Wir decken auf: 10 Passwort-Mythen

Zum Password Day 2020 decken wir einige Missverständnisse auf, die sich in Bezug auf dieses wichtige Instrument der Online-Sicherheit noch immer hartnäckig halten. Was macht ein Passwort schwach oder sicher? Wie riskant ist es, seine Anmeldedaten aufzuschreiben? Hier finden Sie zehn der hartnäckigsten Mythen über Passwörter – und was wirklich dahinter steckt.

1. Sie müssen sich keine Gedanken über Passwörter machen, wenn Sie nichts zu verbergen haben

Wenn Menschen glauben, dass nur wenig auf dem Spiel steht, lassen sie ihre Achtsamkeit gerne schleifen. Doch der Haken daran: Auch wenn man keine Staatsgeheimnisse weitergibt, sollte man sich Sorgen machen, gehackt zu werden. Ein Angreifer, der sich in Ihr Social-Media- oder E-Mail-Konto hackt, kann auf lange Sicht immer noch viel Schaden anrichten.

Zum einen sind es möglicherweise nicht einmal Sie selbst, der unter den Folgen Ihrer schlechten Passwortsicherheit zu leiden hat. Hacker könnten Ihr Konto verwenden, um Phishing- Angriffe auf andere zu starten und die Personen in Ihren Kontakten und Freundeslisten zu erpressen.

Sie können natürlich auch selbst betroffen sein. Ein Hacker, der ein Passwort knackt, hat vielleicht auch Zugriff auf andere, verknüpfte Konten auf verschiedenen Plattformen. Schließlich werden die Anmeldeinformationen für E-Mail-Anbieter und Social-Media-Konten oft als Anmeldemethode für Websites von Drittanbietern verwendet. Hacker könnten sogar einen Man-in-the-Middle-Angriff starten, nachdem sie Ihr Konto ausspioniert haben.

Vielleicht fällt Ihnen gerade keine Möglichkeit ein, wie Sie durch ein schwaches Passwort gefährdet werden könnten – aber ein Hacker weiß da auf jeden Fall etwas.

2. Es ist in Ordnung, das gleiche Passwort für mehrere Konten zu verwenden

Es ist nicht sonderlich klug, Passwörter öfters zu verwenden, auch wenn Sie glauben, dass das Passwort stark ist. Stellen Sie sich vor, Sie würden den gleichen Schlüssel für Ihr Auto, Ihr Büro und Ihr Wohnung verwenden.

Die Umgehung der Login-Sicherheit war noch nie einfacher: Mit Brute-Force -Software können Angreifer in Sekunden ein Konto hacken. Wenn Sie die gleichen Daten für mehrere Websites verwenden, geben Sie dem Hacker leichtes Spiel.

Sie verbessern Ihre Online-Sicherheit wesentlich, wenn Sie verschiedene Anmeldedaten verwenden, und grenzen das Risiko ein, gehackt zu werden.

3. Zahlen und Sonderzeichen machen ein Passwort automatisch stärker

Natürlich hilft es, Passwörter mit Zahlen und Sonderzeichen komplexer zu machen – doch nicht in dem Maße, wie viele denken. Angreifer verwenden Programme, die in Millisekunden gängige Symbole und Zahlenfolgen durchlaufen können. Wenn Sie „123“ an Ihr Passwort anfügen oder den Buchstaben A durch ein @ ersetzen, bremst das moderne Brute-Force-Software nicht wirklich ein.

Es ist einerseits wichtig, komplett zufällige Buchstaben, Zahlen und Symbole zu verwenden, und anderseits sollten Sie Muster vermeiden.

4. Es ist nicht sicher, Passwörter aufzuschreiben

Das hängt von der jeweiligen Situation ab. In einer geschäftlichen Umgebung oder im Büro ist es offensichtlich äußerst wichtig, Passwortinformationen nicht herumliegen zu lassen. Für persönliche Konten von Einzelpersonen – wie etwa Social-Media-Konten und private E-Mails – ist das nicht so wichtig.

Wenn jemand Ihr Social-Media-Konto hacken will oder Ihr E-Mail-Konto knacken möchte, ist es unwahrscheinlich, dass der Angreifer in Ihrer Nähe wohnt. Er kann in seinem Schlafzimmer am anderen Ende der Welt sitzen und trotzdem einen Angriff starten. Diese Kriminellen nutzen komplexe algorithmische Software und nicht irgendeinen Zettel, auf den Sie Ihr Passwort geschrieben haben.

Viel schlimmer, als Ihr Passwort aufzuschreiben, ist es jedoch, ein einfaches, leicht zu merkendes Passwort zu verwenden. „Leicht zu merken“ bedeutet nämlich „leicht zu knacken“.

