Password Manager

Passwortmanager – leider noch viel zu wenig genutzte «Datensicherer»

Kurze, triviale Passwörter und ihre unsichere Verwendung sind sehr häufig die Ursache dafür, dass sich Cyberkriminelle Zugang zu persönlichen Accounts verschaffen können, sowohl im Privatbereich als auch bei Unternehmen. Theoretisch ist uns allen bewusst, dass wir viele verschiedene Passwörter nutzen sollen und dass diese keinesfalls naheliegend sein sollten. In der Praxis sieht es aber leider meist anders aus, denn heutzutage benötigt man so viele Passwörter, dass sich kein Mensch alle merken kann, schon gar nicht, wenn sie lange und kompliziert sind. Ein Passwortmanager wäre oft die Lösung für dieses Problem. Wieso wird er noch nicht häufiger genutzt? Schauen wir uns die aktuelle Passwortsituation einmal an:

 

Die Empfehlungen der Experten

Die Empfehlungen zur sicheren Wahl von Passwörtern klingen auf den ersten Blick einfach: Für jede Webseite und jeden Dienst bitte ein einzelnes Passwort verwenden, das komplex ist, Zahlen, Buchstaben und andere Zeichen enthält, und nicht leicht zu erraten ist. Heutzutage kann dies aber sehr schnell 100 verschiedene Webseiten, Apps und Dienste betreffen, wenn man jede App und Webseite berücksichtigt, die man nutzt. Wie soll das funktionieren?

Werfen wir erst mal einen Blick auf die Problematik!

 

Nr. 1: die Wiederverwendung von Passwörtern

Wer Passwörter für verschiedene Webseiten wiederverwendet, macht es Angreifern unnötig einfach. Dies hat verschiedene Gründe:

Es gibt einige grosse Webseiten und Dienste, für die fast jeder Internetnutzer einen Account besitzt. Gemäss «Similarweb, Juli 2023» waren folgende 5 Dienste und Webseiten am populärsten:

RangWebseite
1google.com
2youtube.com
3facebook.com
4instagram.com
5twitter.com

Darüber hinaus gibt es noch weitere Dienste, für die fast jeder Nutzende einen Account hat, z. B. Microsoft, Apple (jeder mit einem iPhone), Android (jeder mit einem Android-Smartphone), Samsung (jeder mit einem Samsung Smartphone) oder Amazon, Netflix und LinkedIn.

Wenn jemand Drittes nun in den Besitz eines der für diese Websites und Dienste genutzten Passworts kommt, ist es ein Leichtes, dieses Passwort einfach an anderer Stelle für einen der populären Dienste auszuprobieren. Und schon wurden statt einem Konto 2 oder mehr Konten gehackt.

 

Nr. 2: Lange Passwörter

Wieso Passwörter «komplex» sein sollen, ist schnell erklärt: Je kürzer ein Passwort desto einfacher kann es «geknackt» werden. Im einfachsten Fall probiert ein Angreifer einfach alle möglichen Kombinationen von Buchstaben und Zahlen durch, bis er das richtige Passwort errät. Das schafft ein gutes Computerprogramm auf schneller Hardware innert Sekunden. Jede zusätzliche Stelle im Passwort erhöht aber die Komplexität und damit Dauer zur Berechnung der Lösung beträchtlich – ein Beispiel:

Nehmen wir an, dass ein Passwort aus a-z, A-Z und 0-9 bestehen darf. Das heisst, für jede Stelle gibt es jeweils 62 Kombinationsmöglichkeiten – nämlich: 26 + 26 + 10 = 62

Beispiel:

  • Wenn wir nun ein vierstelliges Passwort wählen, ergibt dies  62 * 62 * 62 * 62 Möglichkeiten, also 14’776’336, ca. 15 Millionen Möglichkeiten
  • Fügen wir nur eine einzige weitere Stelle hinzu, und verwenden ein fünfstelliges Passwort, sind es schon: 62 * 62 * 62 * 62 Möglichkeiten, also 916’132’832, ca. 920 Millionen Möglichkeiten

  • Ein Computer, der pro Sekunde 500‘000 Passwörter ausprobieren kann, benötigt für die Berechnung von 15 Millionen Möglichkeiten ca. eine Minute, für 920 Millionen aber immerhin bereits ca. 30 Minuten! Mit der Wahl eines langen Passwortes kann man das Knacken des Passwortes also wesentlich erschweren, bzw. den Prozess sehr in die Länge ziehen.

 

Nr. 3: Komplexe Passwörter

Nun könnte man auf die Idee kommen, einfach ein langes Wort zu wählen und vielleicht noch 2-3 Zahlen anhängen, um es komplexer zu machen, aber so dass man sich das Passwort immer noch gut merken kann. Beispielsweise also eine Kombination wie «Password123456».

