norton by Symantec im Jahre 2017 Opfer von Onlinekriminalität. Gleichzeitig ist die Hälfte aller Deutschen beim Online-Banking unsicher. Und wo stehst Du – emotional und faktisch?
Gute Passwörter helfen Dir, Deine Finanzdaten online zu schützen.
Bei der Auswahl des Geldinstitutes für Dein Tagesgeld achtest Du auf Seriösität, die Liquidität Deiner ETFs ist Dir wichtig. Aber wie sieht es bei Deinen Benutzerkonten aus, bei denen Du alles selber in der Hand hast?
Denn auch bei der Sicherheit geht es um bares Geld – und zwar um Dein Geld. 4.000 Euro Schaden entstehen durchschnittlich bei Betrugsfällen im Online-Banking. Gleichzeitig verwenden über 55% der Menschen ihre Passwörter mehrfach und öffnen damit eine der größten Sicherheitslücken überhaupt.
Gute Passwörter sind der wichtigste Schutz Deiner Benutzerkonten und Deines Geldes. Ob es Dein Zugang zu Paypal oder Deinem Broker ist, das Passwort ist die wichtigste Schutzmaßnahme gegen Internet-Kriminelle.
Gute Passwörter sind einzigartig
Ein gutes Passwort zu wählen ist eigentlich einfach: Du musst „nur“ darauf achten, dass es lang genug und zufällig ausgewählt ist und einmalig verwendet wird.
Bei einem einzigen Passwort ist das auch noch ganz übersichtlich.
Es kann aber schnell zu viel werden, wenn Du anfängst, alle Deine Passwörter auf einmal sicher machen zu wollen. Wo früher Dein Standardpasswort gereicht hat, soll es jetzt für jeden Zugang ein eigenes, kompliziertes Passwort sein? Und zwar eines, dass Du Dir weder merken noch vernünftig tippen kannst?
Schnell wird das so komplex, dass Du die Lust verlierst.
Das muss aber so nicht sein. Du kannst das auch clever angehen. Ich zeige Dir im Folgenden, wie Du ganz einfach entscheiden kannst, welche Deiner Benutzerkonten Du mit welchem Aufwand schützen musst. Und dann kannst Du die Sicherheit Deiner Passwörter überprüfen.
Für die wichtigen Zugänge wie Deine Finanzdaten investierst Du etwas mehr Aufwand, für das unwichtige Zeug lässt Du es locker angehen.
Eine Regel für Passwörter gilt immer
Eine Regel solltest Du aber immer beachten: Verwende nie ein Passwort bei mehr als einem Online-Anbieter. Arbeitet nur einer der Anbieter schludrig mit Deinen Daten, sind alle Deine anderen Onlinezugänge auch gefährdet.
Im Folgenden schauen wir uns drei mögliche Sicherheitsstufen Deiner Zugänge an: von vollkommen unwichtig bis sehr wichtig.
Stufe 1: Unwichtige Online-Zugänge: Wenn es um nix heiliges geht
Du willst einfach nur den einen Beitrag in einem Forum lesen und musst Dich dafür registrieren? Oder möchtest Du das Musterkonto und die Watchlist einer Bank ausprobieren? Dafür brauchst Du wahrlich kein Mossad-taugliches Passwort. Da tut es auch das gute alte 12345678.
Ein Extra-Tipp: Verschwende für sowas nicht Deine gute Email-Adresse! Nimm eine temporäre Email wie z. B. Guerillamail.
Stufe 2: Halb-wichtige Online-Zugänge: zumindest geht’s (noch) nicht um Geld
Bist Du öfters in Foren und Mitgliederbereichen unterwegs, ohne die Dir aber nichts wesentliches fehlen würde? Probierst Du Onlinetools aus oder meldest Dich zu einem kostenlosen Onlinekurs an? Alles das, wo es nicht um Geld oder Deinen Ruf geht, fällt in die Kategorie 2.
Wird einer dieser Zugänge geknackt ist es einfach ärgerlich und macht Arbeit. Was wirklich Wichtiges verlierst Du nicht, aber Zeit und Mühen kostet es.
