Es ist World Password Day 2016
Der Mensch braucht in unseren Zeiten offenbar spezielle Bezeichnungen, um sich an gewisse Tage besser erinnern zu können – haben wir in diesem Jahr schon den World Backup Day und gestern den offiziellen Star Wars-Tag gefeiert, so stehen unter anderem noch der System Administrator Appreciation Day am 29. Juli und der World Password Day an. Letzterer hat heute „seinen“ Tag und soll uns eben an den elementarsten Schutz unserer Identität im Internet erinnern: Das Kennwort zum Konto unseres Vertrauens.
Grundlegend gesagt sollte mittlerweile jedem klar sein, dass ein Passwort alleine nicht mehr ausreicht – schon gar nicht für verschiedene Dienste, allenfalls für den Passwortsafe, den Ihr mittlerweile sicherlich zum grössten Teil bereits nutzt. Aber auch dieses Kennwort sollte weitaus komplexer als die Top Ten der Kennwörter sein, die jährlich zu den schlechtesten ihrer Art gekürt werden – „password“, „admin1234“, „qwertzuiop“ oder andere weniger sinnvolle Varianten sollte man sich heutzutage per se sparen.
Wie man es besser macht, möchten uns heute die einzelnen Hersteller auf der Aktionsseite des World Password Day 2016 auf verschiedenen Wegen mitteilen. Federführend gehen Intel, O2 und TeamViewer als Paten des Programms voran, speziell letztere geben ein paar findige Tipps, die Ihr aber schon bereits auf dem Schirm haben solltet. Die Quintessenz: Starke Passwörter und der Einsatz der Zwei-Faktor-Authentifizierung sind der Schlüssel zur passwortseitigen Seligkeit. Kann man eigentlich nur so unterstreichen und ich behaupte mal, ein Grossteil von Euch wird schon so sicher – Unbedarfte nennen es oft „paranoid“ – unterwegs sein.
- Nutzt immer unterschiedliche Kennwörter für unterschiedliche Dienste: Wird einmal ein Konto kompromittiert, ist die Wahrscheinlichkeit deutlich geringer, dass diese Daten genutzt werden, um auch andere Konten anzugreifen. Über das beste Beispiel, wie man ins Schwitzen kommt, haben wir gestern berichtet
- Teilt das Kennwort nicht mit anderen: Das hat nichts mit Unhöflichkeit zu tun, aber ein Passwort ist etwas Persönliches und Geheimes, was zum Beispiel auch nicht mit Freunden und Verwandten geteilt werden sollte – man weiß nie, wie die anderen das handhaben
- Ändert Eure Kennwörter regelmässig: Ist eine Heidenarbeit, wenn man das in Summe macht – nach und nach und mit Unterstützung eines Programms zur Kennwortgenerierung- und Sicherung (KeePass, LastPass, 1Password etc.) ist das aber kurz und schmerzlos bei Bedarf geregelt. Andernfalls gilt: Macht Euch einen festen Plan, wann es mal wieder an der Zeit ist, einen Rundumschlag zu machen und Hand an Eure Kennwörter zu ändern – es lohnt sich!
- Benutzt in Eurem Kennwort keine Informationen, die auf Euch als Person schliessen lassen: Keine Namen von Frau und Kind, idealerweise gepaart mit Geburtsdaten oder anderen persönlichen Informationen sollten Pflicht sein. Auch, wenn solche Daten Euch helfen, Euch an das Kennwort zu erinnern, könnten potentielle Angreifer öffentliche Daten aus sozialen Netzwerken etc. verwenden, um einen Rückschluss auf Euer Kennwort zu ziehen. Bessere Variante: Kennwörter generieren lassen, im Passwortmanager ablegen und sich nur das Hauptkennwort merken (was dann entsprechend komplex sein sollte) – fertig!
Der letzte Punkt geht quasi Hand in Hand mit den vorherigen und sollte Euer eigenes Passwortszenario entsprechend abrunden: Aktiviert dort, wo es geht, die Zwei-Faktor-Authentifizierung. Passende Tools wie der Google Authenticator, Authy oder Authenticator Plus (klasse Tip der Leserschaft übrigens) helfen Euch hier, Eure Identität zusätzlich zu den komplexeren Kennwörtern noch sicherer zu machen.
Das bedeutet zwar einen Schritt mehr und ist nicht unbedingt komfortabler, aber vor allem eins: Sicherer! Zusätzlich zu Eurem Kennwort gebt Ihr ein durch die App generierten Sicherheitscode ein oder lasst Euch einen per SMS zusenden – letzteres Mittel ist übrigens das Netz und der doppelte Boden als Backup-Authentifizierungsmöglichkeit, wenn auch mal die App gerade (aus welchen Gründen auch immer) nicht zur Verfügung steht.
