Neues Jahr, neues Datenleck: Anfang 2019 tauchte im Internet eine Sammlung von über 2,2 Milliarden Mail-Adressen und zugehörigen Passwörtern auf. Die sogenannte «Collection #1-5» enthält auch über drei Millionen Mail-Adressen mit Schweizer Endung, inklusive Passwörtern, wie eine Auswertung von «SRF Data» nun zeigt. Betroffen sind auch Tausende Geschäftsadressen von Angestellten von Bundesbehörden sowie der Kantone.

Als Grund für das Auftauchen vieler Büroadressen wird erachtet, dass Angestellte beruflich verwendete Passwörter auch im Privatleben nutzen oder umgekehrt. Wird nur eine Webseite gehackt, kann das Kennwort – ob veraltet oder immer noch aktiv – als Druckmittel für sogenannte «Fake-Sextortion»-Fälle eingesetzt werden. Solche Erpresser-Mails Drohung per E-Mail Wie soll ich auf die Erpressung reagieren? sind laut der Melde- und Analysestelle Informationssicherung (Melani) ebenfalls seit Anfang des Jahres vermehrt im Umlauf.

Wie Sie ein sicheres Passwort mit einfachen Mitteln erstellen und ob Ihre Mail-Adresse vom jüngsten Datenleck betroffen ist, erfahren Sie hier sowie über die Check-Tools am Ende des Artikels.

Die 7 häufigsten Passwort-Sünden

Dass ein Passwort erraten wird, liegt oftmals an der eigenen Bequemlichkeit – aber auch an Halbwahrheiten aus dem Internet, die sich hartnäckig in den Hinterköpfen der Nutzer halten.

Diese Fehler werden immer wieder beobachtet:

1. Ein Passwort für alles

Was analog gilt, sollte auch für die digitale Welt beherzigt werden. Oder würden Sie nur einen Schlüssel verwenden, um Wohnungstüren, Veloschlösser oder den privaten Safe aufzuschliessen? Wird der Schlüssel gestohlen, wäre wohl das gesamte Hab und Gut verloren. Als erstes Gebot für sichere Passwörter gilt deshalb: Für jeden Webdienst ein anderes Kennwort! Mit einem Passwort-Manager müssen Nutzer zudem keine Gedächtniskünstler sein.

2. Zu einfache Passwörter

«Passwort», «12345» oder eine Aneinanderreihung von nebeneinanderliegenden Computertasten (z. B. «qwertz») ist selbst für einen dilettantischen Hacker ein gefundenes Fressen. Auch Begriffe aus Wörterbüchern werden bei einer sogenannten Brute-Force-Attacke schnell geknackt. Dabei testet eine Software verschiedene Zeichenkombinationen durch und beginnt zuerst mit den abgegriffensten Passwort-Varianten. Weil ein solches Hacking-Verfahren Millionen von Möglichkeiten pro Sekunde systematisch abfragt, haben solche einfachen Wörter meistens keine Chance zu bestehen.

Welchen Online-Shops kann ich trauen?

loading...
Anzeige

3. Zu persönliche Passwörter

Kennwörter, die relativ leicht Rückschlüsse auf die Person erlauben, gelten ebenfalls als wenig sicher. Dazu zählen etwa das Geburts- oder Hochzeitsdatum, der Name des Haustiers oder das erste eigene Automodell. Dies umso mehr, wenn man in den sozialen Medien häufig persönliche Informationen preisgibt. Ein Beispiel: Wenn allgemein bekannt ist, wofür Ihr Herz schlägt, sollten Sie Passwörter wie «IloveStarWars» oder «HoppFCBasel» am besten vermeiden. Hobby-Hacker machen es sich zum Sport, genau solche Fan-Informationen, die öffentlich im Netz vorhanden sind, einzuholen.

Bilden Sie ein Passwort aus den Anfangsbuchstaben eines längeren Merksatzes, der für Sie eine persönliche Bedeutung hat und deshalb gut einprägbar ist.

Beobachter-Tipp

4. Grundlos das Passwort wechseln

Die Aufforderung von IT-Abteilungen, die Passwörter regelmässig zu ändern, nützt in den meisten Fällen wenig. Grund dafür ist die menschliche Natur: Wozu sich ein kompliziertes Passwort ausdenken, wenn bald wieder die nächste Änderung ansteht?