Werden mehrere Dieser Zugänge geknackt besteht die Gefahr, dass doch größerer Schaden entsteht. Einfach weil die Kriminellen dann viele Informationen über Dich erhalten und diese ausnutzen können.
Deshalb nimm hier keine trivialen Passwörter. Ein bisschen komplizierter als auf Stufe 1 darf es jetzt schon sein.
Du kannst für ein Passwort blindlings auf der Tastatur rumhacken oder zufällige Wörter aus dem Duden auswählen und mit zufälligen Zeichen trennen.
Mindestens 12 Zeichen oder 5 Wörter sollten es aber dann schon sein.
Das heisst aber auch, dass Du Dir Deine Passwörter irgendwo notieren musst. Eine einfache Datei auf dem Rechner ist zu unsicher. Also bleibt nur Papier oder das Tool von Stufe 3.
Extra-Tipp: Verwende keine Passwort-Systeme, bei dem Du das selbe Passwort mit minimalen Änderungen für die besuchte Seite nutzt, wie z. B. MeinGeheimesPassw12Facebook. Sowas mag sich sicher anfühlen und einfach zu merken sein, aber Kriminelle mit Computerhilfe können das meist auch gut erraten, und dann sind alle Deine Benutzerkonten gefährdet.
Stufe 3: Wirklich wichtige Online-Zugänge: Hier gehts um die Wurst (und um richtig gute Passwörter)
Jetzt geht es um Deine wirklich wichtigen Online-Zugänge. Also die, bei denen es um Dein Geld oder Deinen Ruf geht.
Was sind alles wichtige Zugänge?
Wichtig sind auf jeden Fall Deine Zugänge zu Banken und Broker. Aber auch Online-Bezahlsysteme wie Paypal musst Du entsprechend schützen. Im Darkweb sind geknackte Zugänge bares Geld wert.
Deine Shopping-Zugänge wie bei Amazon, aber überall wo Du Zahlungsdaten hinterlegt hast, musst Du sehr gut absichern.
Aber es geht nicht nur um Geld. Wird Dein Facebook-Zugang geknackt, kannst Du unter Umständen lange daran arbeiten, Deinen Ruf wiederherzustellen.
Speicherst Du Bilder und Dokumente bei einem Cloud-Anbieter? Überlege wie wichtig die Daten sind und entscheide, ob sie in diese Kategorie fallen.
Kennst Du Deinen wichtigsten Online-Zugang?
Sehr wichtig und oft vergessen: Dein wichtigster Onlinezugang ist höchstwahrscheinlich Dein E-Mail-Konto. Denn über die „Passwort vergessen“-Funktion sind fast alle Deiner anderen Zugänge zu knacken, wenn Dein E-Mail-Konto geknackt wurde.
Gas geben
Du merkst, in dieser Kategorie geht es wirklich um die Wurst. Entsprechend musst Du hier auch Gas geben. Das stellt hohe Anforderungen an die Passwörter Deiner wichtigsten Benutzerkonten.
Aber mit dem richtigen Tool und ein wenig Startaufwand wird die Erstellung, Verwendung und Aufbewahrung von Passwörtern fast ein Kinderspiel. Und der einmalige Aufwand rechnet sich schnell. Denk an die durchschnittlichen Schadenshöhen von 4.000 Euro pro Fall im Onlinebanking.
Was muss Dein Passwort erfüllen?
Um Deine wichtigen Benutzerkonten ordentlich abzusichern brauchst Du wirklich gute Passwörter.
Wähle Passwörter mit einer Länge von mindestens 24 Zeichen. Kriminelle probieren mit modernen Grafikkarten Millionen von Passwörtern pro Sekunde aus. Je länger Dein Passwort ist, desto sicherer ist es.
Dein Passwort muss absolut zufällig sein. Es darf in keiner Liste vorkommen, auch nicht in ähnlicher Form. Sätze, Wortkombinationen, abgewandelte Zitate und selbstausgedachte Systeme sind tabu. Kriminelle probieren auf Basis von riesigen Listen neue Kombinationen aus. Die Gefahr, dass schonmal jemand Deine Idee in ähnlicher Form hatte, ist einfach zu groß.
