Passwörter – die vergessenen Helden!
Jeder, der irgendwo und irgendwie schon einmal mit IT etwas zu tun hatte, kam dabei auch ziemlich sicher irgendwann mit Passwörtern in Berührung und genau darum geht es – um Passwörter und Sicherheit!
In diesem Blogbeitrag will ich Euch ein bisschen etwas über Passwörter erzählen…
Passwörter, Schlüssel und sonstige Zugangsbeschränkungen.
Ganz allgemein ist zu sagen, dass der Mensch an sich BÖSE ist!
Deswegen gibt es schon seit Anbeginn der Menschheit einerseits Versuche, Zugänge zu Dingen zu beschränken und anderseits Versuche, diese Beschränkungen zu umgehen.
Adam und Eva
Ich will jetzt nicht bei Adam und Eva anfangen, als die Schlange die Frau mit dem Zugangstoken zur Allwissenheit überlistete und diese dann damit ihren Mann ins Unglück stürzte.
Die Geschichte ist allgemein bekannt und wie es ausging wissen wir.
Einmal nicht auf die Credentials aufgepasst und zack – die ganze Menschheit im Eimer.
Man könnte sagen: Mein Gott, wieso lässt Du Deine Passwörter auch überall herumliegen?
Ein Apfel als Zugangsbarriere zu einem geschlossenen Informationssystem?
Da muss doch etwas faul sein!
So etwas soll es aber auch heute noch geben, daher aufpassen, wenn der Apfel angebissen ist!
In der heutigen urbanen Gesellschaft stehen die Wissenskisten aber meistens in Gebäuden und die Würmer und Trojaner kommen durchs offene Fenster.
Gut, über die Zeit gab es dann Schlüssel und mechanische Zugangsbeschränkungen und mit ausreichend leistungsfähigen Computern wollte der Mensch auch diese wirksam gegen unliebsame Besucher schützen.
„Pass – words“ sind geheime Zugangswörter und die gab es schon ganz früh – Geheimworte zur Zugangsbeschränkung – ohne das geheime Wort kommst Du nicht in unsere Höhle!
War das Password nicht gut genug gewählt, dann saßen eben bald andere in Deiner Höhle.
Oder später bei den Römern und im Mittelalter wurde der Cäsar kurz mal gemeuchelt, weil irgendwer das geheime Passwort verraten hatte, mit dem man an den Wachen vorbeikam.
Bei den Griechen war es das Trojanische Pferd, aber das ist ein anderes Kapitel!
Angeblich ging das ohne Passwort, da wurde gleich das ganze Sicherheitssystem ausgehebelt.
Analog am PC heute: klick nicht auf jeden Mist! Pferde sind nicht mehr so aktuell, aber Katzenbilder tun es meistens genauso!
Stecke keine fremden USB-Sticks an Deinen Computer!
Als ich ungefähr 1982 mit der IT angefangen habe, besaßen die meisten persönliche Computer noch ein Schloss. Zwar meistens recht primitiv, aber immerhin: ein Schloss versperrte den Zugang!
Irgendwann wanderte der Schutz von der Hardware in die Software und manifestierte sich in sogenannten Passwörtern. Und darum geht es hier:
Wähle weise!
Für den Zugang zu Deinem PC solltest Du ein Passwort einrichten. Moderne Systeme lassen sich gar nicht mehr ohne Passwort installieren (das kann man zwar meistens irgendwie umgehen, sollte man aber nicht!).
Du solltest Dein Passwort klug wählen und nicht „Passwort“, „123456“ oder ähnliches.
Auch solltest Du Dein Passwort niemandem verraten. Passwörter sind nun mal geheim und sollen es bleiben!
Nutze Groß- und Kleinbuchstaben. Gerne darf Dein Passwort auch Zahlen und Sonderzeichen enthalten.
Aber Achtung – manche Systeme sind empfindlich für manche Zeichen. Umlaute beispielsweise oder Prozentzeichen, Leerzeichen, Querstrich, Kommata und Dollarzeichen, werden auch heute noch von manchen Geräten falsch interpretiert.
