Samstag, 01. Feb. 2020 07:00 - [ar] - Quelle:Eigene
Mit dem "Change Your Password Day" wird jedes Jahr am 1. Februar daran erinnert, seine Passwörter regelmäßig zu ändern. Das dieses Vorgehen alleine nicht wirklich einen hohen Mehrwert an Sicherheit bietet, sollte man dabei auch immer im Hinterkopf haben.
Der 1. Februar ist trotzdem ein guter Tag um sich intensiver mit seinen Passwörtern auseinanderzusetzen. Neben den bekannten Verbesserungsvorschlägen wie ein besonders langes Passwort zu verwenden, niemals ein Passwort für zwei Dienste zu nutzen oder keine privaten Informationen wie das Geburtsdatum als Passwort zu verwenden, gibt es heutzutage noch andere Dinge bei der Passwortvergabe zu beachten.
Wer viel im Internet unterwegs ist, dürfte aktuell um einen Passwortmanager nicht mehr drum herumkommen. Mit 1Password, Dashlane, KeePass, LastPasst und Bitwarden sowie zahlreichen weiteren stehen dem Nutzer gleich mehrere davon zur Verfügung. In vielen Fällen können die Passwörter so zentral gespeichert werden, was auf der anderen Seite aber auch wieder ein Sicherheitsrisiko darstellt. Alternativ können bei vielen Diensten auch lokale Sicherungen als Passwörtdatei verwendet werden.
Die Wahl des Passwortmanagers ist dabei nicht entscheidend, sondern dass dieser auch konsequent genutzt wird. Der beste Passwortmanager hat keinen Nutzen, wenn dennoch das beliebte, seit Jahren immer wieder genutzte Passwort verwendet wird, weil man es ja kennt und auch nicht vergessen wird. Ein Passwort, welches man selbst allerdings gar nicht kennt und über ein starkes Masterpasswort gesichert ist, stellt am Ende die deutlich bessere Variante dar.
Will man keinen Passwortmanager nutzen und die Passwörter im Kopf behalten, bietet sich ein Blatt Papier an um sich die wichtigen Passworter aufzuschreiben. Alternativ kann man sich selbst auch ein System ausdenken um einfache Passwörter zu generieren. Eine einfache beliebte Methode ist zum Beispiel sich mehrsilbige, sprechbare Fantasieworte auszudenken und diese mit Sonderzeichen und Nummern zu ergänzen. Dazu kann man sich entweder komplett neue Worte ausdenken, wie "Mexa&Klumpo1337". Wichtig ist, dass man dabei keine realen Worte benutzt und einen breiten Umfang von Zeichen nutzt. Also Groß und Kleinschreibung kombiniert und eventuell eben noch Sonderzeichen und Zahlen einfügen. Alternativ kann man auch einzelne Silben aus Lieblingsworten zu einem Wort zusammen fassen. Solche Passworte sind einfacher zu merken als zufällige Buchstabenkombinationen bieten aber fast die gleiche Sicherheit, insbesondere wenn die Wortkombinationen lang sind, also mehr als 16 Zeichen.
Wenn man ein neues Passwort setzt, sollte in jedem Fall auch gleich überprüft werden, ob die E-Mail-Adresse schon einmal Teil einer gehackten Datenbank war. Wenn die eigene E-Mail-Adresse kompromitiert ist, kann damit quasi auch jeder Dienst, der mit dieser Mail-Adresse genutzt wird, mit einem neuen Passwort zurück gesetzt werden.
Die Prüfung der Mail-Adresse kann relativ Sicher über eine vertrauenswürdige Webseite geschehen. Wir empfehlen in diesem Fall Firefox Monitor, da die Auflistung der Datenlecks sehr gut aufgebaut und mit Datum versehen sind. Die Daten selbst stammen von "Have I Been Pwned".
Sollte das Passwort nach dem Datum des betroffenen Datenlecks bereits geändert worden sein, dürfte der E-Mail-Dienst selbst wieder sicher sein, allerdings sind trotzem alle anderen Dienste, bei denen das gleiche Passwort in Kombination mit der gleichen E-Mail-Adresse verwendet wurden ebenfalls kompromittiert.
Dies unterstreicht noch einmal die Wichtigkeit für jeden Dienst unterschiedliche Passworter und wenn möglich sogar verschiedene E-Mail-Adressen, zum Beispiel mit Hilfe von Alias-Adressen, zu nutzen. Und deshlab ist es auch wichtig, dass man alte Passwörter nicht noch einmal benutzt. Viele Dienst lassen deshalb auch die Verwendung von Passwörter, die schon einmal zuvor genutzt wurden, nicht mehr zu.
Wer seine eigene E-Mail-Adresse in einem Datenleck gefunden hat und noch nicht das Passwort geändert hat, sollte dies unverzüglich tun, da die Daten aus den Leaks meist frei verfügbar sind.
Um eine zusätzliche Sicherheitsstufe den Passwörtern hinzuzufügen, bieten viele Dienste bereits 2-Wege-Authentifizierung an. Dies setzt allerdings meist ein weiteres Programm voraus und kann unter Umständen zu Problemen im Ausland (SMS-Verifikation) oder bei Verlust des zweiten Endgerätes führen. Die 2-Wege-Authentifizierung ist derzeit aber eine der besten und sichersten Login-Möglichkeiten, um sicherzustellen, dass der Login auch von dem eigentlichen Eigentümer durchgeführt wird.
Making Memory for Memory Makers 
