Episode Details

Ich hinke schon wieder hinterher, daher mit leichter Verspätung dieses wichtige Thema: Alle Jahre wieder kommt der erste Februar - und damit die Erinnerung, dass an diesem Tag der "Wechsle-Dein-Passwort"-Tag ist. Und selten war es so wichtig, wie heute! Mit Attacken von allen Seiten, Malware, Phishing, Accountübernahmen und Bankzugangsbetrügereien. Parallel dazu reagieren die Anbieter, allen voran die "big 5", Google, Meta, Microsoft, Apple und amazon, in dem sie nun durchgehend, neben der Pflicht, ein gutes Passwort für die Dienste zu vergeben, auch 2FA, Zwei-Faktor-Authentisierung, anbieten, in Teilen auch verpflichtend erwarten. Aktuell ist dies Stand der Technik und auch ich möchte euch, wo auch immer möglich, die Aktivierung des zweiten Faktors an Herz legen. Aber: vernachlässigt trotzdem das gute alte Passwort nicht!

FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat

Ihr kennt sie alle, die Tricks, ein Passwort selbst zu generieren: Nimm bekannte Worte und "schreibe" sie anders. So wird aus Lastkraftwagenfahrer der La$tKra%tvväg3nVahrer. Allerdings, für die Jungs, die den ganzen Tag nichts anderes machen, als Accounts zu hacken und damit mittlerweile auf billige Serverbänke aus der Cloud für ein paar Dollar per Zeiteinheit oder im Monatsabo zurückgreifen können, ist das nur eine Verzögerung um wenige Minuten, bis auch diese Art der Passwörter gehakt sind.

Da auch Social Engineering heutzutage durch eine Google Suche vervollständigt werden kann, Vorsicht vor Jahresdaten oder Vornamen der Liebsten, dem eigenen Geburtstag und allen Daten, die du mal über Social Media gepostet hast. Geht davon aus, dass die alle in diversen Datenbanken mit Verknüpfung zu deinem Namen und sämtliche Aliase, die du online benutzt, gespeichert und irgendwo im oder unter dem Darknet zu finden sind.

Dann gibt es immer noch den Tipp, beliebige Worte aus dem Duden, Fremdwörterlexikon, English- oder Lateinwörterbuch, was eben griffbereit ist, mit individueller Groß- und Kleinschreibung zu kombinieren. Hier gewinnen, Achtung, nicht verwechseln, zwei Faktoren: die erreichte Länge, die es zumindest für Halbprofis ab einem zeitlichen Aufwand uninteressant macht und somit zu einem Abbruch führt. Du bist nicht der einzige Kandidat, der hier parallel durch die Cloud gejagt wird, dann lieber für einen dickeren Fisch die CPU-Time opfern. Und, als Zweites, die Zufälligkeit der ausgewählten Wörter. Nachteilig: Kombinationen dieser Art musst du doch wieder an einem unbekannten Ort aufschreiben. 

Wer so richtig auf Nummer sicher gehen will, hat zwei Optionen: die "kleine", mit einem Passwortgenerator auf Nummer sicher zu gehen, um jeden persönlichen Einschlag in die Generierung von sicheren Passwörtern zu vermeiden. Eine gute Quelle hierzu, neben einer Google-Suche, ist die Seite von datenschutz.org, hier gibt es neben einem kostenfreien Passwort-Generator Infos über sichere Passwörter und warum diese sinnvoll und notwendig sind als auch einen Passwort-Tresor. Klickt euch mal durch!

Wer eine All-in-One-Lösung möchte, greife sich einen Passwortmanager. Hier ist für jeden Geldbeutel und für jede Anforderung was dabei. Als bekannteste Open-Source-Lösung sei hier KeePass genannt. Eine sichere und tolle Offline-Lösung, allerdings mit gewissen Nachteilen: kein automatisches Ausfüllen, zum Beispiel durch eine Browser-Erweiterung. Und ein wenig Fummeln, um alles selbst einzurichten, hast du auch. Aber: alles für die Sicherheit.

Kostenpflichtige Vertreter sind etwa

Listen Now