Kategorien
Datenschutz Security Wunschthema

Ein Passwort sollte besser geheim bleiben

Wenn du deine Wohnung verlässt, und deine Tür zuziehst, so kannst du diese Tür vermutlich nur wieder mit deinem Schlüssel öffnen. Falls auf beiden Seiten der Tür eine Türklinke vorhanden ist, sie also nicht automatisch von einer Seite verschlossen ist, wenn du sie zuziehst, so schliesst du diese Tür beim Verlassen deiner Wohnung vermutlich zusätzlich ab. Wenn nun jemand in deine Wohnung eindringen will, so muss diese Person sich entweder in den Besitz des Schlüssels bringen oder sich in irgendeiner Weise am Schloss zu schaffen machen. Den Schlüssel könnte sie dir stehlen, das Schloss in deiner Abwesenheit aufbrechen. Beides ist allerdings recht mühselig, fällt schnell auf und ist zudem auch noch verboten. Wahrscheinlich würde dir auch schnell auffallen, dass dein Schlüssel verschwunden ist und vielleicht bemerken deine Nachbarn, dass sich da jemand Zutritt zu deiner Wohnung verschaffen will und benachrichtigen dich oder die Polizei.

Ähnlich verhält es sich mit Koffer-, Rucksack-, Zelt-, Motorrad-, Fahrrad- und Autoschlössern, um nur ein paar zu nennen.

Es gibt natürlich keine hundertprozentige Sicherheit vor Einbrüchen und Diebstählen durch das Anbringen von Schlössern. Alle Schlösser sind überwindbar. Es ist nur eine Frage der Zeit und des technischen Aufwandes. Je länger die zur Verfügung stehende Zeit und je geringer der Aufwand, desto schneller der “Erfolg”, bzw. der Einbruch oder Diebstahl.

Wenn du in einer digitalisierten Welt einen mit einem Passwort geschützten Zugang zu einer Webseite hast, so ist das Risiko zunächst durchaus mit dem oben beschriebenen Schlössern vergleichbar.

Ein einfaches Passwort/Schloss (hallo123) lässt sich schneller erraten/knacken als ein längeres Passwort mit Sonderzeichen (dhs%bhHWtg125638GHD!`dsCa3), bzw. ein stabileres Schloss.

Was in der digitalisierten Welt allerdings komplett fehlt, ist eine gewisse soziale Kontrolle durch Nachbarn, Freunde oder vorbeigehende Passanten.

Die mit deinem Passwort geschützte Website ist 24 Stunden pro Tag und 7 Tage die Woche aus der gesamten Welt erreichbar. Beliebig viele “Angreifer” versuchen, rund um die Uhr sich Zugang zu deiner Website, bzw. deinem Konto zu verschaffen. Angreifer sind dabei selten Personen, sondern eher Programme, die automatisiert auf Anmeldeseiten gehen und Passworte durchprobieren. Bei einem erfolgreichen Zugang wird dann ebenfalls automatisiert, oder auch manuell, etwas mit deinen Daten getan. Sie werden beispielsweise verschlüsselt, so dass du nicht mehr auf sie zugreifen kannst. Gegen die Zahlung von Geld erhältst du den Zugang auf deine Daten zurück. Manchmal werden deine Daten auch einfach “nur” kopiert, manchmal minimal verändert (durchaus beliebt innerhalb von Firmen ☝️). Der Phantasie sind da wirklich keine Grenzen gesetzt.

Das soll keine Angstmache sein, sondern nur die Situation, in der wir uns alle befinden, ein wenig klarer darstellen. Digitale Daten können einfach verändert und kopiert werden. Um das zu tun, muss man nicht vor Ort sein.

Diese Situation ist in etwa damit vergleichbar, als wenn beliebig viele Personen 24/7 um dein Fahrrad, dein Auto, deine Geldkassette oder deine Wohnung herumstehen und versuchen, einen Zugang zu erhalten. Danach schliessen sie wieder ab und verkaufen dir den Schlüssel zu deinen eigenen Dingen/Daten.

Die Verwendung möglichst sicherer Passwörter ist nach wie vor eine der sichersten Massnahmen für Privatpersonen, um ihre Cybersicherheit zu verbessern.

Sicherheit im Internet – Repäsentative Befragung der deutsch- und Westschweizer Bevölkerung – Seite 17 (PDF 6.7 MB)

Eine Faustregel besagt: Wenn du es dir merken kannst, ist es kein gutes Passwort. Besser ist es die Passworte in maximaler Länge automatisiert zu erzeugen und dann in einem Passwort Manager zu verwalten.

Der Zugang zu diesem Passwort Manager erfolgt dann über ein Master Passwort. Wenn dieses Passwort gehackt wird, kann natürlich die maximale Katastrophe eintreten, im Normalfall überwiegen die Vorteile von Passwort Managern aber doch erheblich. Die Nutzung verkompliziert den Zugang für Dritte erheblich und bietet allein daher bereits einen viel besseren Schutz als ohne einen Passwort Manager.

