Tag des Passworts: Alles halb so wild?
von caschy | 22 Kommentare
Es gibt mittlerweile Tage für alles. Menschen oder Institutionen rufen für Dinge Tage aus. Manchmal sind diese Dinge selbstverständlich – beispielsweise Bier oder die Jogginghose. Auch diese beiden Dinge haben ihre eigenen „Feiertage“ und neben dem beliebten Backup hat auch das Passwort einen eigenen Tag. Den 1. Februar nämlich. „Ändere-Dein-Passwort-Tag“. Ist das eigentlich sinnvoll? Ich sage mit Einschränkungen: NEIN! Warum? Ganz einfach: Es kommt wie immer drauf an.
Fest dürfte sicher stehen: Es nützt das beste Passwort nichts, wenn der eigene Rechner kompromittiert ist, die Gegenstelle das Passwort nicht genügend verschlüsselt oder sich nicht gegen Brute Force absichert. Hört sich schräg an? Die Vergangenheit bewies dies leider oft. Des Weiteren nützt ein Passwort beliebiger Stärke nichts, wenn durch Phishing oder Social Engineering dieses freizügig herausgegeben wird.
Ebenfalls könnte man sicher meinen: Ein gutes Passwort ist besser als ein schlechtes. Es gibt ja immer diese Faustregeln. Mindestens acht Stellen. Sofern erlaubt: auch mit Sonderzeichen. Auf jeden Fall mit Zahl und einem Großbuchstaben. Im besten Fall soll man auch keine Geburtsdaten oder Namen von Familienmitgliedern benutzen. Die könnte man als menschlicher Angreifer ja als erstes ausprobieren.
Nun also der „Ändere-Dein-Passwort-Tag“. Mach ich das? Nö. Gehe ich nämlich davon aus, dass mein Rechner nicht kompromittiert ist und der Anbieter sauber arbeitet, ich auch ein sicheres Passwort verwende, dann ist auch alles tutti.
HPI veröffentlicht Top 10 der beliebtesten deutschen Passwörter im Netz
Da ich aber das nicht weiss, würde auch eine Änderung heute nichts bringen. Bei Einzelpersonen ist das eh anders zu bewerten als in Firmen. Da greifen normalerweise regelmäßig Regeln, das Passwort zu ändern. Und was ich oft beobachtete? Man nutzte ähnliche Passwörter oder neigte dazu, aufgrund der wechselnden Passwörter, diese aufzuschreiben. Auch nicht die beste Lösung.
Viele Wege führen nach Rom. Die einen sehen es so, die anderen so. Dass man keinen Tag braucht, um Passwörter zu ändern, sollte klar sein. Unternehmensrichtlinien zur Passwortänderungen halten sich auch nicht global an einen Tag.
Viele Passwort-Manager erlauben nicht nur das automatisierte Erinnern an eine Passwort-Änderung, sie erstellen auf Wunsch auch sehr komplexe Passwörter. Die kann sich in den meisten Fällen kein Mensch merken, sind also nicht durch bloßes Ausprobieren zu erraten.
Stattdessen greift der Nutzer bei Bedarf zum Passwort-Manager und erteilt diesem beim Login das Wort. Das durch den Passwort-Manager generierte Passwort hat einen weiteren Vorteil. Es sorgt für Einzigartigkeit, nutzt also nicht – wie wir Menschen gerne – das identische Passwort bei mehreren Diensten.
Dennoch hat der Tag eine Berechtigung. Man ruft sich wieder etwas in Erinnerung. Vielleicht nimmt man sich die Zeit. Richtet die Zwei-Faktor-Authentifizierung ein, sofern machbar. Löscht alte und nicht mehr genutzte Online-Identitäten, sofern man weiss, wo man sich überall angemeldet hat. Räumt den Passwort-Manager auf und sortiert diesen.
Empfehlung für den sparsamen Einsteiger? KeePass und Derivate. Man sollte auf allen Plattformen ein Zuhause für seine Passwörter finden. Bei viel Zeit auch einmal die Kommentare unter unseren Beiträgen zu Passwort-Managern lesen. Denn nicht immer ist in allen Beiträgen der Weisheit letzter Schluss enthalten: Wir haben großartige Kommentatoren, die oftmals tolle Tipps abgeben. Sicherlich auch unter diesem Beitrag.
Übrigens: Die neue Publikation der Landeszentrale zum Selbstdatenschutz gibt Antworten auf die Frage, wie sich sichere Passwörter einfach gestalten und leicht merken lassen, gleich ob es um Online-Banking, den Einkauf im Netz, das Mailen oder die Smartphone-Nutzung geht. Pünktlich zum heutigen Aktionstag stehen die „Tipps zum sicheren Passwort“ als PDF zur Verfügung.
Wird geladen ...
Es gibt da ja viele Ansätze, aber das muss auch zum Alltag passen. Ich zum Beispiel lege durchaus Wert darauf, dass ich mir meine Passworte merken kann. Aufgrund der Vielzahl der verschiedenen Logins nutze ich aber dennoch einen Passwort Manager, wo ich bei Bedarf nachschauen kann. Ebenso lebe ich auch damit, dass meine Passwort-Datenbank in meiner Dropbox liegt und bei Veränderungen auch entsprechend synchronisiert wird, damit ich auch abseits vom heimischen Rechner Zugriff darauf habe. Dabei ist die Passwort-Datenbank an sich schon verschlüsselt und liegt außerdem noch in einem verschlüsselten Container, zusammen mit anderen Daten.
Die Sache mit Kennworten bei Banken sehe ich nicht so kritisch, da jegliche Transaktion ohnehin separat per TAN bestätigt werden muss. Wenn also jemand tatsächlich an meine Zugangsdaten gelangt, ist das erstmal nichts, was mir zwingend wehtut. Generell sind meine Prioritäten da wohl auch anders als bei vielen anderen Nutzern. Für mich persönlich wäre es weitaus schlimmer, wenn jemand unbefugt Zugriff auf mein E-Mail-Postfach bekommt und mich dann z.B. durch eine Kennwort-Änderung aussperrt. Aber auch dieses Risiko ist durch die 2-Faktor-Authentifizierung minimiert.
Wie in anderen Bereichen des Lebens auch muss hier jeder „seinen“ Weg finden. Aber der Aufwand, den man betreibt, sollte schon in einem vernünftigen Verhältnis zum Nutzen stehen. Sicherheit und Komfort schließen sich oft aus, aber ich denke auch, dass man sich das Leben nicht unnötig schwer machen muss, Letztlich ist es doch so, wie ich es vor einer Weile mal in einem Film gehört habe: „Das beste Versteck ist vor aller Augen.“ 😉
Schöner Artikel.
Ich finde es kann garnicht oft genug gepredigt werden: Passwortmanager und 2-Faktor-Authentifizierung aktivieren, falls letzteres möglich ist!
Wie oft sehe ich auf der Arbeit Post-its mit den PWs unter den Bildschirmen.