Tag des Passworts: Alles halb so wild?

Es gibt mittlerweile Tage für alles. Menschen oder Institutionen rufen für Dinge Tage aus. Manchmal sind diese Dinge selbstverständlich – beispielsweise Bier oder die Jogginghose. Auch diese beiden Dinge haben ihre eigenen „Feiertage“ und neben dem beliebten Backup hat auch das Passwort einen eigenen Tag. Den 1. Februar nämlich. „Ändere-Dein-Passwort-Tag“. Ist das eigentlich sinnvoll? Ich sage mit Einschränkungen: NEIN! Warum? Ganz einfach: Es kommt wie immer drauf an.

Fest dürfte sicher stehen: Es nützt das beste Passwort nichts, wenn der eigene Rechner kompromittiert ist, die Gegenstelle das Passwort nicht genügend verschlüsselt oder sich nicht gegen Brute Force absichert. Hört sich schräg an? Die Vergangenheit bewies dies leider oft. Des Weiteren nützt ein Passwort beliebiger Stärke nichts, wenn durch Phishing oder Social Engineering dieses freizügig herausgegeben wird.

Ebenfalls könnte man sicher meinen: Ein gutes Passwort ist besser als ein schlechtes. Es gibt ja immer diese Faustregeln. Mindestens acht Stellen. Sofern erlaubt: auch mit Sonderzeichen. Auf jeden Fall mit Zahl und einem Großbuchstaben. Im besten Fall soll man auch keine Geburtsdaten oder Namen von Familienmitgliedern benutzen. Die könnte man als menschlicher Angreifer ja als erstes ausprobieren.

Nun also der „Ändere-Dein-Passwort-Tag“. Mach ich das? Nö. Gehe ich nämlich davon aus, dass mein Rechner nicht kompromittiert ist und der Anbieter sauber arbeitet, ich auch ein sicheres Passwort verwende, dann ist auch alles tutti.

HPI veröffentlicht Top 10 der beliebtesten deutschen Passwörter im Netz

Da ich aber das nicht weiss, würde auch eine Änderung heute nichts bringen. Bei Einzelpersonen ist das eh anders zu bewerten als in Firmen. Da greifen normalerweise regelmäßig Regeln, das Passwort zu ändern. Und was ich oft beobachtete? Man nutzte ähnliche Passwörter oder neigte dazu, aufgrund der wechselnden Passwörter, diese aufzuschreiben. Auch nicht die beste Lösung.

Viele Wege führen nach Rom. Die einen sehen es so, die anderen so. Dass man keinen Tag braucht, um Passwörter zu ändern, sollte klar sein. Unternehmensrichtlinien zur Passwortänderungen halten sich auch nicht global an einen Tag.

Viele Passwort-Manager erlauben nicht nur das automatisierte Erinnern an eine Passwort-Änderung, sie erstellen auf Wunsch auch sehr komplexe Passwörter. Die kann sich in den meisten Fällen kein Mensch merken, sind also nicht durch bloßes Ausprobieren zu erraten.

Stattdessen greift der Nutzer bei Bedarf zum Passwort-Manager und erteilt diesem beim Login das Wort. Das durch den Passwort-Manager generierte Passwort hat einen weiteren Vorteil. Es sorgt für Einzigartigkeit, nutzt also nicht – wie wir Menschen gerne – das identische Passwort bei mehreren Diensten.

Dennoch hat der Tag eine Berechtigung. Man ruft sich wieder etwas in Erinnerung. Vielleicht nimmt man sich die Zeit. Richtet die Zwei-Faktor-Authentifizierung ein, sofern machbar. Löscht alte und nicht mehr genutzte Online-Identitäten, sofern man weiss, wo man sich überall angemeldet hat. Räumt den Passwort-Manager auf und sortiert diesen.

Empfehlung für den sparsamen Einsteiger? KeePass und Derivate. Man sollte auf allen Plattformen ein Zuhause für seine Passwörter finden. Bei viel Zeit auch einmal die Kommentare unter unseren Beiträgen zu Passwort-Managern lesen. Denn nicht immer ist in allen Beiträgen der Weisheit letzter Schluss enthalten: Wir haben großartige Kommentatoren, die oftmals tolle Tipps abgeben. Sicherlich auch unter diesem Beitrag.

