Am 1. Februar 2017 ist Ändere-Dein-Passwort-Tag. Hier ein paar Tipps zum besseren Handling – von Passphrase bis Passwortmanager.

Hallo. Was dem einen ein beliebter Gruß, ist dem anderen – ja, wirklich – sein Passwort. Bei Passwörtern ist es wie mit Dingen, die uns nicht gut tun: ungesundes Essen, wenig Schlaf, wenig Sport – jeder weiß es und trotzdem ignoriert man dieses Wissen gern mal. Wir benutzen viel zu einfache Passwörter – ein Blick auf die Top 10 der meistverwendeten deutschen Passwörter 2016 könnte zum Lachen und Weinen gleichzeitig animieren. Um das Dilemma weiter zu steigern, setzen wir ein und das selbe Passwort auch noch für die verschiedensten Benutzerkonten und Plattformen ein. Für Hacker sind sowas offene Türen. Und als würde man ihnen dazu noch frische Blumen auf den virtuellen Tisch stellen. Damit das Bewusstsein der Menschen für sicherere Passwörter geschärft wird, gibt es seit 2012 den Ändere-Dein-Passwort-Tag (Change your password day).

Fühlen Sie sich ertappt? Okay, man muss schon ein wenig aus seiner Komfortzone kommen, um der eigenen Datensicherheit genug Aufmerksamkeit zu widmen. Das gilt übrigens auch für ITler und netzaffine Menschen (falls jemand denkt, die halten sich von Haus aus an diese Regeln). Wie das „perfekte“ Passwort aussieht, ist weitestgehend bekannt: Komplex sollte es sein, dennoch kein reales Wort – schon gar keines, das persönliche Bezüge hat, dafür mit Groß- und Kleinbuchstaben versehen und mit Zahlen und Sonderzeichen garniert. Aber was sein muss, muss sein, um heutigen Sicherheitsanforderungen zu genügen. Keine Panik, es gibt Mittel und Wege, die Ihnen ein sicheres Passworthandling erleichtern.

Passphrasen nutzen

Kennen Sie noch „Mein Vater erklärt mir jeden Sonntag unsere neun Planeten“? Der Merksatz, den jeder Schüler im Astronomieunterricht gelernt hat, um sich mit Hilfe der Anfangsbuchstaben die Reihenfolge der Planeten unseres Sonnensystems zu merken (Merkur, Venus, Erde, Mars, Jupiter, Saturn, Uranus, Neptun und Pluto) – jedenfalls bis Pluto 2006 der bisherige Planetenstatus aberkannt wurde (seitdem erklärt der Vater statt neun Planeten gemeinhin den „Nachthimmel“). Wer früher – wir gucken nochmal zurück in die Schulzeit – versucht hat, mit den Zahlen seines Taschenrechners Wörter zu schreiben, weiß, dass die 3 zum Beispiel sich wunderbar als E eignet und die 5 locker als S durchgeht. Also spendieren Sie Ihrem Merksatz ruhig ein paar Sonderzeichen und Zahlen , tauschen Sie ein paar kleine gegen große Buchstaben – fertig ist Ihre Passphrase. L1n3TS0LäuFt1T!

Darüber hinaus gilt:

• unterschiedliche Passwörter (oder -phrasen) für unterschiedliche Konten
• keine Namen, Geburtsdaten oder ähnlich persönliche Angaben
• mindestens 12 Zeichen Länge
• Sonderzeichen, Groß- und Kleinbuchstaben mixen
• keine real existierenden, dafür möglichst kryptische Wörter
• nicht für Dritte zugänglich machen (nein, Zettel am Monitor sind nicht gut)
• regelmäßig ändern (zum Beispiel heute, am Ändere-Dein-Passwort-Tag)
• wenn möglich Zweifaktor-Authentifizierung nutzen (wobei neben dem Passwort noch eine zweite Verifizierung nötig ist)
• Passwort-Manager nutzen

