Passwörter

April 10, 2017

Technischer Datenschutz: Passwörter

Der wichtigeste Tipp für Passwörter ist: Sichere nicht erratbare Passwörter verwenden, für jede Seite ein anderes Passwort verwenden und einen Passwortmanager installieren um sich die Passwörter nicht merken zu müssen.

Warum Passwortmanager?

Viele Leute benutzen nur wenige Passwörter für alle Seiten die sie besuchen. Wird nur eine Seite davon gehackt, kann das Passwort auch auf allen anderen benutzt werden. Der Grund nur wenige Passwörter zu benutzen ist, dass es schwer ist sich viele (sichere) Passwörter zu merken.

Unsichere Passwörter sind selbst mit starker Verschlüsslung schnell gehackt und auch sichere Passwörter sind gefährdet, weil viele Seiten sie unverschlüsselt speichern.

Fatal ist, wenn gerade das E-Mailpasswort mit dem Passwort einer Seite übereinstimmt. Wird die Datenbank der Seite dann gehackt, hat der Hacker das Passwort und die E-Mailadresse und kann es direkt nutzen um fremde E-Mails zu lesen. Das ist besonders gefährlich, weil die meisten Seiten es erlauben das Passwort mit Hilfe der E-Mailadresse zurückzusetzen. Das heißt wer das E-Mailpasswort hat, kann sich Zugang zu fast allen Accounts verschaffen. Deswegen ist es eine gute Idee gerade für den E-Mailaccount ein besonders kompliziertes Passwort zu verwenden, das nirgendwo sonst verwendet wird.

Ein Passwortmanager hilft hier für jede Seite ein eigenes kompliziertes Passwort zu benutzen ohne es zu vergessen.

Im Browser eingebaute Passwortmanager sind eine gute Wahl

Der im Browser eingebaute Passwortmanager hat den Vorteil, dass er automatisch erkennt ob das Passwort zur Seite gehört. Hat man das Passwort auf www.paypal.com eingespeichert wird es auf www.paypal-fake.com nicht eingefügt, wenn man es dort nicht neu eingibt. Damit hilft der Passwortmanager hier auch betrügerische Seiten zu erkennen.

Schließlich ist noch ein Vorteil, dass man keiner fremden Software vertrauen muss. Der Browser kann jedes eingegebene Passwort mitlesen, sodass man ihm sowieso vertrauen muss. Da ist das einspeichern der Passwörter im Browser nicht gefährlicher als das verwenden des Browsers selber. Bei externen Passwortmanagern sollte man gut darauf achten, ob sie von einer vertrauenswürdigen Firma kommen und ggf. ob die den Ruf hat unsichere Software herzustellen.

Es ist auf jeden Fall zu empfehlen für den Passwortmanager ein Masterpasswort zu verwenden, das beim ersten Passwort nach dem Start des Browsers eingegeben werden muss um den Passwort-Safe zu entsperren. Sonst kann jeder Computervirus direkt die ganze Passwortliste klauen.

Der Nachteil von in den Browsern eingebauten Passwortmanagern ist, dass sie meistens keine Funktion enthalten um für eine Seite ein sicheres Passwort zu generieren. Dazu muss also ein anderer Passwortgenerator verwendet werden.

Wie benutze ich die Passwortmanager der Browser?

Bei anderen Passwortmanagern ist es zu empfehlen auch die entsprechende Browserintegration zu installieren, außer man weiß genau was man tut.

Passwort synchronisieren: Segen oder Fluch?

Firefox bietet mit "Firefox Sync" eine Möglichkeit Browserdaten von mehreren Geräten auf dem gleichen Stand zu halten, unter anderem auch die gespeicherten Passwörter. Chrome ermöglicht das gleiche über den Googleaccount, wenn man sich im Browser damit einlogged.

Die Funktionen haben Vor- und Nachteile.

Der Vorteil ist, dass man überall die Passwörter hat und damit vermeidet einige vielleicht doch eher unsicher zu wählen, weil man sie häufig auf anderen Geräten braucht.