5. Passwort-Checker auf Websites sind immer vertrauenswürdig

Rufen Sie eine beliebige Website auf, die bei der Erstellung des Passworts eine Bewertung der Passwortstärke anbietet. Wenn Sie einen Großbuchstaben und ein paar Zahlen und Symbole hinzufügen, sehen Sie Ihre Passwortbewertung von schwach bis stark.

So funktioniert die Passwortsicherheit nicht. Hacker, die in Ihre E-Mail eindringen wollen, verwenden hochentwickelte Tools. Sie können jedes Wort im Wörterbuch innerhalb von Sekunden überprüfen. In kürzester Zeit können sie gängige Namen ausprobieren und diese mit häufig verwendeten Daten und Zahlenfolgen kombinieren.

Wenn Sie also „P@sswort123“ anstelle von „passwort“ verwenden, verbessern Sie die Sicherheit kaum – auch wenn der Passwortstärke-Prüfer etwas anderes sagt.

6. Wenn man das Passwort regelmäßig wechselt, wird die Sicherheit verbessert

Dieser Mythos enthält zwar einen Funken Wahrheit, aber das regelmäßige Ändern von Passwörtern ist nur ein kleiner Teil eines viel größeren Ganzen.

In großen Organisationen wie Unternehmen oder Universitäten ist es zwar empfehlenswert, aber es bringt auch Nachteile mit sich. Wenn Personen gezwungen werden, ihre Anmeldedaten alle paar Monate zu ändern, achten sie möglicherweise nach einiger Zeit weniger auf die Qualität der Passwörter, die sie verwenden.

Sich im Laufe eines Jahres ein komplexes, schwer zu knackendes Passwort zu merken, ist viel einfacher, als im selben Zeitraum sechs einfache Passwörter zu verwenden.

7. Wenn man sein Passwort vergisst, ist man permanent von einem Konto ausgesperrt

Das ist nur unter ganz bestimmten Umständen der Fall. Für die überwiegende Mehrheit der Benutzer von passwortgeschützten Plattformen ist es ganz einfach, ein Konto wiederherzustellen.

Von Social-Media-Websites wie Instagram bis hin zu Unterhaltungsplattformen wie Spotify und dem Playstation-Netzwerk– mit ein paar einfachen Schritten können Sie ein vergessenes Passwort zurücksetzen.

8. Bei Passwort-Sicherheitsverletzungen sind immer die Passwort-Benutzer schuld

Es ist einfach, Benutzern die Schuld in die Schuhe zu schieben, wenn Konten gehackt oder Anmeldedaten öffentlich geleakt werden. Schwache Passwörter sind jedoch nicht immer die Ursache für diese Datenpannen.

Wie in Mythos 5 bereits erläutert, wiegen viele Websites ihre Benutzer irrtümlich in Sicherheit, was die Stärke ihres Passworts betrifft. Die meisten Websites fordern Benutzer nicht dazu auf, zusätzliche Sicherheitsmaßnahmen zu nutzen.

Noch schlimmer: Manchmal werden Passwörter sogar im Dark Web veröffentlicht, wenn Unternehmensdateien ungesichert sind. Wenn Sie herausfinden möchten, ob Ihre Anmeldedaten online verfügbar sind, rufen Sie die Seite have I been pwned auf. Unternehmen sollten sich der Rolle bewusst sein, die sie bei der Sicherheit von Benutzerpasswörtern spielen.

9. Komplexität ist immer besser als Länge

Komplexität ist enorm wichtig – Länge jedoch auch. Nicht ohne Grund verlangen die meisten Websites eine Mindestanzahl an Zeichen für ihre Passwörter, denn hier gilt: Je länger, desto besser.

Es ist schwieriger, komplexe Passwörter mit wenigen Zeichen zu erstellen. Selbst eine zufällige Aneinanderreihung von Buchstaben und Sonderzeichen kann relativ schnell geknackt werden, wenn sie nur sechs Zeichen lang ist.

Länge und Komplexität sind die zwei wichtigsten Aspekte einer guten Passwortsicherheit. Wenn Sie diese beiden Aspekte berücksichtigen, ist Ihr Konto viel schwerer durch Brute-Force-Angriffe zu hacken.

10. Man braucht keinen Passwort-Manager

Vielleicht tun Sie das ja bereits. Ein Passwort-Manager ist ein tolles Tool, um fast alle der in diesem Beitrag erwähnten Risiken zu begrenzen.

Mit NordPass können Sie lange, komplexe Passwörter generieren und sie in sicher verschlüsselten Tresoren speichern. Wenn Sie sich dann in einem Konto oder Profil anmelden, füllt NordPass das Formular automatisch für Sie aus. Sie müssen sich Ihre Passwörter also nicht mehr merken – NordPass erledigt das für Sie.

Ein guter Passwort-Manager ist das Herzstück einer starken Online-Sicherheitsstrategie.