Nach obenstehender Rechnung ist dies ein 14-stelliges Passwort mit 12’401’769’434’657’526’912’139’264 Möglichkeiten, wieviel das genau ist, spielt hier keine wesentliche Rolle. Denn leider haben die Angreifer noch einen weiteren Trick auf Lager, der den Sicherheitswert dieses 14-stelligen Passworts massgeblich mindert: Sie führen sogenannte «Wörterbuchattacken» durch. Dabei werden nicht einfach stumpf alle Buchstaben- und Zahlenkombinationen ausprobiert, sondern auch Wörterbuch-Einträge, bzw. häufig verwendete Wörter. Diese beinhalten oft auch häufig verwendete Passwörter (wie unser oben gezeigtes Beispiel). Auf diese Weise benötigen die Programme wieder nur Sekunden, um das richtige Passwort zu ermitteln.

Ein Beispiel für eine derartige Liste finden Sie hier.

 

Nr. 4: Sparen Sie sich das Aus- und Vertauschen von Buchstaben

Übrigens: Das Vertauschen von Buchstaben, also z. B. a zu @ oder o wird zu 0 (Null) und ähnliches kann man sich ebenfalls getrost sparen, denn die Angreifer kennen natürlich auch diesen Trick. Meistens beinhalten die von ihnen benutzten Wortlisten auch bereits die entsprechenden Wortvarianten mit den möglichen Vertauschungen.

 

Aber wie sieht denn nun ein gutes, sicheres Passwort aus?

Nun, leider am besten so wie diese Beispiele:

  • oq9izQ3JHGH7ZN*evy..
  • 74ApCKC-4egKHTY_Dws@
  • sYpx9ApY3HDt.gJaZ*Ln

Wenn Sie jetzt sagen, dass man sich diese Passwörter ja niemals merken kann, dann haben Sie recht. Das müssen Sie aber nicht, denn genau dafür ist der Passwortmanager da. Er speichert alle von Ihnen genutzten Passwörter für Sie ab und Sie müssen sich nur ein einziges Passwort merken. Wie das funktioniert, erfahren Sie im nächsten Kapitel.

 

Der Passwortmanager als Retter in der Not

Einen Passwortmanager können Sie sich wie ein sicheres Notizbuch vorstellen, mit dem Unterschied, dass Sie es nicht verlieren und dass es nur Sie lesen können. In diesem Geheim-Notizbuch speichern Sie nun einfach alle Ihre langen und komplexen Passwörter ab. Die etwas weniger gute Nachricht: Auch für den Passwortmanager benötigen Sie ein sehr gutes Passwort, aber wenigstens nur eines.

Und es gibt gute Methoden, wie Sie sich dieses merken können: Denken Sie sich beispielsweise einen Satz oder ein Wortgefüge aus, auf den nur Sie kommen: z. B. ArztGlasDaumenNadelFaden (Denken Sie sich beispielsweise eine Geschichte aus, um sich den Satz zu merken).

So erstellen Sie Ihr «Masterpassword». In der nahen Zukunft müssen Sie sich nur noch dieses einzige Passwort merken. Wichtig: Nutzen Sie das Passwort (auch nicht in Teilen) an keiner anderer Stelle und für keinen anderen Zweck!

 

So richtet man sich einen Passwortmanager ein

Nachdem Sie einen Passwortmanager ausgewählt und mit Ihrem Masterpasswort eingerichtet haben, empfehlen wir Ihnen in einem ersten Schritt, alle Ihre Logins (so wie sie sind) in den Passwortmanager zu speichern und sich mit dem Passwortmanager vertraut zu machen.

Geben Sie sich eine Woche Zeit und speichern Sie einfach jedes Passwort, über welches Sie im Alltag «stolpern» im Passwortmanager ab. Nutzen Sie die Zeit ausserdem, um die Apps für den Passwortmanager auf alle Ihre Geräte zu installieren.

 

Passwortwechsel

Wenn Sie nun eine Woche lang Ihre Passwörter «gesammelt» haben, setzen Sie sich hin und gehen durch Ihre Passwörter. Ersetzen Sie alle Passwörter durch neue, starke Passwörter.  Nutzen Sie dafür am besten einen Passwortgenerator, der in den meisten Passwortmanagern integriert ist und mit dem Sie starke Passwörter erstellen und gleich im Passwortmanager abspeichern können.

 

Was Sie sonst noch tun können

Eine weitere, sehr sinnvolle Massnahme zum Schutz Ihrer Accounts ist der Einsatz der sogenannten Multi-Faktor-Authentifizierung (MFA) oder 2-Faktor-Authentifizierung (2FA), mit welchen Sie Ihre Accounts absichern können (Lesen Sie unseren Artikel zum Thema).

Ausserdem gilt wie immer: Wenden Sie sich bei Fragen oder Unsicherheiten zum Thema gerne an unseren IT-Support unter +41 61 500 16 30 oder support@primetrack.ch. Wir können Ihnen selbstverständlich auch einen besonders benutzerfreundlichen Passwortmanager empfehlen, wenn Sie auf der Suche sind.

Marius Dubach, IT Security Consultant

+41 61 500 16 15
marius.dubach@primetrack.ch

icon_datalynxgroup_colored-1png
Ergänzende Services der Datalynx Gruppe