Als ich mich noch in 2021 bei einer großen Telekomfirma angemeldet habe, wurde zwar mein Passwort akzeptiert, aber beim Anmelden ging nichts mehr. Denn dummerweise akzeptierte die Registrierung mehr Zeichen, als später das Anmeldefeld. Ein Fall inkonsistenter Programmierung. Das war natürlich etwas ungeschickt. Der „Schlumpf$“ wurde zwar beim Registrieren akzeptiert, wurde aber bei der Anmeldung abgelehnt.
Die Ursache liegt in der Entwicklung der Computer. Früher gab es einige Zeichen, die verboten waren, da sie für Systemfunktionen reserviert waren. Heutzutage sind solche Zeichen bei Hackern immer noch sehr beliebt, weil viele Systeme immer noch sensibel darauf reagieren.
Fehlendes Sicherheitsbewusstsein
(Das Folgende ist eine vereinfachte Darstellung eines komplexeren Problems):
Als ich vor einigen Jahren in einer Firma die IT betreut habe, arbeiteten alle mit demselben Benutzernamen. Man hatte ja nichts zu verbergen. Es gab nur einen Benutzer im Netz.
Das war nicht besonders schlau und ich wollte das ändern. Nach langen Diskussionen hatte ich mich durchgesetzt. Jeder bekam einen eigenen Benutzernamen + Passwort.
Eine Woche später musste ich dann feststellen, dass die Leute mit den Passwörtern der Kollegen angemeldet waren. Auf meine Frage, was das soll, hieß es: „Ich dachte, an dem PC geht das nur mit dem Benutzernamen des Kollegen“, „Die Kollegin ist im Urlaub und ich arbeite an ihrem PC weiter“, „Der PC wird nie ausgeschaltet und da war noch der Kollege angemeldet“, „Ich habe mein eigenes Passwort vergessen“, usw.
Neue Kollegen bekamen einfach den Namen+Passwort eines anderen Mitarbeiters.
Die Passwörter waren zwangsweise auf einer Liste beim Chef hinterlegt.
Offensichtlich konnte ich das Problem nicht gut genug erklären.
Anständige Schulungen für die IT waren der Firma aber zu teuer.
Ein Sicherheitsbewusstsein gab es damals nicht (das ist aber auch schon ein paar Jahre her).
Früher wurde übrigens in vielen Firmen so gearbeitet.
Es gab die User „Buchhaltung“ und „Sekretariat“, mehr brauchte man nicht. Vielleicht noch den „Chef“, der gleichzeitig Administrator war, obwohl er keinerlei Ahnung von Computern hatte.
Das waren spannende Zeiten und oft war es sehr mühsam, solche Dinge zu korrigieren.
Ein Bewusstsein für die Folgen dieser sorglosen EDV-Nutzung war nicht vorhanden (und ist auch heute nur wenig verbreitet!)
Ich vermute, dass auch in 2021 oft noch so gearbeitet wird.
Dann sollte allerdings zumindest ein gutes Konzept für die Datensicherung vorhanden sein.
Früher habe ich mich sehr oft darüber geärgert, heute kann ich mich zurücklehnen und ganz ehrlich – bei den ganzen News über IT-Probleme in allen möglichen Bereichen der Gesellschaft, kann ich nur müde lächeln – das war und ist alles zu erwarten. Und es wird vermutlich noch viel heftiger werden!
Alternativ habe ich ein Konzept entwickelt, das ich gerne kostenlos zur Verfügung stelle:
Verwende Passwörter!
Auch wenn Du es für unnötig hältst – verwende Passwörter!
Irgendwann wird irgendwo ein Problem auftauchen, vor dem Dich ein Passwort geschützt hätte. Nachträglich Zugangsdaten zu ändern ist meistens schwieriger, als gleich richtig anzufangen!
Verwende lange und kreative Passwörter!
Einfache Passwörter können leicht erraten oder durch Ausprobieren herausgefunden werden. Nutze daher lange Passwörter. 8 Zeichen oder mehr sind gut! Aber vermeide zu einfache Zeichenfolgen. „Passwort“ oder „Passwort123“ sind tabu. Genauso wenig sollte „123456“ verwendet werden und auch „qwertz“ ist doof – falls Du es nicht erkennst – das ist einfach eine Reihe in Deiner Tastatur.
Sei kreativ. Kryptische Zeichenfolgen sind schwierig, einfache Worte leicht zu erraten. Nutze mehrere Worte und verschachtle sie, mische Zahlen dazwischen, baue Dir Eselsbrücken.