Übrigens: Die neue Publikation der Landeszentrale zum Selbstdatenschutz gibt Antworten auf die Frage, wie sich sichere Passwörter einfach gestalten und leicht merken lassen, gleich ob es um Online-Banking, den Einkauf im Netz, das Mailen oder die Smartphone-Nutzung geht. Pünktlich zum heutigen Aktionstag stehen die „Tipps zum sicheren Passwort“ als PDF zur Verfügung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

22 Kommentare

  1. Das beste Passwort ist lächerlich, wenn man dann andererseits so leichtgläubig ist und einen Closed-Source-Passwortmanager nutzt, dem man dann auch noch Internetzugriff gewährt.

    Wenn schon Passwortmanager, dann Open Source. Und niemals dem Passwortmanager Internetzugriff geben, sondern mit einer anderen App syncen.

  2. Deshalb: Keepass und Keepass2Android. Erstens ist das Open Source. Und zweitens gibt’s von Keepass2Android eine Offline-Version, die keinen Internetzugriff braucht. Synchronisieren kann man die Passwörter dann mit anderen Apps wie FolderSync.

  3. Was ich beim Thema Passwort immernoch unglaublich finde: Banken fordern lächerliche 5-stellige Passwörter die nicht einmal Sonderzeichen enthalten dürfen. Klar, da sind vielleicht noch andere Mechanismen im Hintergrund aber – gehts noch?
    Ansonsten nutze ich inzwischen für neue Logins generierte Passwörter – so lange und so kompliziert es die Seiten nur zulassen…

    Und Passwörter per Cloud zu syncen (Dropbox oder auch die Lösungen der Anbieter) ist einfach ein NoGo. Dann kann ich die auch gleich im Chromebrowser speichern…

  4. Nur nicht übertreiben. Regelmäßig sollte man die Passworte wechseln, die „Geld kosten“. Das wären z.B. Passworte für Online-Banking, Online-Shops oder sonstige „wichtige“ Dienste. Beim Rest sollte man unterschiedliche Passworte wählen. Passworte mit einem Passwortgenerator erstellen lassen, „hilft dem Menschen“, mal anders zu denken…
    2-Faktor-Authorisierung (z.B. SMS aufs Handy) sichert zusätzlich ab. Ich nutze seit Jahren (kostenpflichtig) Roboform (die Kritik daran ist mir bekannt.).
    Ich „bastele“ schon seit langer Zeit an anderen Lösungen, auch hardwareunterstützt, bin aber noch nicht weitergekommen. Meine Erfahrung ist, dass Hersteller (Hard- und Software), die sich mit Sicherheit beschäftigen, irgendwie paranoid sind. Die Lösungen sind für „OttoNormalverbraucher“ einfach nicht verwendbar. (So habe ich z.B. einen Security-USB-Stick, dessen default (werksseitig eingestelltes) Passwort ich zwar über eine numerische Tastatur auf dem Stick aktivieren kann, bin aber zu blöde, ein eigenes Passwort einzugeben und zu aktivieren (und das bei Kosten von 100 Euro)).
    So ist das Leben.
    Wie immer, so gilt auch im Internet: Augen auf im Strassenverkehr (vor dem Tun sollte man das Gehirn einschalten). Eub „Erinnerungstag“ sollte jedem die Passwortproblematik bewußt machen. Das reicht ja schon. Eigentverantwortlich handeln muss jeder für sich alleine.

  5. Wie beurteilt ihr das Passwort File per Dropbox zu synchen, aber zusätzlich eine Schlüsseldatei zum öffnen lokal zu haben? Der Komfort eines Dropbox Sync ist nicht zu verachten..ohne die Schlüsseldatei und ohne Masterpasswort kann ja niemand etwas mit der Passwort Datenbank anfangen?

  6. @Max Stellt eigentlich kein Problem da. Ich mache es genau so, zwar nicht mit Dropbox aber das ist ja egal. Nur die Passwort File ist wertlos ohne den Schlüssel.

    @topic
    Mehr muss man zu Kennwortrichtlinien nicht sagen: https://xkcd.com/936/

  7. @Max:
    Legt Dir eine NAS zu und installiere Owncloud/Nextcloud. Da kannst Du super synchen und das Ding hat noch andere Vorteile. Man kann sich z.B. ziemlich gut von Google und seinen Diensten lossagen. Geht natürlich nur, wenn man einen akzeptablen Upload hat. 1 MBit sollen es schon sein.

  8. Möglichst sichere Passwörter sind wichtig, keine Frage. Aber…

    Nun mal zur Realität: Man soll sich für jeden Dienst ein kryptisches Passwort einfallen lassen und irgendwie merken. Aufschreiben fällt aus. Passwortmanager sind teilweise böse.

