Warum steckt man überhaupt viel Aufwand in die Wahl eines Passwortes? Wie kommt es, dass auch bei den kreativsten Passwörtern Sicherheitslecks bleiben?
Nachfolgend finden sich wertvolle Tipps zur Wahl des richtigen Passworts sowie zum allgemeinen Umgang mit Passwörtern.
Der Grund für die Wahl eines starken Passworts
Bei der Vergabe dreht es sich nicht allein darum, die eigene Identität gegenüber unberechtigten Zugriffen zu schützen. Insbesondere dann, wenn man am Computer oder mit dem Handy Dienste in Anspruch nimmt, kann der Verlust von Daten weitreichende Folgen haben.
Im digitalen Zeitalter nehmen die Zugriffsversuche auf Accounts und sensible Daten wie Bankverbindungen immer mehr zu und mit jedem neuen Tag werden die Strategien von Hackern ausgefeilter. So muss man sich nicht nur noch am heimischen PC schützen, sondern auch bei der Verwendung von Apps am Handy aufpassen.
Nicht nur die eigene Vorsicht bildet dabei eine potenzielle Angriffsfläche für Datendiebstahl. Auch Dienstleister, bei denen man registriert ist, müssen die nötigen Vorsichtsmaßnahmen heranziehen, persönliche Daten vor externem Zugriff zu schützen.
Aktuelle Studien belegen unverändert, dass es immer noch zu viele Personen gibt, die unvorsichtig mit ihren Daten umgehen. Dabei ist es gar nicht kompliziert, sich mit der Wahl eines starken Passworts langfristig vor Datendiebstahl und -Missbrauch zu schützen.
Das Passwort im Detail
Bei der Wahl stellt sich oft die Frage, wie kreativ man wirklich werden muss. Mit ein paar kurzen Tipps muss man sich allerdings nicht länger als nötig Gedanken darüber machen:
Je länger, desto besser
Oft wird beim jeweiligen Dienst bereits eine Mindestlänge für das Passwort vorgegeben, die zwingend einzuhalten ist. Pauschal lässt sich sagen, je länger das gewählte Wort, desto schwieriger ist es, es z.B. durch Hacker-Werkzeuge elektronisch auszulesen. Gibt der Anbieter eine zahlenmäßige Begrenzung vor, sollte man diese bis aufs Maximum ausnutzen.
Groß- und Kleinschreibung
Prinzipiell sollte man die Wahl von Groß- und Kleinschreibung willkürlich in das Passwort streuen. So muss das Wort in der Regel nicht mit einem Großbuchstaben beginnen.
Zahlen und Sonderzeichen nutzen
Ähnlich wie bei der Verwendung von Buchstaben gilt bei der Wahl von Zahlen und Sonderzeichen, diese so im Passwort zu platzieren, dass es keiner festen Logik zuzuordnen ist. So sollte ein Satzzeichen zum Beispiel nicht zwangsläufig am Ende eines Wortes stehen. Direkte Zahlenfolgen sollten vermieden werden (der klassische Fehler: 12345…).
Die richtige Aufbewahrung
Selbst das best-gestrickte Passwort ist gefährdet, wenn man es nicht sorgfältig geheimhält. Pauschal lassen sich folgende Regeln zur sicheren Verwahrung von Passwörtern formulieren:
Geheimhaltung
Nicht vergessen: Das Passwort ist persönlich und wird ausschließlich zur Registrierung, Login oder Nutzung des jeweiligen Dienstes genutzt. Alles, was darüber hinaus die Information abfragt, sollte als unberechtigter Zugriff abgeblockt werden. Keinesfalls wird man am Telefon, per Email oder von einem Dritten gebeten, das eigene Passwort offen zu kommunizieren.
Keine Hinweise liefern
Wer das Geburtsdatum, einen Teil der Postadresse oder sonstige Personenangaben ins Passwort integriert, bietet Unbefugten damit sogar noch mehr Angriffsmöglichkeiten. Auch intimere Daten wie der Name des Haustieres, Familienname vor der Hochzeit oder das Alter der Kinder können von Personen herausgefunden werden, sobald man auf öffentlichen Profilen gleichlautende Daten hinterlegt hat (Stichwort Social Media).
Die Wege gegen das Vergessen
So ein gut gestricktes Passwort kann und darf natürlich nicht plötzlich vergessen werden – man braucht es schließlich noch. Trotzdem sollte man dringend davon absehen, sich Passwörter aufzuschreiben – schon gar nicht gut lesbar für fremde Augen! Das fängt schon im eigenen Haushalt an – will man, dass die Kinder ans Passwort für Onlineeinkäufe gelangen oder Freunde beim Besuch erfahren, wie der persönliche Login für den Heimcomputer ist?
Natürlich ist es nahezu unmöglich, sich unzählige verschiedene Passwörter im Kopf zu behalten. Genau für diese Fälle schaffen Passwortmanager Abhilfe. Derlei hilfreiche Programme gibt es kostenlos im Internet zu beziehen. Bei der Wahl der geeigneten Software ist natürlich zu beachten, dass sie zertifiziert und vorab auf Sicherheit geprüft wurde – hierzu dienen unter anderem Stiftung Warentest und Gütesiegel wie das TÜV-Zertifikat.
