Inhalt
- Du musst dir keine Gedanken über Passwörter machen, wenn du nichts zu verbergen hast
- Es ist in Ordnung, das gleiche Passwort für mehrere Konten zu verwenden
- Zahlen und Sonderzeichen machen ein Passwort automatisch stärker
- Es ist nicht sicher, Passwörter aufzuschreiben
- Passwort-Checker auf Websites sind immer vertrauenswürdig
- Wenn man das Passwort regelmäßig wechselt, wird die Sicherheit verbessert
- Wenn man sein Passwort vergisst, ist man permanent von einem Konto ausgesperrt
- Bei Passwort-Sicherheitsverletzungen sind immer die Passwort-Benutzer schuld
- Komplexität ist immer besser als Länge
- Man braucht keinen Passwort-Manager
Passwörter sind im digitalen Zeitalter die erste Verteidigungslinie. Der erste Donnerstag im Mai wurde zum World Password Day erkoren, um das Bewusstsein dafür zu schärfen, wie wichtig Passwörter für die Sicherheit von Einzelpersonen und Unternehmen sind.
Zum Password Day 2020 decken wir einige Missverständnisse auf, die sich in Bezug auf dieses wichtige Instrument der Online-Sicherheit noch immer hartnäckig halten. Was macht ein Passwort schwach oder sicher? Wie riskant ist es, seine Anmeldedaten aufzuschreiben? Hier findest du zehn der hartnäckigsten Mythen über Passwörter – und was wirklich dahinter steckt.
1. Du musst dir keine Gedanken über Passwörter machen, wenn du nichts zu verbergen hast
Wenn Menschen glauben, dass nur wenig auf dem Spiel steht, lassen sie ihre Achtsamkeit gerne schleifen. Doch der Haken daran: Auch wenn man keine Staatsgeheimnisse weitergibt, sollte man sich Sorgen machen, gehackt zu werden. Ein Angreifer, der sich in dein Social-Media-Konto oder dein E-Mail-Konto hackt, kann auf lange Sicht immer noch viel Schaden anrichten.
Zum einen bist es möglicherweise nicht einmal du selbst, der unter den Folgen deiner schlechten Passwortsicherheit zu leiden hat. Hacker können dein Konto verwenden, um phishing-Angriffe auf andere Personen durchzuführen und so deine Kontakte und Freundeslisten zu erpressen.
Du kannst natürlich auch selbst betroffen sein. Ein Hacker, der ein Passwort knackt, hat vielleicht auch Zugriff auf andere, verknüpfte Konten auf verschiedenen Plattformen. Schließlich werden die Anmeldeinformationen für E-Mail-Anbieter und Social-Media-Konten oft als Anmeldemethode für Websites von Drittanbietern verwendet. Der Angreifer könnte sogar einen Man-in-the-Middle-Angriff inszenieren, nachdem er dein Konto ausspioniert hat.
Vielleicht fällt dir gerade keine Möglichkeit ein, wie du durch ein schwaches Passwort gefährdet werden könntest – aber ein Hacker weiß da auf jeden Fall etwas.
2. Es ist in Ordnung, das gleiche Passwort für mehrere Konten zu verwenden
Es ist auch nicht sonderlich klug, Passwörter öfters zu verwenden, auch wenn du glaubst, dass das Passwort stark ist. Stell dir vor, du würdest den gleichen Schlüssel für dein Auto, dein Büro und deine Wohnung verwenden.
Es war noch nie so einfach, die Anmeldesicherheit zu umgehen: Mit Brute-Force-Software können Angreifer innerhalb von Sekunden ein Konto knacken. Wenn du die gleichen Daten für mehrere Websites verwendest, gibst du dem Hacker leichtes Spiel.
Du verbesserst deine Online-Sicherheit wesentlich, wenn du verschiedene Anmeldedaten verwendest, und grenzt das Risiko ein, gehackt zu werden.
3. Zahlen und Sonderzeichen machen ein Passwort automatisch stärker
Natürlich hilft es, Passwörter mit Zahlen und Sonderzeichen komplexer zu machen – doch nicht in dem Maße, wie viele denken. Angreifer verwenden Programme, die in Millisekunden gängige Symbole und Zahlenfolgen durchlaufen können. Wenn du „123“ an dein Passwort anfügst oder den Buchstaben A durch ein @ ersetzt, bremst das moderne Brute-Force-Software nicht wirklich ein.
Es ist einerseits wichtig, komplett zufällige Buchstaben, Zahlen und Symbole zu verwenden, und anderseits solltest du Muster vermeiden.
4. Es ist nicht sicher, Passwörter aufzuschreiben
Das hängt von der jeweiligen Situation ab. In einer geschäftlichen Umgebung oder im Büro ist es offensichtlich äußerst wichtig, Passwortinformationen nicht herumliegen zu lassen. Für persönliche Konten von Einzelpersonen – wie etwa Social-Media-Konten und private E-Mails – ist das nicht so wichtig.
Wenn jemand dein Social-Media-Konto hacken will oder dein E-Mail-Konto knacken möchte, ist es unwahrscheinlich, dass der Angreifer in deiner Nähe wohnt. Er kann in seinem Schlafzimmer am anderen Ende der Welt sitzen und trotzdem einen Angriff starten. Diese Kriminellen nutzen komplexe algorithmische Software und nicht irgendeinen Zettel, auf den du dein Passwort geschrieben hast.