Forscher aus Nordamerika haben nachgewiesen, dass Firmenmitarbeiter in der Regel nur ein leicht abgeändertes Passwort verwenden. Aus «Passwort» wird dann einfach «Passw0rt» eine Kombination, die ein Hackerprogramm im Standard-Repertoire beherrscht. Wirklich sinnvoll ist ein Wechsel deshalb erst dann, wenn der Verdacht auf einen Missbrauch gegeben ist.

5. Passwort aufschreiben

Den wohl schwerwiegendsten Fehler begeht ein Nutzer, wenn das Passwort auf ein Post-it geschrieben und am Computerbildschirm oder auf die Rückseite eines Smartphones geklebt wird. Besonders bei Grossraumbüros mit viel Durchgangsverkehr ist dringend davon abzuraten – und auch, falls das Handy abhandenkommen sollte.

Anzeige

Auch eine elektronische Passwortliste auf dem Rechner ist nicht viel besser – es sei denn, man hat das Dokument mit einer genügend starken Verschlüsselung abgelegt.

Mehr zum Thema

Datenschutz im Internet: Digitale Sicherheit für Dummies

Um die eigene Privatsphäre im Internet zu wahren, braucht es nicht nur ein sicheres Passwort. Diese Tipps geleiten Sie sicher durchs Web.

zum Artikel

Sicherheit im Web
Quelle: Getty Images

6. Keine Zwei-Faktor-Authentifizierung

Um Geld am Automaten abzuheben, benötigt man eine Karte und die PIN-Nummer. Das erhöht die Sicherheit, weil ein Dieb für einen Zugriff beides braucht. Ein ähnlicher Schutz wird erreicht, wenn ein Webdienst zusätzlich eine Handynummer verlangt. Mit einer SMS, die einen Code mitliefert, kann nur der Besitzer bestätigen, dass er gerade auf ein Konto zugreift – und nicht ein Hacker, der zu einem fremden Passwort gekommen ist. Diese Zwei-Faktor-Authentifizierung (2FA) ist zwar umständlich, doch man sollte sie nutzen, wenn dieser Service schon angeboten wird.

7. Möglichst viele Sonderzeichen verwenden

Ein Kennwort mit vielen Sonderzeichen wie «P@$$w0rt!» ist zwar sicherer als ein normal Geschriebenes – kann aber trotzdem nicht empfohlen werden. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die an Unternehmen und Private Empfehlungen bezüglich aktueller Technologiestandards herausgibt, rät von diesem allgemeinen Trick ab. Der Grund: Algorithmen von Hackerprogrammen können neben den oben erwähnten Beispielen auch Sonderzeichen durchtesten und bedienen sich anhand gängiger Variationen.

Anzeige

Zudem sind wahllos gesetzte Sonderzeichen auch für den Nutzer meistens zu kompliziert, um sich daran erinnern zu können. Das NIST hält nicht viel von diesbezüglichen Vorgaben. Es bringe für die Sicherheit nicht mehr, wenn Betreiber von Websites mindestens einen Buchstaben, eine Zahl sowie ein Sonderzeichen verlangen. Um einiges besser seien unterschiedliche und möglichst lange Phrasen.

Merkblatt «Unerwünschte Werbe-E-Mails» bei Guider, dem digitalen Berater des Beobachters

Landet in Ihrem Mail-Postfach immer wieder Werbung? Mitglieder von Guider erfahren im Merkblatt «Unerwünschte Werbe-E-Mails», wie sie Spam schnell erkennen und wie sie präventiv vorgehen können, damit sie solche lästigen Nachrichten erst gar nicht erhalten.

Passwort-Härtetest: Auf die Länge kommt es an

Je länger – je sicherer: Für das NIST wären sogar bis zu 64 Zeichen sinnvoll, um längere Phrasen bilden zu können. Ein Kennwort wie «Fussball» mit acht Zeichen – das absolute Minimum für ein Passwort – knackt ein Programm unmittelbar. Bei «Fussballgott» mit zwölf Zeichen, ist eine Maschine schon 300 Jahre beschäftigt – ein viel zu grosser Aufwand, der sich nicht lohnt.