Führt kein Weg daran vorbei, sich Passwörter händisch zu notieren, sollten die Notizen so verwahrt werden, dass Unbefugte keinen Zugriff haben. So kann der Passwort-Notizblock zum Beispiel im heimischen Tresor oder einer abschließbaren Schreibtischschublade aufbewahrt werden. Werden empfindliche Daten im Handy gespeichert, schützen Fingerabdruck-Scanner und PIN gegen ungewollte Nutzung – dasselbe gilt auch für Computer.
Der Umgang mit dem Passwort
Nicht genug damit, bei der Wahl des Passworts auf eine ausgefallene Kombination zu achten – auch auf den sicheren Umgang kommt es an.
Jedes Passwort ein Unikat
Das bedeutet soviel wie: Ein Passwort ist genau ein Mal zu verwenden. Registriert man sich mittels Passwort für verschiedene Dienste, so sollte jedes Mal ein eigenständiges Passwort vergeben werden. Der Nutzen sollte klar sein: Wird ein Passwort Opfer eines Missbrauchs, geraten andere Daten nicht unweigerlich auch in Gefahr.
Mehr Hürden, besserer Schutz
Wo möglich, sollte auf Zwischenschritte zurückgegriffen werden, um ein Passwort zusätzlich vor Zugriff zu schützen. Das heißt:
- Bildschirmsperre bei Computer und Handy
- daraus folgend zusätzliche PIN-Eingabe vor Entsperrung
- Fingerabdruckscanner einrichten, sofern beim Gerät vorhanden
- Mehr-Wege-Identifikation nutzen: einige Anbieter stellen separate Geräte zur Code-Eingabe vor der Anmeldung zur Verfügung (z.B. TAN-Generator bei Banken)
- alle Geräte bei längerer Nichtnutzung vollständig ausschalten
- gewissenhafte Prüfung, zu welchem Zeitpunkt das Passwort abgefragt wird
- länger verwendete Passwörter gelegentlich abändern (dabei nicht verkürzen oder vereinfachen!)
- Computer und Handy zusätzlich mit Antivirenprogrammen ausstatten, auch hilfreich sind Popup und Werbeblocker, um gar nicht erst ins Risiko des unbeabsichtigten Klicks zu kommen
- Nachrichten über aktuelle Fälle von Datenmissbrauch verfolgen, bei Bedarf entsprechende Absender z.B. in den Kontakten sperren/auf Blacklist setzen
- keine nicht vertrauenswürdigen Links/Popups u.Ä. anklicken oder Online-Zustimmungen bestätigen, ohne die zugrunde liegenden Vereinbarungen gelesen zu haben
Im Ernstfall
Generell gilt: Vorsicht ist immer besser, als das Nachsehen zu haben. Wurden empfindliche Daten erst einmal gestohlen, ist es oft schon zu spät, um z.B. das Bankkonto gegen den unmittelbaren Zugriff zu schützen. Manchmal merkt man auch einfach erst hinterher, dass Kontodaten entwendet wurden, wenn eine Rechnung ins Haus flattert oder eine nicht getätigte Bestellung eingeht.
Dennoch gibt es Tipps für den Ernstfall, die es zu beachten gilt:
- bei Verdacht sofort bestehende Passwörter zurücksetzen und abändern
- das Bankkonto, Kredit- und EC-Karte können auf telefonische Anfrage unverzüglich gesperrt werden
- Virenprogramm gegen Trojaner, Malware und Co durchlaufen lassen
- stellt sich ein Anbieter als unseriös heraus, beim jeweiligen Dienst abmelden und auf Datenlöschung bestehen (hier kann man sich auf die DSGVO berufen!)
- weitere potenzielle Sicherheitslücken erkennen und anderen Zugriffen aktiv entgegenwirken
Nachfolgend noch einmal einige Beispiele, bei denen es sich um einen besagten Ernstfall handeln kann:
- wurde das Handy gestohlen?
- ist das Portmonnaie nicht auffindbar oder steckt die EC-Karte nicht im gewohnten Fach?
- erhält man eine Email, die anhand Dateninhalt darauf vermuten lässt, dass bereits persönliche Daten unberechtigt abgefragt wurden?
- erhält man die Information, dass anderenorts eine Anmeldung getätigt wurde und man diese nicht selbst vorgenommen hat?
- wurde auf Social Media eine Art Fake-Profil erstellt, das dem eigenen ähnelt oder kursiert plötzlich eine Kopie davon?
- erhält man auffällig vermehrt Spam-Nachrichten, unbekannte Anrufe oder Kontaktanfragen?
- Warnungen vom Anbieter beherzigen (wie eingangs erläutert, legen seriöse Unternehmen hohen Wert auf den sicheren Umgang mit Daten – oft erkennen sie Lecks und Hacker-Angriffe schon im Vorfeld und kommunizieren dies an ihre Kunden)
Dennoch gilt es, Ruhe zu bewahren. Mit der korrekten Verhaltensweise zum Thema Passwort kann man dem Datenmissbrauch nicht nur vorbeugen, sondern auch nach dem Ernstfall sensible Daten noch nachhaltig schützen.