Verantwortungsvoller Umgang mit Zugangsdaten

debby-hudson-627097-unsplash.jpg

Viele Anwendungen, viele Passwörter

Benutzernamen und vor allem Passwörter werden oft als etwas Lästiges empfunden. Da man eine Vielzahl an unterschiedlichen Plattformen nutzt, muss man sich ständig neue Passwörter für verschiedene Accounts und Anwendungen ausdenken. Da es viele Kriterien gibt, die beachtet werden müssen, ist man schnell genervt. Dabei erfüllen Passwörter den gleichen, wichtigen Zweck wie der Wohnungs- oder Autoschlüssel: Sie verhindern das Eindringen von unbefugten Drittpersonen.

Jedoch: Passwort ist nicht gleich Passwort! Nicht nur das Passwort selbst bestimmt die effektive Sicherheit, sondern vor allem auch der Umgang damit.

Es gibt 4 zentrale Punkte, an die man sich generell halten sollte:

  • Sichere Passwörter von mindestens 8 Zeichen verwenden (Gross-/Kleinschreibung, Zahlen und, wenn möglich, Sonderzeichen).

  • Das gleiche Passwort nicht auf verschiedenen Webseiten oder Services verwenden.

  • Passwörter niemals per E-Mail (oder WhatsApp, etc.) verschicken oder auf Zettel schreiben.

  • Wenn verfügbar, Zwei-Faktor-Authentisierung (2-FA) nutzen (SMS oder Yubikey). Siehe dazu unser separater Blog-Post.

Passwort Manager

Bei der Flut an Zugangsdaten ist es heutzutage fast unmöglich, sich sämtliche Passwörter zu merken. Deshalb empfehlen wir Dir, diese in einem Passwort Manager abzulegen. Das ist nicht nur einfacher, sondern auch sicherer.

Dafür gibt es nicht nur die eingebauten Funktionen der Browser, sondern auch spezialisierte Programme wie 1Password, Dashlane, Enpass, KeePass oder LastPass.

Bei einigen Betriebssystemen und Browsern lassen sich die dort gespeicherten Passwörter einfach auslesen. Im Gegensatz dazu werden die in einem Passwort Manager gespeicherten Passwörter zusätzlich durch ein Master-Passwort geschützt. Dieses stellt eine zusätzliche Sicherheitshürde dar.

Die schlechte Nachricht: Das Master-Passwort für Deinen Passwort Manager solltest Du auf keinen Fall irgendwo abspeichern oder aufschreiben - am Besten lernst Du es auswendig.

Die gute Nachricht: Es ist das letzte Passwort, welches Du Dir merken musst.

Das Master Passwort sollte natürlich keinesfalls aus etwas «Offensichtlichem» wie dem Namen oder dem Geburtstag des Partners, der Kinder oder des Haustieres bestehen (Stichwort «Social Engineering»). 

Die initiale Hürde einen Passwort Manager zu installieren und einzurichten ist für viele Menschen hoch. Danach geniesst Du jedoch so einige Vorteile:

  • Du musst Dich nur noch an ein einziges Passwort erinnern.

  • Du musst Dir keine Gedanken mehr über neue, sichere Passwörter mehr machen - diese Aufgabe übernimmt von nun an Dein Passwort Manager.

  • Du musst die komplexen Passwörter nicht mehr manuell eintippen.

  • Je nach Tool und Einstellungen kannst Du auf dem Handy die Zugangsdaten vom Desktop-Computer nutzen.

  • Du hast stets eine Übersicht, wann Du welche Zugangsdaten erstellt bzw. abgelegt hast.

 
Hier siehst Du ein Beispiel, wie ein Passwort Manager (in diesem Fall Enpass) funktioniert:

Quelle:    Enpass.io

Quelle: Enpass.io

Was Du sonst noch WISSEN sollteST

Verschlüsselte Übertragung von Daten

Wird eine Webseite vom Browser als unsicher gemeldet, dann ist Vorsicht geboten. Eine sichere Übertragung Deiner Zugangsdaten ist in diesem Falle nicht gewährleistet.

Warnung des Browsers, dass die Übertragung von Daten unsicher ist.   Quelle:    GlobalSign

Warnung des Browsers, dass die Übertragung von Daten unsicher ist.

Quelle: GlobalSign

Phishing Mails

Einer der beliebtesten Wege um an fremde Zugangsdaten zu gelangen sind die sogenannten Phishing-Mails. Dabei werden E-Mails verschickt, die vortäuschen, von einem vertrauenswürdigen Absender zu stammen (z.B. Deine Bank). Das Ziel dabei ist, den Empfänger dazu zu bewegen, seine Zugangsdaten einzugeben. Diese Zugangsdaten landen dann jedoch in den Händen von Betrügern. Indem man sein Passwort nur eingibt, nachdem man die entsprechende Seite selber aufgerufen bzw. eingetippt hat, kann dieses Risiko fast vollständig ausgeschlossen werden. 

Beispiel einer Eingabemaske von einer ZKB Phishing-Mail   Quelle:    Zürcher Kantonalbank

Beispiel einer Eingabemaske von einer ZKB Phishing-Mail

Quelle: Zürcher Kantonalbank

Passwörter nicht zu häufig ändern

Häufig wird man von Anwendungen oder Richtlinien dazu gedrängt, Passwörter in regelmässigen Abständen zu ändern. Das ist allerdings nicht immer ratsam. Laut einer Studie der University of North Carolina tendieren Menschen dazu, schwächere Passwörter zu wählen, wenn sie gezwungen werden, ihre Passwörter immer wieder zu ändern. In vielen Fällen lassen sich sogar vorhersehbare Muster erkennen. Sicherer sei es, von Vornherein ein kugelsicheres Passwort zu wählen und es dann zu ändern, wenn ein konkreter Verdacht auf Betrug oder Diebstahl vorliegt - sei es durch Phishing oder weil Dir jemand auffällig lange über die Schulter geschaut hat, als Du Dein Passwort eingetippt hast. Aber das sollte Dir ja mit einem Passwort-Manager nicht mehr passieren!