Apropos Passwort-Manager

Das mit den sicheren Passwörtern ist ja gut und schön – aber wer kann sich sowas schon merken? Berechtigte Frage. Immerhin müssten die meisten Menschen – berufliche und private Konten zusammengezählt – gut zwei bis drei Dutzend Zugänge im Kopf haben. Ein Passwort-Manager, lokal installiert oder browserbasiert, schafft Abhilfe. Die Software verwaltet, gesichert durch ein Master-Passwort, sämtliche Zugangsdaten. Mit den Jahren sind etliche Passwortsafes aus dem Boden geschossen, einige davon überzeugen durch ein hohes Maß an Sicherheit, z.B. durch Nutzung einer verschlüsselten Datenbank und sind unabhängig vom Betriebssystem sowie geräteunabhängig verfügbar. Auch unsere Techniker setzen auf Passwort-Manager. Björn Küttner zum Beispiel nutzt Password Safe – hier gibt es zwar keine Firefox-Integration, aber dafür Clients für Windows, Linux, Android und iOS. Die Aufbewahrung des Safes in der Dropbox ermöglicht den Zugriff von allen Geräten aus. Und während wir bei LINET auf das Open-Source-Projekt WebPasswordSafe setzen, kommt bei Moritz Bunkus privat der Online-Service LastPass zum Einsatz, der bei lokaler Verschlüsselung vor allem sowohl im Browser funktioniert als auch auf dem Handy eine gute App mitbringt. Jair Ritter hat sich für eine andere Lösung entschieden und stellt diese mal ein bisschen genauer vor:

[bs_collapse id=“collapse_5d17-a01d“]
[bs_citem title=“KeePass Password Safe“ id=“citem_8fd9-2ed8″ parent=“collapse_5d17-a01d“]

KeePass Password Safe ist ein Open-Source-Programm zur Verwaltung von Benutzernamen, Passwörtern und beliebigen weiteren, selbst anlegbaren Werten. Alle Daten werden hierbei in einer verschlüsselten Datenbank abgelegt, welche als .kdbx-Datei gespeichert wird. KeePass-Clients stehen für nahezu alle aktuellen Betriebssysteme bereit (Windows, Linux, Mac OS X, Android, Windows Phone, iOS, Blackberry etc.). Zudem bietet KeePass die Möglichkeit, sich durch Plugins erweitern zu lassen, was eine sehr komfortable Benutzung erlaubt.

Verbindung zur Firefox

Aktuell nutze ich den offiziellen KeePass-Client für Windows zusammen mit dem Plugin KeeFox. Dieses Plugin ermöglicht eine Verbindung zwischen KeePass und Firefox und ersetzt den Firefox-internen Passwort-Manager. KeeFox fragt nach dem Login auf beliebigen Webseiten, ob das Passwort gespeichert werden soll. Bestätigt man dies, wird das Passwort zusammen mit dem Benutzernamen und der URL in KeePass gespeichert. Beim erneuten Besuch der Webseite findet KeeFox das passende Login und füllt die entsprechenden Felder aus.

Mobile Nutzung

Um auch unterwegs auf meine Passwörter zugreifen zu können, nutze ich KeePass2Android auf dem Smartphone. Da meine .kdbx-Datenbank in meiner Nextcloud liegt, greife ich sowohl auf Android als auch auf Windows per WebDAV auf die Datenbank zu, um immer die aktuelle Datenbank auf allen Geräten zu haben. Auch KeePass2Android bietet eine bequeme Browserintegration. Einmal auf der Website angekommen, muss nur die „teilen“-Funktion des Webbrowsers genutzt und als Ziel KeePass2Android ausgewählt werden. Wie KeeFox auch, sucht KeePass2Android anhand der URL nach dem passenden Eintrag. Die gefunden Einträge können dann per Copy&Paste in die entsprechenden Felder eingefügt werden. Alternativ kann die Android-Tastatur geändert werden, welche dann zwei Buttons für „Benutzername“ und „Passwort“ enthält. Nach dem Login steht wieder die Standard-Tastatur zur Verfügung.
[/bs_citem]
[/bs_collapse]

In diesem Sinne: Happy Ändere-Dein-Passwort-Tag oder Change your password day – Sie wissen ja, was heute noch zu tun ist!

Grafik: Intel Security/McAfee