Anzeige

Doch Vorsicht: Abgedroschene Phrasen oder berühmte Zitate wie «Du kommst hier nicht rein» oder «Sein oder nicht sein, das ist hier die Frage» kennt auch eine halbwegs intelligente Hacking-Software. Auch gleiche Buchstaben, die einfach zu «aaabbbccc» aneinander gereiht werden, sind für Hacker eine leichte Beute.

Passwort-Generatoren und Passwort-Manager

Wem kein gutes Kennwort einfällt, kann online auf Passwort-Generatoren wie passwort-generator.org oder den Kennwortgenerator von Norton Identity Safe zurückgreifen. Diese würfeln zufällig Buchstaben, Zahlen und Sonderzeichen zusammen. Der Nachteil: Solche Passwörter sind schwer zu merken, weil der Nutzer keinen Bezug herstellen kann.

Eine alternative Lösung, ein kompliziertes Passwort zu generieren, sich dieses aber nicht einprägen zu müssen, bietet die App «Safer-Code». Bei dieser Schweizer Erfindung geht es darum, sich auf einer sogenannten Codemap ein Symbol zu merken, das umgeben ist von einzelnen Blöcken mit jeweils zwei Ziffern oder gemischten Zeichen. Der Nutzer muss sich hierzu nur das Symbol und einen Pfad (z. B. in Form eines Hufeisens) darum herum merken, nicht aber das Passwort an sich. Danach speichert man die Codemap ab und vergibt ihr einen Namen für einen Webdienst. Wenn man sich dort einloggt, braucht man nur auf der Codemap nachzusehen und das Passwort abzutippen. Die patentierte App kann im Apple-Store heruntergeladen werden und kostet fünf Franken.

Ebenfalls eine gute Unterstützung, um sich unterschiedliche und längere Passwörter für das Mail-Konto, Amazon, Facebook und die Kreditkartenfirma merken zu können, sind sogenannte Passwort-Manager. Mit Lastpass, Dashlane, 1Password, Enpass oder KeepassX legt man einmalig ein Master-Passwort fest und kann so im verschlüsselten Programm-Modus auf die restlichen Kennwörter zugreifen, ohne diese auswendig zu lernen. Die Anwendung ist in Kombination als Browser-Erweiterung, als Software-Download auf dem Desktop oder über eine mobile App nutzbar und läuft synchron auf mehreren Geräten. Dank moderner Verschlüsselungsmethoden sehen bei den Passwort-Managern selbst zwei identische Kennwörter in chiffrierter Form völlig anders aus, was das Entziffern für Hacker äusserst schwierig macht. Auf diese Weise kann man sich die grösstmögliche Sicherheit schaffen.

Anzeige

Nur die Anfangsbuchstaben als Merkhilfe verwenden

Wer nicht auf die meist kostenpflichtigen Passwort-Manager zurückgreifen möchte, kann andersweitig in die Trickkiste greifen. Als sehr effektiv erweisen sich etwa Passwörter, die nur aus den Anfangsbuchstaben eines Merksatzes bestehen. Aus «Im Winter bauen Tina und Lukas zusammen mit Papa und Mama einen grossen Schneemann» wird «IWbTuLzmPuMegS». Sonderzeichen müssen in diesem Passwort nicht vorkommen, wenn es lang genug ist.

Wie sicher ist mein Passwort?

Wer auf Nummer sicher gehen will, checkt die Stärke des Passworts online um zu erfahren, wie schwer das eigene Kennwort zu knacken ist.

Passwort gestohlen? Mit diesen Datenbanken machen Sie den Check

Anzeige

Buchtipp

Tatort Alltag

So schützen Sie sich vor Übergriffen, Trickbetrug, Gewalt und Kriminalität

Mehr Infos

Buchcover: Tatort Alltag
Quelle: Beobachter Edition

«Den besten Rat - jede Woche per Mail»

Christian Gmür, Content Manager Ratgeber

Den besten Rat - jede Woche per Mail

Der Beobachter Newsletter

Anzeige