Die Regel, für jedes Benutzerkonto ein neues Passwort zu verwenden, hatten wir schon. Aber für Deine wichtigsten Benutzerkonten gilt das erst recht. Diese Passwörter dürfen auf keinen Fall mehrmals benutzt werden.
Erste Hilfe bei der Passwort-Findung
Die einfachste Möglichkeit sichere Passwörter zu erstellen und zu verwalten, ist ein Passwortmanager wie KeePass. Damit kannst Du gute Passwörter in der gewünschten Sicherheitsstufe erzeugen. Zudem kannst Du sie darin sicher aufbewahren. Und Du kannst sie automatisch in die Passwortfelder eintragen lassen und musst keine kryptischen Zeichenfolgen mehr tippen.
Und das Beste: Das Tool ist kostenlos. Im Gegenzug solltest Du für das Projekt spenden, wenn Du das Programm regelmässig verwendest.
Fazit Passwortsicherheit
Wenn Du Dir überlegst, welche Daten Du schützen möchtest, ist der Weg hin zu sicheren Benutzerkonten durch gute Passwörter viel leichter.
Wo es um etwas geht, betreibst Du mehr Aufwand. Für Deine Finanzen und Deinen guten Ruf ist das Beste gerade gut genug. Bei allem anderen kannst Du es lockerer angehen.
Ein Tool zur Passwortverwaltung wie KeePass kann Dich hervorragend unterstützen, gute Passwörter zu erzeugen und aufzubewahren.
Ob mit Tool oder ohne. Für wichtige Daten gelten ansonsten die drei goldenen Regeln sicherer Passwörter: lang, zufällig und einmalig.
Wenn Du jetzt die Sicherheit Deiner Zugänge verbessern möchtest, dann ist der wichtigste Tipp: Schritt für Schritt. Fange langsam mit einem Zugang nach dem anderen an. Denn genau wie bei Deinen Geldanlagen bringen Hektik und unüberlegtes Vorgehen hier nichts.
Mit dem Buchautor Gerald Reischl habe ich auch schon über das Thema im Podcast gesprochen.
Über den Autor
Dr. Michael „Mitch“ Symalla ist Physiker und Datenschützer. Seit Snowdens Veröffentlichungen 2013 klärt er über Datenschutz auf und bietet Hilfe zur Selbsthilfe. Auf der „Datenwache“ bekommst Du leicht verständliche Tipps und Tricks wie Du Deine Daten und Privatsphäre im Internet schützen kann. Klicke auf datenwache.de und mach Dich im Podcast oder Blog schlau.
Über den Autor
11 Antworten
„Kriminelle probieren mit modernen Grafikkarten Millionen von Passwörtern pro Sekunde aus.“ Das wird bei den meisten Zugängen nichts nützen. Beim dritten Mal ist doch Schluss. Oder täusche ich mich?
Hallo Paul,
Carlos hat es unten genau richtig beschrieben. Es werden typischerweise Datenbanken mit Passwörter gestohlen und diese dann offline in Ruhe geknackt bzw. mit bereits existierenden Tabellen verglichen. Mehr dazu findest Du auch unter
https://www.datenwache.de/sichere-passwoerter/#Wie_kommen_Kriminelle_an_Passwoerter
Wie die Beispiele von Yahoo
https://en.wikipedia.org/wiki/Yahoo!_data_breaches
und anderen zeigen, darf man sich leider nicht auf das Verantwortungsbewusstsein der Unternehmen verlassen. Die obigen Regeln schützen bereits sehr gut. Nochmal eine deutliche Steigerung kann man durch Verwendung eines zweiten Schlüssels erzielen:
https://www.datenwache.de/2-faktor-authentifizierung-2fa/
Viele Grüße,
Mitch
Da täuscht Du Dich teilweise. Wenn man wirklich online den Zugang testet, ist das z.T. so (wobei auch das manchmal fehlerhaft implementiert sein kann).
