Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht in zwei Beiträgen auf Passwörter im Allgemeinen und Umgang mit Passwörtern ein. Darin sind Beispiele für Merkstrategien und auch weitere Hilfen und Empfehlungen zu finden. In einem weiteren Beitrag wird die Funktionsweise von Passwort-Managern erklärt.
Häufig werden die gleichen Passwörter für unterschiedliche Accounts verwendet und dies mit teilweise gleichem oder ähnlichem Anmeldenamen. Hacker sind darüber sehr erfreut.
Eine Merkstrategie für Passwörter ist z. B. ein Satz, von dem jeder Anfangsbuchstabe in das Passwort übernommen wird (Am liebsten esse ich Pizza mit 4 Zutaten und extra Käse!).
Wichtig sei, so das BSI, dass man sich das Passwort gut merken könne. Dabei sollte auch die Länge des Passwortes bedacht werden, je länger desto besser. Zusätzlich sollten viele unterschiedliche Zeichen, Groß- und Kleinschreibung, Sonderzeichen, Umlaute, Ziffern, verwendet werden. Namen von Familienmitgliedern oder auch persönliche Daten, wie z. B. Geburtsdatum, sollten vermieden werden, so wie bekannte und gebräuchliche Wortkombinationen.
Ebenso empfiehlt das BSI die Verwendung der Zwei-Faktor-Authentifizierung, wo diese möglich ist. Diese kann per App oder auch SMS verwirklicht werden. Dadurch wird die Sicherheit zusätzlich erhöht.
Online-Portale mit persönlichen Inhalten, z.B. E-Mail-Accounts, sollten mit besonders starken Passwörtern geschützt werden. Hier kommt hinzu, dass über einen gehackten E-Mail-Account auch die meisten anderen Zugangsdaten zurückgesetzt werden können.
Ratsam ist auch die regelmäßige Prüfung, ob eine E-Mail-Adresse in gehackten Datensätzen auftaucht. Hierfür bieten sich der HPI Identity Leak Checker und der internationale Anbieter haveibeenpwnded an.
Einheitliche Passwörter sind zu vermeiden. Voreingestellte Passwörter sind auf jeden Fall zu ändern.
Zugangsdaten inkl. Passwörter sollten nie per E-Mail versendet werden. Der Absender kann hier keine Gewissheit haben, dass seine E-Mail auch tatsächlich ankommt. Ebenso ist eine Filterung von E-Mails mit Zugangsdaten möglich.
Um in der heutigen Zeit einen Überblick über seine Zugangsdaten zu behalten, bieten sich Passwort-Manager an. Passwort-Manager sind Programme, die Zugangsdaten und ggf. weitere Hinweise hierzu mittels Verschlüsselung und eines komplexen Masterkennwortes verwahren. Hier muss man sich also nur ein Passwort merken.
Passwort-Manager unterstützen wie folgt:
- verschlüsselte Verwahrung der Zugangsdaten
- ggf. Passwortgenerierung durch einen Passwortgenerator
- ggf. Warnung vor gefälschten Websites, z. B. Pishing-Attacken, sofern sich die angewählte Webseite von der gespeicherten unterscheidet
- Möglichkeit der Synchronisierung auf allen Endgeräten, sofern dies angeboten wird
- teilweise per Add-In in Browser integrierbar
Bild von cocoparisienne auf Pixabay