Wer die oben genannten Tipps beherzigt und seine Konten dort, wo es angeboten wird, mit der Zwei-Wege-Authentifizierung absichert, hat eigentlich alles richtig gemacht und sollte erst einmal gewappnet sein.
Wie haltet Ihr das mit den Kennwörtern? Findet Ihr Euch bereits in den oben genannten Szenarien wieder oder ist das Ganze nur ein unnötiger Hype? Welche Wege nutzt Ihr, um Eure Kennwortsicherheit im Netz zu gewährleisten? Auf jeden Fall auch von uns einen schönen „World Password Day“ 2016 🙂 !
Wird geladen ...
Pasend zum Thema, kommt noch jemand der die Zwei-Faktor-Authentifzierung bei Dropbox aktiviert hat nicht mehr an sein Konto?
Sagen wir es mal so, wenn ich meine hunderte von Konten wie beschrieben handeln müsste, würde ich eher auf den Internetquatsch verzichten, und Support wäre dann ebenfalls nicht leistbar.
Außerdem sollten die Schlauschlümpfe endlich mal eine ordentliche Technologie durchsetzen, um das Passwortchaos einzugrenzen. Sowas wie einen Personalausweis für das Internet. Aber dann kann man den Nutzern ja keine echt krass sicheren Sicherheitsempfehlungen und -software mehr verkaufen, außerdem wäre mit Anonymität schluss.
by the way… Keepass ist der einzige mir bekannte PW Manager der auch seine Datenbank mit 2 Faktor Auth absichern kann
@Jan
Ist sicher Zufall, dass ich genau den benutze. Damit kann man seinem Elster-Zertifikat gleich einen sinnvollen Zweitnutzen verpassen.
Ich warte nun noch auf den „Zwei-Wege-Authentifizierung“-Day und den „Passwort-vergessen“-Day.
@Thomas: Warum sollte man auch Dropbox benutzen wollen 😉 So viele bessere Anbieter. Bei Dropbox ist lediglich der Name der sie noch hält.
Was möchte uns eigentlich das YouTube Video denn sagen?
World password day, administrator system appreciation day, bei all dem Anglizismuswahn in unserer Gesellschaft wäre ich mal für einen „drück Dich in der Landessprache Tag aus“. Wobei es nicht heißen soll, daß man wie die Franzosen alle Anglizismen verbieten soll, aber Wörter, die bereits existieren, muß man nicht erseten.
@Foxtrott Da bin ich auch absolut deiner Meinung! +1
@Bambino13: Sicher gibt es etliche andere Anbieter, aber nur wenige mit einer ähnlichen Verbreitung und Integration in andere Dienste. Welche Alternative bevorzugst Du denn?
@Jan – das war mir neu, bin allerdings auch noch nicht soooo lange mit Keepass unterwegs (vorher Lastpass). Wird 2FA über ein PlugIn bereit gestellt? Wenn ja, funktionieren dann auch Zugriffe über Drittlösungen (am Chromebook nutze ich z. B. CKP und KeeWeb) noch? Bislang habe ich die Keepass-DB „nur“ per Keyfile zusätzlich abgesichert…
Vielen Dank für die zusätzlichen Infos!
@Matze
Sind Passwort+Schlüsseldatei keine 2FA?
@Matze
Keyfile ist 2 Faktor. Da die Kombination aus Wissen und Besitz da ist. Besser ist natürlich OTP .
Ich nutze die Erweiterung OTPKeyProv mit einem YUBI Key
Klar, Keyfile ist letztlich auch 2FA. OTP wäre mir allerdings auch lieber, allerdings mit einer Authenticator App. Aber da werden spätestens beim Einsatz von Keeweb & Co. sicherlich Grenzen gesetzt sein…
Ich nutze „RoboForm EveryWhere“ seit mehr als 3 Jahren und bin sehr zufrieden – abgesehen davon, dass jährliche Gebühren fällig sind. Das Teil ist sehr komfortabel. Was ich allerdings nicht hinbekomme, ist, meine Passworte „regelmäßig“ zu ändern. Bei mehr als 500 Passworten „schaffe“ ich das weder mental noch sonstwie…
(Erschwerend kommt nämlich noch dazu, dass ich einer Software nicht traue und meine Passworte noch lokal anderweitig dokumentiere.) Für „Unbedarfte“ (DAUs) ist ein „Erinnerungstag“ sicherlich nicht verkehrt. Die „Profis“ lachen doch sowieso über die Paranoia der Passwort-Benutzer…