In der Vergangenheit gab es jedoch oft große „Leaks“ bei denen quasi eine Passwort-Datenbank komplett verloren gegangen bzw. in falsche Hände gelangt ist. Das hat für den Übeltäter den Vorteil, dass er die Datei lokal bei sich liegen hat und beliebig lange mit beliebig vielen Versuchen daran rumprobieren kann.
Diese Datenbanken sollten eigentlich auch nochmal stark verschlüsselt und die Passwörter nicht im Klartext, im Idealfall als Hash oder besser noch salted hash gespeichert sein (http://www.gidf.de/salted%20hash). Das ist aber leider nicht immer der Fall. Daher immer vorsicht und oben stehende Regeln anwenden.
Gruß
Carlos
Hallo carlos und mitch,
so ganz klar ist mir das alles immer noch nicht. Wenn jemand das mathematische verfahren zur verschlüsselung entdeckt, wie auch immer, dann kann er doch jedes passwort knacken, egal wie lang, egal wie zufällig. Und passwörter von einem programm generieren zu lassen und dort sogar zu speichern, scheint mir doch auch etwas gutgläubig zu sein. Ich bin da eher mißtrauisch. Bei yahoo scheinen die passwörter bei der eingabe abgefangen worden zu sein, mein englisch ist leider nicht so gut. Da ist es dann doch auch egal, wie mein passwort aussieht. Ich verstehe das nicht. Mir ist natürlich klar, dass ich nicht 12345678 oder qwertzui oder abcdefgh verwenden kann. Weil das jeder zuerst ausprobieren würde, ob ich wirklich so doof bin. Aber nach 3 versuchen wäre meistens schluss, zumindest bei meiner bank ist das so.
Ein schönes wochenende
paul
Hallo Paul,
das war in den vorherigen Kommentaren nicht sauber formuliert: Nicht die Passwörter selber sind verschlüsselt in den Datenbanken, sondern ein so genannter Hash-Wert https://de.wikipedia.org/wiki/Hashfunktion .
Das bedeutet, man kann mit dem Hash-Wert überprüfen, ob ein Passwort mit dem ursprünglichen, für das der Hash-Wert berechnet und gespeichert wurde, übereinstimmt. Man kann nicht aus dem Hash-Wert das Passwort zurückrechnen. Und die Verfahren für diese Hash-Bildung sind bekannt und es werden im Idealfall Standardverfahren verwendet.
Diese Standardverfahren erlaube es eben nicht, aus dem Hash-Wert ein Passwort zurückzurechnen.
Was man aber machen kann ist das, was bei jeder Passworteingabe passiert: Man wählt zufällig ein Passwort, berechnet den Hash und guckt, ob man den in der Tabelle findet. Wenn ja, dann weisst Du, dass das gerade zufällig ausgewählte Passwort bei einem Account verwendet wurde. Nur durch ausprobieren und vergleichen, nicht durch zurückrechnen. Und damit ist der Account „geknackt“.
Und hier schlagen als Gegenmaßnahme die Regeln „lang“ und „zufällig“ zu:
Ein Passwort wie „123456“ probiert jeder Passwortknacker als erstes aus. „vqb789wn79VO6O8CQ4CO)(&%/&“ dauert „etwas“ länger 🙂 Und bei gleichem bekannten Verfahren ist der Account mit dem einfachen Passwort schnell geknackt, der mit dem komplizierten vermutlich nie.
Ich habe das unter
https://www.datenwache.de/sichere-passwoerter
nochmal beschrieben, auch zum anhören als Podcast.
Und Deine Vorbehalte gegen ein Programm sind natürlich, aber wirklich unbegründet. Du kannst dazu mehr unter
https://www.datenwache.de/passwortverwaltung/
lernen. Und wenn Du sichere Passwörter haben möchtest, aber trotzdem lieber auf Papier setzt (was eine akzeptable Vorgehensweise sein kann!), dann empfehle ich Dir sogenannte Passwortsätze wie hier
https://www.datenwache.de/passwoerter-merken/
beschrieben.