Beispiel: Max und Susi haben 2020 geheiratet, dann ist Max2020 oder Susi20 schlecht, aber MS2au0xs2i0 gut. Erkennst Du die Regel dahinter? Schwer zu merken, aber einfach zusammenzustückeln. Vermische noch grOSS- und kLeinbUChstaben, füge Sonderzeichen ein – fertig ist das sichere Passwort.
Immer nur ein Passwort!
Verwende ein Passwort nicht für mehrere Dienste!
Bist Du in Foren oder auf verschiedenen Webseiten unterwegs? Nutze für jede Seite ein anderes Passwort. Idealerweise auch einen anderen Benutzernamen und wenn es geht – unterschiedliche Mail-Adressen. Denn wenn ein Forum oder Dienst gehackt wurde und Dein Benutzername+Passwort irgendwo auftaucht, dann kannst Du sicher sein, dass die Kombination früher oder später auch anderswo ausprobiert wird.
Passwortmanager sind gut!
Kein Mensch kann sich alle Passwörter merken, aber deswegen überall das gleiche Passwort zu verwenden ist keine Alternative! Nutze Programme zur Passwortverwaltung – Passwortmanager!
Passwörte sollten lang sein, komplex und immer unterschiedlich. Einfache Passwörter zu verwenden ist keine Alternative, daher empfehle ich einen Passwortmanager.
Ich nutze KeePassXC. Das ist so ein Passwortmanager. Es gibt viele verschiedene Programme für diesen Zweck. Prüfe die Bewertungen der Programme und teste sie einfach aus. KeePassXC ist OpenSource und läuft auch unter Linux.
Für einen Passwortmanager benötigst Du nur eine Kombination aus Zugangsdaten, den Hauptschlüssel. Damit werden alle Deine Passwörter in einer geheimen Datenbank verschlüsselt und geheim abgelegt.
Dein Passwort für den Passwortmanager sollte deswegen gut gewählt sein und vergiss nicht, ein regelmäßiges Backup anzufertigen.
Der Passwortmanager speichert Deine Passwörter und gibt sie Dir auf Wunsch frei oder loggt Dich automatisch bei Diensten und Webseiten ein.
Du kannst bei manchen Passwortmanagern auch die Datenbank auf einem Netzlaufwerk speichern oder für ganz mutige – in einer Cloud ablegen. Da die Datenbank verschlüsselt ist, kann normalerweise trotzdem niemand darauf zugreifen – normalerweise!
Ich empfehle trotzdem, die Passwortdatenbank nicht frei herumliegen zu lassen!
Damit kannst Du die Passwort-Datenbank auf mehreren Geräten synchronisieren.
Die in den Browsern integrierten Passwortmanager würde ich nicht empfehlen.
Da liegen die Passwörter bei Microsoft, Mozilla oder anderen Anbietern, die Du nicht kennst und die teilweise US-Recht unterliegen! Niemand kann garantieren, dass Deine Daten dort sicher sind.
Nutze 2FA – Zwei-Faktor-Authentisierung!
Wenn es geht und ein Dienst das anbietet, dann nutze die Zwei-Faktor-Authentisierung!
Dabei werden einfach 2 verschiedene Komponenten zur Zugangskontrolle kombiniert.
In Spielfilmen sieht man oft den Augenscan (Iris) + Code-Eingabe am Zahlenfeld. Oder Scan der Handlinien oder Fingerabdrücke + Schlüssel. Es geht darum, 2 verschiedene Faktoren zu verwenden.
Wenn jemand Dein Passwort erraten hat, fehlt ihm trotzdem der andere Faktor. Falls er Deinen Schlüssel gestohlen hat, kommt er nicht weiter. Hat er aber beide Faktoren gestohlen, nun ja – shit happens!
Schneidet Dir jemand den Daumen für den Fingerabdruck-Scan ab oder reisst Dir den Augapfel für den Irisscan aus, dann hast Du sowieso andere Probleme.
Wichtig dabei: Die Faktoren müssen unterschiedlicher Art sein. Also nicht 2 Passwörter oder 2 Pins, sondern Passwort + Schlüssel oder Pin und Scan (Auge, Fingerabdruck).