    Dann gebt mir mal enen wirklich praktikablen Tipp, wie man das mit mehreren Dutzend, wenn nicht hunderten von Passwörtern machen soll.

  9. >Regelmäßig sollte man die Passworte wechseln, die „Geld kosten“. Das wären z.B. Passworte für Online-Banking, Online-Shops oder sonstige „wichtige“ Dienste.

    Aber warum? Im Grunde ist das ja eine Form von Forward Secrecy, aber damit das wirksam wird, müsste man viel öfter als z.B. alle drei Monate das Passwort wechseln. Wenn ich davon ausgehe, dass das Passwort in einer so relativ kurzen Zeitspanne geknackt werden kann, dann habe ich ja schon verloren. Jedes Jahr verdoppelt sich die Leistung von Grafikchips, die zufällig besonders gut darin sind Passwörter knacken zu können. Konsequenterweise müsste man dann auch jedes Jahr die Zeit, in der man seine Passwörter ändert, halbieren.

    Viel sinnvoller wäre eigentlich, dass ich von der schlechtesten (schnellsten) Hashing-Methode für Passwörter ausgehe und anhand dessen ein Passwort generiere, das unter der Annahme von so und so viel Rechenleistung nicht in für mich relevanter Zeit geknackt werden kann.

    Man muss es auch einmal so sehen: Wenn das Knacken des Passworts unglaublich viel Rechenleistung / Energie benötigt und dadurch hohe Kosten verursacht, dass es für den Angreifer nicht mehr lohnenswert ist, dann hat man ja sogar schon gewonnen. Es muss nicht einmal „perfekt“ sicher sein. Um dafür ein Gespür zu bekommen, kann man hier ein bisschen mit der Länge und Zeichen von Passwörtern rumspielen und sehen, wie resistent die gegen bestimmte Angreifer sind: https://www.grc.com/haystack.htm

    Der Test bezieht natürlich nicht die Entropie mit ein. Gute Passwörter werden erst dadurch sicher, dass man irgendwie sicherstellt, dass die Zeichen alle jeweils zufällig (also gleich wahrscheinlich) ausgewählt worden sind. Das kann durch einen ungezinkten Würfel passieren oder durch einen elektronischen Passwortmanager, der den „Zufall“ aus dem kryptographisch sicheren Zufallszahlengenerator des Betriebssystems bezieht, der genau dafür gemacht worden ist. Das sollte man auch strikt so handhaben, weil Menschen leider sehr schlecht darin sind, Zufall bewusst zu erzeugen. Das kann man sehr leicht mit einem Selbsttest überprüfen: http://people.ischool.berkeley.edu/~nick/aaronson-oracle/

    Für wichtige Dinge sollte man sich aber auch nicht auf ein Passwort verlassen, sondern auf 2FA. U2F ist ja groß im Kommen. Gerade U2F ist so klasse, weil es zusätzlich auch noch gegen Phishing resistent ist. Die Empfehlung von Thomas Ptáček für ein komfortables und sicheres 2FA-Setup ist vielleicht für einige ganz nützlich: https://twitter.com/tqbf/status/824703544888619009

    Ich glaube auch nicht, dass die meisten Nutzer nur elektronische Passwortmanager nutzen sollten. Für viele Leute ist es wahrscheinlich tatsächlich ein besserer Kompromiss, ihre Passwörter auf Papier aufzuschreiben und sicher zu verwahren. Das sieht Bruce Schneier jedenfalls so: https://www.schneier.com/blog/archives/2005/06/write_down_your.html

  10. @Michael Oeser
    Ein praktikabler Tipp ist Keepass.

    Das Programm ist OpenSource und die Datenbank liegt da wo du sie hinlegst.
    Damit lassen sich sehr gut tausende Zugänge sehr leicht Organisieren.
    Einen Passwortgenerator brigt das tool auch mit.

  11. Die Passwort merken Funktion im Firefox Browser unter Extras Einstellungen Sicherheit kann man mit einem Master Passwort verschlüsseln. Ich finde das persönlich die beste Möglichkeit wenn man den Rechner aus der Hand gibt-geben muß (Reperatur). Sonst könnte ja jeder rein und wenn man selbst nachschauen muß gibt man auch das MasterPW ein. Fertig! Bei Crome und IE weiß ich nicht wo das PW gespeichert ist und von einem MasterPW habe ich auch noch nichts gehört….