Der Nachteil ist, dass Passwörter die "in der Cloud" liegen auch bei Datenpannen der Dienste verloren werden können. Etwas das nur auf dem eigenen PC liegt ist ein überschaubares Risiko, Cloud hingegen ist ein modernes Wort für "Computer anderer Leute" ;-).

Sichere Passwörter

Die ganze Mühe ist natürlich immer noch nicht sicher, wenn man unsichere Passwörter benutzt. Daher lohnt es sich entweder Passwörter zu generieren (bei guten Funktionen dazu punkten vor allem die externen Manager) oder ein sicheres System zum finden von Passwörtern zu benutzen.

Der erste Tipp ist: Die Länge machts! Ein Buchstabe von A-Z macht 26 Passwörter, nimmt man A-Z und 0-9 sind es 36 mögliche Passwörter. Wenn man aber zwei Buchstaben von A-Z nimmt ergeben sich 676 mögliche Passwörter. Die Folgerung ist ganz klar: Lieber ein Passwort mit 16 Zeichen oder mehr mit wenig Zahlen und Sonderzeichen als ein 8 Zeichen Passwort mit so viel Zeichensalat dass es auch schwer zu merken ist.

Passwort? Warum keine Passphrase? Ein Passwort wie "K#(Ll$5]" ist schwer zu merken und schwierig zu tippen, gerade wenn man schnell blind tippen kann. Eine Passphrase wie "Wenn-lila-Hasen-abends-um-11-Kohlrabi-kochen" ist nicht nur sehr sicher, sondern auch einfach zu merken und schnell zu tippen. Und man hat sie jetzt schon im Gedächtnis. (Comic dazu[englisch]).

Wenn man sich einen solchen Satz komplett selber ausdenkt sollte man darauf achten, dass er "komisch" genug ist um nicht erraten zu werden. "Haenschen-klein-ging-allein-in-den-Wald-hinein" ist also nicht so gut geeignet, obwohl es gegenüber Hackern die einfach stumpf alle Buchstabenkombinationen durchprobieren trotzdem sehr sicher ist. Aber ein Mensch der die Methode kennt könnte auf die Idee kommen Zitate, Sprichwörter und Volkslieder einmal auszuprobieren und muss damit viel weniger Passwörter ausprobieren.

Eine sichere Passphrase: Diceware

Die Fantasie ist meistens nicht so kreativ, wie man denkt. Die Hasen oben kochen Kohlrabi. Lecker. Gummireifen wäre aber vielleicht besser, weil das kochen von Gemüse ja erraten werden könnte.

Also kann man doch ein System das einem zufällige aber merkbare Worte generiert nehmen. Eine weit verbreitete sichere Methode ist Diceware, bei der man mit einem Würfel und einer Wortliste die man runterladen kann sichere Passphrases generieren kann.

Sicher und leicht zu merken mit einem Reim

Eine weitere Idee ist, ein Passwort mit sechs Wörtern und Reim[englischer Artikel] zu verwenden. Die Idee dabei ist, dass sich auch ein langes Passwort mit einem Reim leicht merken lässt.

Passwortmanager? Oder doch offline?

Wer hat es noch nicht gehört: Passwörter bloß nie irgendwo aufschreiben!

Aber stimmt das? Der Zettel am Bildschirm ist sicher eine schlechte Idee und der unter der Tastatur nur wenig besser. Aber aufschreiben allgemein ist nicht immer eine schlechte Idee.

Ein aufgeschriebenes Passwort kann nicht durch einen Computervirus geklaut werden, auch der eifersüchtige Partner kann nicht den Passwortmanager (ohne Masterpasswort) auf dem PC nutzen um heimlich E-Mails zu lesen. Man muss das Passwort nur an einer Stelle verwahren, wo es sicher ist.