Bei 2FA werden 3 Arten unterschieden: Besitz, Wissen und Biometrie.
Besitz ist beispielsweise ein Schlüssel, eine Chipkarte, ein Sicherheitstoken, eine APP für Einmal-Kennworte (OTP)
Wissen ist ein Passwort, eine Pin oder eine Transaktionsnummer.
Biometrie kann ein Fingerabdruck, ein Augenscan-Muster, eine Stimme oder ähnliche sein, das für jeden Menschen unterschiedlich ist.
Es sollten immer 2 Faktoren aus den 3 unterschiedlichen Bereichen verwendet werden!
Vertraue Niemandem!
Egal, ob Du Dich für Passwörter, Apps, Hardware-Tokens oder Schlüssel entscheidest, vertraue NIEMANDEM! Und ich meine wirklich NIEMANDEM!
Passwortwechsel? Nicht nötig! Oder doch?
Manche Menschen meinen, man sollte seine Passwörter regelmäßig wechseln.
Während das bei Unterwäsche durchaus sinnvoll ist, braucht man das bei Passwörtern nicht unbedingt zu tun. Schaden kann es aber nicht, man sollte es aber richtig machen!
Wechselt man sein Passwort, dann gilt das gleiche, wie bei Unterhosen: Nur frische Passwörter sind gut!
Wenn Du also 3 Passwörter hast und die nur durchwechselst, dann kannst Du es gleich sein lassen.
Der Passwortwechsel ist in genau 2 Fällen sinnvoll:
1. Du wurdest gehackt oder ausgespäht – dann ist Dein System sowieso kompromittiert und Du solltest ALLES neu machen und austauschen.
2. Der Diensteanbieter, für den Du das Passwort nutzt, wurde gehackt und Deine Zugangsdaten kursieren jetzt im Internet. Das kann man manchmal erkennen, wenn man auf einmal ganz viele Werbemails bekommt. Dann weißt Du, dass Deine Mail in einem Verteiler gelandet ist. Allerdings gibt es dafür auch weitere Ursachen, wie z.B. die Verwendung Deiner Mail im Freundeskreis in einer CC:-Liste, wenn in der Verteilergruppe irgendein PC infiziert ist oder ähnliches.
Da Du oft nicht weißt, ob Du oder Dein Diensteanbieter gehackt wurde, kann der Passwortwechsel ab und an also durchaus sinnvoll sein.
Manche Anbieter fordern auch von sich aus, dass man regelmäßig sein Passwort ändert.
Niemand kann sich alles merken!
Damit man trotzdem sichere Passwörter verwenden kann, verwende einen Passwortmanager!
Passwörter niemals aufschreiben!
Es sei denn, Du kannst den Aufschrieb in einen Tresor legen, zu dem nur Du Zugang hast.
Überlege immer, wie sicher Du Deine Passwörter benötigst und wie sicher Du sie ablegen kannst.
100% Sicherheit gibt es übrigens nicht!
Wenn Du stirbst!
Keiner will freiwillig abtreten, aber falls Du Passwörter zu Zugängen hast, die auch für andere wichtig sind (Bank, Versicherung, etc.), dann überlege Dir ein Sicherungskonzept für Deine Angehörigen!
In diesem Fall gilt die obige Regel „vertraue niemandem“ natürlich nicht!
Sterben geht ganz plötzlich, da bleibt keine Zeit zum Reagieren – daher vorher ein Konzept erarbeiten.
Nimm Deinen Lebens-/Ehepartner als „Backupmedium“
Kleine Anekdote zu aufgeschriebenen Passwörtern:
Vor einigen Jahren wurde ich mal zu einem Kunden gerufen. Er wusste sein Passwort nicht mehr.
Vor Ort hat er mir dann erzählt, dass er das Passwort auf den Wandkalender geschrieben hatte.
Sehr pfiffig und er hatte sich sogar die Mühe gemacht, das Passwort über die gesamte Kalenderfläche zu verstreuen.
Nur leider hing nach den Weihnachtsferien ein neuer Kalender an der Wand und der alte war bereits entsorgt worden.
So, und jetzt drehe Deine Tastatur um und radiere das Passwort weg, das Du mit Bleistift von hinten draufgeschrieben hast! 🙂