  12. @Fraggle: Ich habe ein NAS zuhause, ist aber ein alter 4 Bay Qnap. Der Stromverbrauch würde mich killen wenn ich diesen 24/7 laufen lasse.
    SSD im NAS wäre eine Option bei weiterem Preisverfall.

  13. @max, Quatsch wer einen nas hat das dieser aus ist hätte auch ne usbplatte nehmen können!
    Habe selbst seit Jahren nas erst 2fach, denn 4fach jetzt 5fach das ding läuft wie meine Fritz 24/7!
    Nutze den als fileserver, Kalender- & Kontakteserver, für aufnahmen per NFS usw.

    Aber zurück zum Thema, heute stand doch bei heise: facebook will „der“ passwortspeicher werden

  14. bruderlustig says:

    @Michael Oeser
    Wenn du nur an einem Rechner viele Passwörter benötigst, lege dir eine Textdatei mit den Daten an. Den Inhalt der Datei „verschlüsselst“ du mithilfe der Seite rot13.com.

    Die Textdatei komprimierst du mit einem nicht so geläufigen Packprogramm, welches aber eine Passwortverschlüsselung unterstützt. Die gepackte Datei bekommt einen nach dem jeweiligen OS (Windows, macOS) klingenden Namen (also Endung in bspw. .dll oder .plist ändern oder die Endung komplett weglassen) und du kopierst sie z. B. in irgendeinen Windows-Unterordner bzw. Library-Ordner bei macOS. Dann legst du dir auf einem USB-Stick zwei Batch-Dateien an, welche für dich die Ent-/Verschlüsselung übernehmen.

    Das Geschriebene ist mit etwas Augenzwinkern zu sehen, denn eine One-Klick-Lösung ist es nicht und auch etwas mit Kanonen auf Spatzen geschossen, im Kern gebe ich aber nur wieder, was mir ein Hacker über seine Sicherheitsvorkehrungen gesagt hat.

    Die ROTxx-„Verschlüsselung“ sorgt in Kombination mit der Kompression dafür, dass bei einem Scan nach Dateinhalten wirklich kein Klartext auftaucht. Nachteil ist natürlich, dass jeder Packer im Header der Datei seine Signatur hinterlässt. Aber sofern NSA, BND und Konsorten Zugriff auf deinen Rechner haben, ist ohnehin alles zu spät.

    Du kannst das natürlich auch komplett auf dem USB erledigen, solche Dinge wie Boxcryptor für Dropbox hernehmen, es mit VeraCrypt versuchen oder Bild-Steganographie benutzen. Es gibt viele Möglichkeiten außerhalb der Passwortmanager.

  15. Super Sache…und jetzt wieder zum den „normalen“ Menschen, die ihre Passwörter verwalten müssen. Also z.B meiner Schwiegermutter, oder meinem Nachbarn der Schreinermeister. Die sind nämlich schon bei der zweiten Zeile der Anleitung mit großen Augen ausgestiegen 😉

    Und nun im Ernst: Die Sache ist leider für den normalen User (der auch leicht 20+ Passwörter verwalten muss) unheimlich komliziert und in der täglichen Praxis kaum zu leisten. Leider.

  16. >Die sind nämlich schon bei der zweiten Zeile der Anleitung mit großen Augen ausgestiegen

    Für manche Sachen gibt es eben keine Patentlösung, so schade das auch ist. Passwörter sind eben ein sehr archaisches Konzept im Web, mit dem man sich irgendwie arrangieren muss. Deiner Schwiegermutter bleibt da nur übrig eine mündige Entscheidung zu treffen oder alles zu ignorieren und sich dem Risiko auszusetzen gehackt zu werden. Für mich ist das aber ok, ich gestehe Leuten die Freiheit ein, auch einmal bewusst (aus meiner Sicht) Fehler zu machen. Jeder hat eben andere Prioritäten im Leben.

    Ansonsten könntest du dir auch einmal Diceware-Listen angucken. Damit kann man ohne elektronische Hilfsmittel sichere Passwörter generieren, die man sich leicht merken kann. Kann man natürlich auch auf Papier aufschreiben und sicher verwahren. Einzige Voraussetzung ist eine entsprechende Liste und ein paar ungezinkte Würfel: http://world.std.com/~reinhold/diceware.html

  17. @Michael Oeser
    Nimmst du 1Password und gut ist. Und lass dich nich von Nörglern beeinflussen die meinen es wäre Closed Source. Das Schlüsselbund-Format, also der Teil in der die Passwörter verschlüsselt gespeichert werden, ist offen und dokumentiert.