Darüberhinaus sollte die Verwendung von Zwei-Faktor-Authentisierung bei “wertvolleren” Nutzerkonten die Regel darstellen (siehe auch hier im Blog: Zwei-Faktor-Authentisierung für WordPress, Zwei-Faktor-Authentisierung für Joomla, Mehr Sicherheit für deine Daten mit der Authy App.)

Dafür passiert aber doch eigentlich recht wenig, oder?

Das stimmt leider nicht. Es passiert eine ganze Menge, es ist nur nicht so leicht erfassbar.

Dieses Video wurde im Jahr 2014 erstellt und zeigt die Situation von der eher komischen Seite.

Gemäss der Studie ”Sicherheit im Internet” sieht die Situation bei Privatpersonen sechs Jahre später etwas besser aus. Die Studie kommt zu folgendem Fazit:

Grundsätzlich waren die Studienautoren bezüglich des Wissensstandes in der Bevölkerung positiv überrascht; trotzdem gibt es wichtige Lücken zu schliessen. Der hohe Betroffenheitsgrad steht im Widerspruch zum hohen Sicherheitsgefühl, genauso wie der hohe selbst eingeschätzte Informationsgrad im Widerspruch zu gewissem Verhalten steht (z.B. nur ein Passwort für mehrere Anwendungen zu verwenden).
Die Befragten vertrauen in erster Linie auf ihre technischen Massnahmen, über deren Stand und Aktualität die hier vorliegende Studie aber keine Auskunft geben kann. Verhaltensmassnahmen stehen erst an zweiter Stelle und werden evt. unterschätzt, was in Zeiten von immer professionelleren Phishing-Attacken und Social Engineering eine Gefahr darstellen kann.

Sicherheit im Internet – Repäsentative Befragung der deutsch- und Westschweizer Bevölkerung – Seite 4 (PDF 6.7 MB)

Plattformhacks

Ein grosses Problem stellen heute Hacks in Firmen dar, bei denen Identitätsdaten erbeutet werden und oft als Grundlage weiterer illegaler Taten dienen. Die Websites von ‚;–have i been pwned? und der Identity Leak Checker des Hasso Plattner Instituts sammeln die Daten dieser Einbrüche, so sie denn „sammelbar“ sind, und checken sie gegen deine E-Mail Adresse.

Bei einem Check meiner privaten Gmail-Adresse tauchte diese E-Mail Adresse bei https://haveibeenpwned.com in 19 Fällen von „Datenreichtum“ auf! Darunter auch Firmen wie LinkedIn und Adobe, denen meine Identitätsdaten “abhanden kamen”. Auf der Site erhält man das Ergebnis der Anfrage im Browser angezeigt und kann so auch andere E-Mail Adressen überprüfen.

Der Identity Leak Checker des Hasso Plattner Instituts dagegen sendet das Ergebnis an die entsprechende E-Mail Adresse. Hier mein Ergebnis.

Auszug aus dem Ergebnis: Identity Leak Checker – HPI

Generell gilt, dass je mehr Identitätsdaten über Sie veröffentlicht werden, desto leichter kann Ihre Identität missbraucht werden. 
Es ist auf jeden Fall ratsam eine Anzeige beim Diebstahl von Informationen wie Bankdaten, Kreditkartendaten und Sozialversicherungsnummern zu erstatten.

Hinweis in der E-Mail von ILC-HPI

Ein regelmässiges Ändern auch von sicheren Passworten ist also durchaus sinnvoll!

Viele Passwort Manager prüfen auf unterschiedliche Weise die Sicherheit von existierenden Passworten. Im Passwort Manager von Apple (Schlüsselbund) taucht beispielsweise ein Ausrufezeichen auf, wenn du das selbe Passwort für mehrere Logins benutzt.

Fazit

Naja, was soll ich sagen 🤔.

Das meiste oder eigentlich alles in diesem Artikel hast du vermutlich schon mal gehört. Das ist ein wenig so wie beim Backup 😉. Das lernt man auch oft auf die “harte Tour”.

  • Schau einfach mal durch deine Passwort Manager Daten und räume ein wenig auf. Denke dabei darüber nach, was passieren könnte, wenn dieser Zugang missbraucht werden würde.
  • Wenn du keinen Password Manager benutzt, so fange einfach jetzt damit an!
  • Lösche Accounts, die du nicht mehr nutzt.

Links


tl;dr: Steter Tropfen höhlt den Stein. Ein Passwort sollte besser geheim bleiben.

Von hagengraf

Ich erstelle bequeme und benutzerfreundliche Orte in virtuellen und physischen Umgebungen.

2 Antworten auf „Ein Passwort sollte besser geheim bleiben“

Kommentar verfassen