Der erste Februar war der „Ändere Dein Passwort-Tag“. Und auch wenn es nicht unbedingt sinnvoll ist, sämtliche unzähligen Passwörter ständig zu ändern, die Liste der beliebtesten Passwörter 2021 lässt ein wenig an der Lernfähigkeit der Internetnutzer zweifeln.
Ein kleiner Test: Lautet eines ihrer Passwörter „123456“? Wenn ja, dann belegen Sie einen Spitzenplatz. Denn wie schon in 2020 ist das der Deutschen liebstes Passwort. Im vergangenen Jahr folgte das überaus phantasievolle „passwort“ und die Zahlenkombination „12345“. Das zumindest hat das Hasso-Plattner-Institut über seinen Identity Leak Checker ermittelt. Über diesen kostenlosen Online-Service prüfen Millionen Nutzer, ob ihre persönlichen Daten in Verbindung mit der E-Mail-Adresse im Internet kursieren.
Im Umkehrschluss heißt das: diese Passwörter sind im Bruchteil einer Sekunde gehackt. Denn sie sind kurz und nutzen keine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – zwei wichtige Faktoren für sichere Passwörter.
Regelrecht fahrlässig ist es jedoch, wenn ein und dasselbe Passwort für verschiedene Dienste und Zugänge genutzt wird. Denn eine der wichtigsten Regeln für sichere Passwörter ist es, für jeden Zugang ein eigenes Passwort zu kreieren. Die REWE Group verbietet es daher ihren Mitarbeitenden auch in der Richtlinie für Informationssicherheit, dienstliche Passwörter für private Zugänge zu nutzen.
1. Möglichst lange Passwörter (mehr als 15 Zeichen) nutzen und dabei Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
2. Setzen Sie mehrere Wörter zu einem zusammen. Zum Beispiel „DrehmomentUndLeistung“. Nutzen Sie einen „Passwortsafe“. Und falls Sie einen solchen nicht nutzen wollen, ändern Sie das Passwort nur leicht ab für die genutzten Dienste, DrehmomentUndLeistung@eb für Ebay, DrehmomentUndLeistung@az für Amazon, etc.
Das Passwort bleibt auf diese Weise sicher, individuell für die genutzten Dienste und trotzdem leicht zu merken.
3. Wählen Sie für jeden Dienst ein neues Passwort. Keine Wörter aus dem Wörterbuch nutzen.
4. Wenn möglich die Zwei-Faktor-Authentifizierung aktivieren
Weitere Tipps und Informationen finden Sie auch in der SecurityInfo-App, die Sie sowohl aus dem Apple, dem Google und dem REWE-Appstore laden können.
Die Tipps sind m.E. nach kreuzgefährlich. Dass man das selbe Passwort nicht bei verschiedenen Diensten benutzen soll liegt ja daran, dass es immer noch sehr viele Dienste gibt, die das Passwort im Klartext speichern und dass es immer mal wieder Hackern gelingt in die Systeme von Diensten eindringen und sie stehlen. Wenn es eine einfache offensichtliche Regel gibt um aus dem Passwort bei Amazon, das bei Ebay zu machen, ist der Sicherheitsgewinn durch verschiedene Passwörter nicht mehr sehr groß.
Leider ist auch immer noch der Ungeist der Password Policies weit verbreitet, die die Anwender zwingen regelmäßig die Passwörter zu ändern, dabei Bedingungen stellen, welche Zeichenkategorien vorhanden sein müssen und z.B. zu fordern, dass das Passwort mit keinem der letzten 10 Passwörtern übereinstimmen darf und ähnliche Späße. Was bei diesen technokratischen Sicherheitsansätzen komplett vergessen wird ist der Faktor Mensch. Wer kann sich ständig neue kreative nicht erratbare Passwörter ausdenken und merken und dann noch für jeden Dienst neu? Am Ende bleibt den Leuten nur zu resignieren und ein potentiell unsicheres Passwort-Schema zu wählen das man verfolgt. Passwortmanager können helfen wenigstens verschiedene Passwörter für verschiedene Dienste zu pflegen, die nicht durch eine Regel voneinander abgeleitet sind.
Eigentlich wäre es am besten, wenn man Security über Krypto-Hardware wie z.B. FIDO-Tokens, die EID-Funktion des Personalausweises oder ähnliches für möglichst alle Dienste nutzen könnte.
Hallo, Herr Klein,
vielen Dank für Ihren Kommentar, zu dem ich gern Stellung beziehen möchte.
Die Zahl der Websites, die Kennwörter tatsächlich im Klartext speichern, ist sehr gering und zu diesen gehören auch sicher nicht die großen Online-Dienstanbieter. Darüber hinaus werden gestohlene oder entschlüsselte Kennwörter von den Angreifern praktisch nie individuell "überprüft", sondern sie werden automatisiert gegen andere Anbieter eingesetzt. Auf jeden Fall stellt eine individuelle Anpassung an die Zielsysteme eine deutlich höhere Sicherheit dar, als wenn der Anwender aus Faulheits- oder Erinnerungsgründen überall das selbe Kennwort nutzte.
Zur Komplexität bzw. dem Alter der Kennwörter: Hier stimmen die Sicherheitsverantwortlichen der REWE Group mit Ihnen und den meisten Kollegen anderer großer Unternehmen überein; leider aber gibt es immer wieder technische Gründe, die einem sofortigen Umstieg auf ausreichend lange Kennwörter, verbunden mit niedriger Wechselfrequenz, entgegen stehen. Unsere IT-Gesellschaften arbeiten aber an einer Lösung dieses Problems für REWE-eigene Anwendungen.
Zu Ihrem letzten Punkt schließlich: Der Artikel wendet sich an uns alle "privat". FIDO, EID, 2FA oder anderes ist sicher toll und wünschenswert, es wird aber (auch dauerhaft!) nur ein sehr kleiner Teil aller Anwender bereit und in der Lage sein, diese Verfahren auch zu nutzen. Amazon und GMX werden aber nicht den Großteil ihrer Kunden ausschließen wollen!