  18. PS: und bevor wieder mimimi kommt, ja, Alternativen gibt’s auch. Enpass, Keepass, etc.

  19. bruderlustig says:

    @Michael Oeser
    Du hattest leider nicht geschrieben, in welchem Umfeld und wer mit welcher Kenntnis eine Lösung einsetzen will. Für dein Einsatzszenario sind Passwortmanager die beste Wahl. Wie @Kalle schon schrieb, gibt es mehrere empfehlenswerte Programme/Apps dafür, wobei ich persönlich zu Enpass tendiere – aber das ist wie geschrieben nur eine persönliche Einschätzung.

    Im Allgemeinen sollte man aber die wirklich reelle/reale Gefahr dem möglichen Verlust gegenüberstellen, die eigenen Erfahrungen der letzten Jahre und den jeweiligen Wissenstand des einbeziehen usw. usf.

    Ich behaupte mal, dass niemand aus der Leserschaft dieses Blogs von Geheimdiensten oder Hackergruppen verfolgt/angegriffen wird. Deshalb sind IT-Forensik-Angriffe auf den jeweiligen Rechner unwahrscheinlich. Eine Absicherung, die gegen die NSA schützen kann, ist also vollkommen unnötig.

    Außerdem ist es wie bei vielen Dingen: Die meisten Menschen wollen sich nicht mit der Materie auseinandersetzen und die mögliche einfachste Bedienung haben. Das kann eine Massen-Software aber nicht abbilden, denn diese muss Anwender mit zig verschiedenen Vorkenntnissen und Vorlieben einfangen – so etwas kann nur über die Vereinfachung, sprich Vereinheitlichung, erreicht werden.

    Entweder man beschäftigt sich mit dem gesamten Thema und ist bereit, dafür eine steilere Lernkurve und Vorarbeiten in Kauf zu nehmen oder man nimmt die Convenience-Version mit allen eventuellen Nachteilen. That’s it.

  20. Der Aufruf, genau heute sein Passwort zu ändern, macht bei all jenen Sinn, die bislang 12345, Hallo oder Passwort verwendet haben. Wenn sich nur jedes Jahr ein paar davon überreden lassen….

  21. Es gibt da ja viele Ansätze, aber das muss auch zum Alltag passen. Ich zum Beispiel lege durchaus Wert darauf, dass ich mir meine Passworte merken kann. Aufgrund der Vielzahl der verschiedenen Logins nutze ich aber dennoch einen Passwort Manager, wo ich bei Bedarf nachschauen kann. Ebenso lebe ich auch damit, dass meine Passwort-Datenbank in meiner Dropbox liegt und bei Veränderungen auch entsprechend synchronisiert wird, damit ich auch abseits vom heimischen Rechner Zugriff darauf habe. Dabei ist die Passwort-Datenbank an sich schon verschlüsselt und liegt außerdem noch in einem verschlüsselten Container, zusammen mit anderen Daten.
    Die Sache mit Kennworten bei Banken sehe ich nicht so kritisch, da jegliche Transaktion ohnehin separat per TAN bestätigt werden muss. Wenn also jemand tatsächlich an meine Zugangsdaten gelangt, ist das erstmal nichts, was mir zwingend wehtut. Generell sind meine Prioritäten da wohl auch anders als bei vielen anderen Nutzern. Für mich persönlich wäre es weitaus schlimmer, wenn jemand unbefugt Zugriff auf mein E-Mail-Postfach bekommt und mich dann z.B. durch eine Kennwort-Änderung aussperrt. Aber auch dieses Risiko ist durch die 2-Faktor-Authentifizierung minimiert.
    Wie in anderen Bereichen des Lebens auch muss hier jeder „seinen“ Weg finden. Aber der Aufwand, den man betreibt, sollte schon in einem vernünftigen Verhältnis zum Nutzen stehen. Sicherheit und Komfort schließen sich oft aus, aber ich denke auch, dass man sich das Leben nicht unnötig schwer machen muss, Letztlich ist es doch so, wie ich es vor einer Weile mal in einem Film gehört habe: „Das beste Versteck ist vor aller Augen.“ 😉

  22. Schöner Artikel.
    Ich finde es kann garnicht oft genug gepredigt werden: Passwortmanager und 2-Faktor-Authentifizierung aktivieren, falls letzteres möglich ist!
    Wie oft sehe ich auf der Arbeit Post-its mit den PWs unter den Bildschirmen.