Eine Möglichkeit ist hier ein Zettel im Portemonaie. Warum dort? Wenn einem der Geldbeutel geklaut wird, hat man sowieso ein Problem und viel zu tun. Die Bankkarte muss gesperrt werden. Und die Kreditkarte. Und vielleicht muss man den Ausweis neu beantragen. Da ist das ändern aller Passwörter nur ein weiterer Schritt den Schaden zu beseitigen, wenn man schon einmal dabei ist.

Und das Schützen seines Portemonaies ist etwas, das jeder versteht. Egal ob der Computerfreak oder nur gelegentlicher Nutzer, wie man vermeidet wertvolles Papier zu verlieren hat man von klein auf gelernt und ist meistens ziemlich gut darin.

Dafür sollte man natürlich gegebenenfalls eine Liste der Accounts (ohne Passwörter) noch irgendwo anders aufgeschrieben haben. Und das E-Mailpasswort sollte nie aufgeschrieben oder abgespeichert sein, weil es wie oben schon erwähnt der Generalschlüssel für alle anderen Accounts ist, der zum Beispiel hier benutzt wird um die verlorenen Passwörter zurückzusetzen.

Kategorien Datenschutz Sicherheit Software
Tagged Passwörter Passwortmanager technischer Datenschutz
Mobil qrcode zeigen

0 Kommentare

Dez. 7, 2014

Links (109)

Kategorien Links
Tagged Aufschrei Hass Non-White Heterosexual Male License iCloud VG Media Nacktbilder Smartphone Intel Pentium Witze E-Mail Sicherheit Fiber Blumen Windows EFF Scorecard Messenger Crypto Fuzzing JPEG JPG WhatsApp Häkchen Lesen Österreich Schüler Frauen Kindermädchen Verführung Detekt Passwörter JavaScript Golf Patent SystemD Chilling Effects Überwachung
Mobil qrcode zeigen

0 Kommentare

Feb. 22, 2014

Links (102)

Kategorien Links
Tagged Opera Tetzchner Vivaldi MyOpera Fische Gestapo Stasi NSA Wrapper Download Dark Patterns Flappy Bird Bert Constanze Kurz Passwörter TV UK Milliardenmarkt King.com CandySwipe CandyCrush PGP E-Mail Verschlüsslung Brasilien Handy ausspionieren Thilo Weichert WhatsApp
Mobil qrcode zeigen

0 Kommentare

Juli 28, 2013

Links (93)

Kategorien Links
Tagged Amazon Python Myth 7-bit Internet EU Vorratsdatenspeicherung Cisco Router Journalismus Smartphone Baden-Württemberg Lehrer Facebook E-Mail Provider Verschlüsslung Lücken Passwörter Spiegel SPON Chat mind reader Handy
Mobil qrcode zeigen

0 Kommentare

April 23, 2013

Links (88)

1. April:

Drosselkom (Telekom führt in ihren DSL-Tarifen eine Drosselung ein):

Kategorien Links
Tagged pin-up Katzen Cats Girls Schrödinger Fedora Release Name Windows 8 Nordkorea Ratentest Google Hilfe Skandal Georgetown Universität Kunden Kommentare Poster Mathematiker namen Fefe Lizenz Bashing Raubkopien Piraten Software Spiele Kultur Eichhörnchen Nerd Hacker Phreaker Insider 1. April SystemD Soundcloud Gmail blue Drosselkom Telekom Internet Ende Daten Drosselung Mondlicht Fotovoltaik Mikrowelle Geruch Suche Linux-Distribution Pro-Linux fuzzy Passwörter
Mobil qrcode zeigen

0 Kommentare

Nov. 11, 2012

Links (82)

Kategorien Links
Tagged Amazon DRM Handy Hoax topological Girls Generation Math Protest SVM Bayesians genetic Algorithms Passwörter USB charger Ladegeräte teuer Buch Impressum originell Bücherregal geheim Türen tablets Tablet-PCs Einssatzzwecke Webdesign Schablone Fibonacci Schubladen
Mobil qrcode zeigen

0 Kommentare