Die meisten Phishing-Mails haben das Ziel an Ihre Logins vor allem Passwörter heranzukommen. Überall werden Passwörter benötigt, im Zusammenhang mit der Kreditkarte als PIN, am Smartphone ebenfalls als PIN und an den unzähligen Webportalen (Onlinebanking, Amazon, ISP etc.) zusammen mit einem Benutzernamen als Passwort.

Weil das alles über das Internet streng genommen allen zugänglich ist, wird das mit sicheren Passwörtern ebenso wichtig wie der Umgang mit den eigenen Wohnungsschlüsseln, die sollen ja das eigene Heim vor unerlaubten Zugang schützen. Vorweg möchte ich ein bisschen Mathematik machen, denn eine SIM-Karten-PIN oder Smartphone-PIN mit 5 Ziffern ist sehr mager. Selbst die Bankkarten-PINs sind meisten nur 5 Ziffern. Was heißt das?

Ich habe 5 Ziffern aus der Zahlenmenge mit den zehn Zahlen „1,2,3,4,5,6,7,8,9,0“, dann gibt es für eine fünfstellige PIN 10⁵ bzw. 100.000 Möglichkeiten. Wenn ich der Einen oder anderen Bekannten beim Entsperren des Smartphones über die Schulter schaue, kann es mir richtig schlecht werden bei nur einer Ziffer. Denn das hieße 10¹ bzw. 10 Versuche bis das Phone entsperrt wäre.

Oder nehmen wir die 26 Zeichen unseres Alphabets mit Groß- und Kleinschreibung, 10 Ziffern und 15 Sonderzeichen. Das deutet man hat (26+26+10+15)¹⁰ bzw. 7.326.680.472.586.200.649 Möglichkeiten um ein 10stelliges Passwort zu erzeugen. Das ist bereits sehr sicher, also zum Beispiel das hier „cu$Hai7se8“. Das können Sie direkt auf Pwned Passwords testen, wie sicher das ist.

Wurde Ihre E-Mailadresse bereits geleakt?

Bei dieser Gelegenheit können Sie auch gleich testen in wie weit Ihre Mailadresse geleakt wurden ist. Hintergrund sind unsichere, gehackte Datenbanken bei Dienstleistern im Internet, auch Internetprovider, bei denen Daten unter Anderem auch Mailadressen inklusive der zugehörigen Passwörter eingesammelt wurden.

Auf Have I been pwned? können Sie auch Ihre Mailadressen auf bereits erfolgte Leaks checken. Bei einem Negativbescheid wäre dann alle Passwörter der Accounts zu ändern, die mit der betreffenden Mailadresse gekoppelt sind.

Auf Linux-Systemen präferiere ich das Tool „pwgen“, mit dem man sehr gute Passwörter in beliebiger Länge und Sicherheit erzeugen kann. Vor allem ist das interessant, wenn man Scripte schreibt.

Das ist sehr praktisch, löst aber nicht das Problem, wie man sich solche Passwörter merkt. Aufschreiben und an den Monitor kleben ist die denkbar dümmste Lösung.

Eine Lösung am Arbeitsplatz, die sogar offen sichtbar neben einem liegen kann, ist die Passwort-Karte. Das Prinzip ist denkbar einfach. Man merkt sich nur die Einstiegskoordinaten auf der Karte zum Beispiel „L5“, um dann +2rechts, -4unten, -2links, +4oben, -4links, +4oben, +12rechts, -4unten, +5rechts, -2unten und -5links zu gehen. Dann erhält man das Passwort „Lia<vz4jN2O2“. Man merkt sich nur noch den Startpunkt und den Weg dort hin.

Passwort-Manager

Damit man nicht überall das gleiche Passwort verwendet, zumal das gar nicht realisierbar wäre, da unterschiedliche Onlineportale unterschiedliche Passwort-Richtlinien besitzen, sammeln sich auch mit der Passwort-Karte unzählige Passwörter an. Irgendwie muss man die zugriff sicher organisieren. In Textdateien, Calc-Tabellen etc. sie eintragen und abspeichern geht nur solange, wie man nur selber und sonst niemand Zugriff auf diese Dateien hat.
Nachteil dieser Lösung und der von Notizzetteln ist die Effizienz der Benutzung und Anwendung. Man muss die langen kryptischen Passwörter wie zum Beispiel dieses hier „zP3vGZ^gdr-+y!T]=Kp}“ eintippen respektive mittels Copy&Paste bewegen. Das wird sehr schnell nervig und fehleranfällig. Mit der Konsequenz, dass die Meisten dann doch wieder zu unsicheren Passwörtern wechseln.

Eine sehr gute Lösung bietet der OpenSource Passwort-Manager KeePass Password Safe, den es für alle gängigen Betriebssysteme (Linux, Mac, Windows, Android, iPhone etc.) gibt.

Nach dem Download und Installation muss zunächst eine Datenbank angelegt werden. Das ist eine Datei, die sich später auch auf andere Geräte (Laptop, SmartPhone etc.) synchronisieren lässt. Dazu starten Sie den Prozess über den Button „Neu“:

Anschließend müssen Sie ein Masterpasswort vergeben. Das ist sehr wichtig und darf keinesfalls in falsche Hände geraten. Sie nutzen nur dieses Passwort, um an alle gespeicherten Passwörter zu gelangen.

In der neuen Datenbank können über das Schlüssel-Icon manuell neue Einträge angelegt werden. Wie Sie sehen, können Sie Ihre Schlüssel kategorisieren.

Sie haben Möglichkeiten zu mehreren Experteneinstellungen, im Moment reichen die Einstellungen im Reiter „Allgemein“ vollkommen aus. Es wird Ihnen sogar bereits ein sicheres Passwort vorschlagen, das Sie bei dem entsprechenden Onlineaccount gleich nutzen können, um dort die Sicherheit zu erhöhen.

Benutzername, Passwort sind die Login-Daten des Online-Portals dessen URL Sie hier ebenfalls einkopieren müssen.

Über das Kontextmenü der rechten Maustaste lassen Passwort, Benutzername kopieren, ändern und vor allem die jeweilige Webseite direkt öffnen.

Sie können sich die Benutzung des KeePass-Managers noch bequemer gestalten indem Sie sich für den Firefox-Browser das Add-on „Kee – Password Manager“ respektive für den Chrome-Browser sich „ChromeKeePass„ installieren. Damit können Sie direkt im Webbrowser neue Login-Seiten in Ihrer Datenbank anlegen. Und sobald die jeweilige Webseite aufgerufen wird, wird Ihnen der passende Login bereits angeboten.

Wie Sie bereits auf der Downloadseite sehen konnten, gibt es diesen Manager mittlerweile für jede OS-Plattform einschließlich der Smartphones. Wenn Sie also Ihre passwortgeschützte Datenbank-Datei auf die jeweiligen Geräte kopieren, dann haben Sie diesen Service einer einmaligen Passworteingabe beim Start des Managers und der Verfügbarkeit aller gespeicherten Logins.

Fazit

Sichere Passwörter sind das A und O in der Benutzung von internetfähigen Geräten. Sie sollten lang und kryptisch gestaltet sein. Dabei können Tools wie der KeePass-Manager auf allen Geräten sehr gute Dienste leisten. Vor allem weil sich so nur noch ein Passwort merken muss, auch wenn man Dutzende Unterschiedliche hat.