Dir auch ein schönes Wochenende
Mitch
Guter Artikel, vielen Dank.
Auch wenn PW-Manager wahrscheinlich in der heutigen Zeit fast schon Pflicht sind, muss ich zeitgleich immer an die Clipboard-Fishing Attacken denken. Wenn ich mich recht erinnere, war ja sogar iOS durch XcodeGhost davon zumindest zeitweise betroffen. Aber möglicherweise immer noch unwahrscheinlicher als das Keyboard-Logging, was ja mittlerweile beim Keyboard-Vollzugriff auf 3rd-Party Apps bei iOS sogar eine Einstellung geworden ist – geht so lange gut, bis irgendein Giphy-Abklatsch das wirklich mal zweckendfremdet. Und wenn dann in der Beschreibung zu lesen ist, dass beim Reaktivieren des Zugriffs auch alle in der Zwischenzeit angefallenen Daten übertragen werden können, denkt man doch gerne an die Zeiten vor 2007 zurück…
…und hier wurde auf dreiste Art versucht, ein Stück von der Finanzrocker-Aura zu hijacken, zumindest in auditiver Hinsicht… 😉
https://youtu.be/kPsQ0KNJwAA
(ich dachte immer, der Intro-Song wäre exklusiv)
Beste Grüße!
Vielen Dank für den Kommentar, Chris. Wie bist Du denn auf dieses Video gestoßen? Der Song ist nicht exklusiv und mir hat auch schonmal jemand geschrieben, dass der Song in einer Kinowerbung zu hören war. Für ein exklusives Intro hätte ich selbst komponieren lassen müssen. Aber ich nutze den Song ja schon einige Jahre und er ist eng mit meinem Podcast verbunden.
Viele Grüße und schönes Wochenende
Daniel
Hi Daniel,
das Video wurde mir tatsächlich jüngst als Werbung bei YT vorgeblendet und ich wollte natürlich dann aufgrund der Songwahl auch wissen, wer dahinter steckt – daher musste ich die fast 3 Minuten ausharren und war vermutlich damit der Tageseinzige, der eine YT-Vorblendung nicht nach 5 Sek. weggeklickt hat… eine wahrscheinlich einmalige Erfahrung 🙂
Beste Grüße!
Moin Chris.
Danke für den Kommentar.
Du hast leider recht, gegen kompromittierte Systeme helfen Passwörter alleine leider nicht. Und die installierbaren Keyboards mit ihren Berechtigungen sind da alles andere als hilfreich.
Ein zweiter Schlüssel (2FA)
https://www.datenwache.de/2-faktor-authentifizierung-2fa/
ist gegen das Abfangen von Passwörtern ein guter Schritt.
Perfekte Sicherheit gegen geknackte Accounts gibt es wohl nur ohne Accounts. Gute Passwörter und 2FA machen es den Angreifern aber extrem viel schwieriger. Und am Ende versucht jeder Kriminelle ja erstmal leicht ans Geld zu kommen …
Viele Grüße
Mitch
Ich benutze mittlerweile auf jeder Seite, egal wie wichtig die ist, ein einzigartiges und langes Passwort.
Da ich einen Passwortmanager benutze ist es da egal, ob sie kurz und gut zu merken sind.
Einmal wurde ein Account von mir gehackt und der Hacker hatte sich Zugriff auf einen Online-Account verschafft. Ich habe zum Glück schnell Gegenmaßnahmen ergriffen, war dann aber in Summe über 4h mit der Hotline des Onlineanbieters zugange, um mich zu verifizieren. War kein Spaß.
In diesem Zusammenhang sollte man auch die zweistufige Authentifizierung nutzen, wo es nur geht.
Hi Stefan, sehr gute Vorgehensweise. Genau wie Du beschreibst ist es, wenn man einmal das Drama durcherlebt hat, dann macht man es danach besser.
Wenn Du Lust hast Dich mit mir über Dein Beispiel zu unterhalten, ich würde mich freuen. Wenn Du magst kontaktier mich doch unter https://www.datenwache.de/kontakt/
Viele Grüße
Mitch