Noch schlimmer, als ein Passwort aufzuschreiben, ist es jedoch, ein einfaches, leicht zu merkendes Passwort zu verwenden. „Leicht zu merken“ bedeutet nämlich „leicht zu knacken“.
5. Passwort-Checker auf Websites sind immer vertrauenswürdig
Gehe auf eine beliebige Website, die eine integrierte Funktion hat, um dein ausgewähltes Passwort auf seine Stärke zu überprüfen. Du wirst sehen, dass du die Passwortstärke kinderleicht von weak auf strong bringen kannst, nur indem du einen Großbuchstaben und ein paar Zahlen und Sonderzeichen hinzufügst.
So funktioniert Passwortsicherheit aber nicht. Der Hacker, der dein E-Mail-Konto knacken möchte, verwendet ausgeklügelte Tools, die jedes Wort, das im Wörterbuch zu finden ist, in Sekundenschnelle durchsuchen. In kürzester Zeit kann er gängige Namen ausprobieren und diese mit häufig verwendeten Daten und Zahlenfolgen kombinieren.
Wenn du also „P@sswort123“ anstelle von „passwort“ verwendest, verbesserst du die Sicherheit kaum – auch wenn der Passwortstärke-Prüfer etwas anderes sagt.
6. Wenn man das Passwort regelmäßig wechselt, wird die Sicherheit verbessert
Dieser Mythos enthält zwar einen Funken Wahrheit, aber das regelmäßige Ändern von Passwörtern ist nur ein kleiner Teil eines viel größeren Ganzen.
In großen Organisationen wie Unternehmen oder Universitäten ist es zwar empfehlenswert, aber es bringt auch Nachteile mit sich. Wenn Personen gezwungen werden, ihre Anmeldedaten alle paar Monate zu ändern, achten sie möglicherweise nach einiger Zeit weniger auf die Qualität der Passwörter, die sie verwenden.
Sich im Laufe eines Jahres ein komplexes, schwer zu knackendes Passwort zu merken, ist viel einfacher, als im selben Zeitraum sechs einfache Passwörter zu verwenden.
7. Wenn man sein Passwort vergisst, ist man permanent von einem Konto ausgesperrt
Das ist nur unter ganz bestimmten Umständen der Fall. Für die überwiegende Mehrheit der Benutzer von passwortgeschützten Plattformen ist es ganz einfach, ein Konto wiederherzustellen.
Egal, ob Social-Media-Websites wie Instagram oder Unterhaltungsplattformen wie Spotify oder Playstation Network: Du kannst ein vergessenes Passwort mit einigen einfachen Schritten zurücksetzen.
8. Bei Passwort-Sicherheitsverletzungen sind immer die Passwort-Benutzer schuld
Es ist einfach, Benutzern die Schuld in die Schuhe zu schieben, wenn Konten gehackt werden oder Anmeldedaten öffentlich geleakt werden. Schwache Passwörter sind jedoch nicht immer die Ursache für diese Datenpannen.
Wie in Mythos 5 bereits erläutert, wiegen viele Websites ihre Benutzer irrtümlich in Sicherheit, was die Stärke ihres Passworts betrifft. Die meisten Websites fordern Benutzer nicht dazu auf, zusätzliche Sicherheitsmaßnahmen zu nutzen.
Noch schlimmer: Manchmal werden Passwörter sogar im Dark Web veröffentlicht, wenn Unternehmensdateien ungesichert sind. Auf der Seite have I been pwned kannst du herausfinden, ob deine Anmeldedaten online verfügbar sind. Unternehmen sollten sich bewusst sein, welche Rolle sie beim Schutz von Benutzerpasswörtern spielen.
9. Komplexität ist immer besser als Länge
Komplexität ist enorm wichtig – Länge jedoch auch. Nicht ohne Grund verlangen die meisten Websites eine Mindestanzahl an Zeichen für ihre Passwörter, denn hier gilt: Je länger, desto besser.
Es ist schwieriger, komplexe Passwörter mit wenigen Zeichen zu erstellen. Selbst eine zufällige Aneinanderreihung von Buchstaben und Sonderzeichen kann relativ schnell geknackt werden, wenn sie nur sechs Zeichen lang ist.
Länge und Komplexität sind die zwei wichtigsten Aspekte einer guten Passwortsicherheit. Wenn du diese beiden Aspekte berücksichtigst, ist dein Konto viel schwerer durch Brute-Force-Angriffe zu hacken.
10. Man braucht keinen Passwort-Manager
Vielleicht tust du das ja bereits. Ein Passwort-Manager ist ein tolles Tool, um fast alle der in diesem Beitrag erwähnten Risiken zu begrenzen.
Mit NordPass kannst du lange, komplexe Passwörter generieren und sie in sicher verschlüsselten Tresoren speichern. Wenn du dich dann in einem Konto oder Profil anmeldest, füllt NordPass das Formular automatisch für dich aus. Du musst dir deine Passwörter also nicht mehr merken – NordPass erledigt das für dich.
Ein guter Passwort-Manager ist das Herzstück einer starken Online-Sicherheitsstrategie.