Die Krux mit den Passwörtern

Darf ich jetzt das folgende Bild posten, obwohl es unanständige Wörter enthält und ich meinen Blog als „jugendfrei“ deklariert habe? Ich riskiers: 😉

BewAi4sIUAEN0pvDieses Bild ist mir kürzlich irgendwo auf Twitter begegnet, und es bringt ein Problem an den Tag, mit dem wir uns alle immer wieder rumschlagen. Es kursieren viele Tricks und Vorschläge, wie sich einigermassen sichere Passwörter generieren lassen, die man sich hoffentlich auch noch merken kann – eine Patentlösung gibt es nicht. Es ist letztlich immer ein Abwägen zwischen Sicherheit und Praxistauglichkeit.

Selber halte ich es mit den Passwörtern so:

  • Ich benutze 1Password. Ein extrem hilfreiches Tool, mit dem ich stets all meine Passwörter einigermassen sicher und stets zuverlässig zur Hand habe. Es ist nicht ganz billig, doch habe ich den Kauf noch nie bereut. Es gibt Freeware-Alternativen wie KeePass oder LastPass, die ich aber selber nicht ausprobiert habe.

Bei der Wahl der Passwörter halte ich es pragmatisch. Ich unterscheide zwischen unwichtigen, wichtigen und sehr wichtigen Logins:

  • Unwichtige Logins sind solche, bei denen ich nichts von mir preisgebe und die ich oft anonym oder mit Fakenamen verwende. Dies ist z.B. bei Diensten wie Supportforen der Fall, bei denen ich gar kein eigenes Login will, die aber eins erfordern, wenn man z.B. einen Anhang zu einem Beitrag runterladen möchte. Auch Angebote wie Cineman zählen für mich zu den unwichtigen Logins. Da erlaube ich mir durchaus auch Passwörter wie 123456 (sofern vom Anbieter überhaupt akzeptiert) weil ich mir diese leicht merken kann und es mir völlig egal ist, wenn jemand sich zu diesen Logins Zugang verschafft.
  • Wichtige Logins: Dazu gehören Social Networks, also Twitter oder Tumblr (auch Facebook, dessen Account ich seit geraumer Zeit deaktiviert habe), mein Ricardo-Account und alle Konten, bei denen ich einkaufe. Auch das WordPress-Konto, mit dem ich diesen Blog schreibe, gehört dazu. Da wäre es mir nun wirklich nicht mehr egal, wenn sich jemand Fremder unter meinem Namen einloggen könnte. Hier benutze ich Passwörter, die nach heutigem Standard als sicher gelten (also mehr als 8 Zeichen, Gross- und Kleinbuchstaben, auch Sonderzeichen). Sie sind sich untereinander auch schon mal ähnlich oder sogar gleich.
  • Sehr wichtige Logins habe ich bewusst ganz wenige. Dazu zählt in erster Linie mein E-Mail-Account, aber z.B. auch mein Dropbox-Zugang. Hier habe ich für jedes Konto ein Passwort, das sich von allen anderen Passwörtern komplett unterscheidet.

Auch wenn ich in Schulhausteams bei jeder Gelegenheit sage, wie wichtig es ist, mindestens den Mailaccount mit einem wirklich sicheren Passwort zu versehen, erlebe ich es immer wieder, wie mir Kolleginnen – obwohl ich nie nach privaten Passwörtern frage! – mir bei privaten Support-Diensten bereitwillig und ungefragt ihr Mail-Passwort mitteilen, das dann oft auch noch so lautet wie z.B. der Vorname des Ehemannes. Oder ich kriege private Laptops in die Hand gedrückt, die mit keinem Benutzerpasswort versehen sind und ohne Anmeldepasswort direkt in den User-Account starten, wo sich dank im Browser gespeicherten Passwörtern auch problemlos das Web-Interface des privaten Mailaccounts öffnen lässt.

Peinlich, wenn der Chef so eine Mail erhält

Wer jedoch schon mal im Freundeskreis erlebt hat, was passiert, wenn sich Kriminelle Zugang zum privaten Mailaccount verschaffen, wünscht sich das niemandem – nicht sich selbst und vor allem auch nicht seinem eigenen Bekanntenkreis inklusive Freunden und Vorgesetzten. Nicht nur, dass sich jemand mit E-Mail-Zugang in der Regel fast alle übrigen Logins einfach rausfischen kann (wenn es sich um die Mailadresse handelt, die bei der Anmeldung bei den betreffenden Konten hinterlegt wurde), vom eigenen Mailacount werden dann auch noch ans ganze Adressbuch Mails verschickt wie

„Hallo Vorname – ich bin in London und mir ist das ganze Gepäck gestohlen worden, inklusiv Brieftasche und Reisepass. Kannst du mir bitte aushelfen?! Zahle bitte möglichst bald 1000 Fr. auf Konto Nr. xx.xxxxxx.xx ein. Ich werde dir das Geld ganz sicher wieder zurückzahlen – Vielen Dank und liebe Grüsse Vorname und Name des Mailkontoinhabers inkl. Signatur mit vollständiger Privatadresse

Peinlich, wenn der Chef von mir so ein Mail kriegt? Würde ich auch meinen. Schon gar nicht zu reden davon, wenn jemand das Geld wirklich eingezahlt hat und es nun wieder zurückfordert. Ein solches Szenario ist keineswegs unwahrscheinlich.

Mit wenig Aufwand ein vernünftiges Mass an Sicherheit

Man kanns nicht oft genug sagen: Zumindest für die eigene Mailadresse ist ein sicheres Passwort zwingend nötig, und wers wirklich sicher haben will, sollte auch eine Zwei-Schritt-Verifizierung in Erwägung ziehen. Und PCs oder sogar Laptops, die ohne Passwort direkt ins Benutzerkonto aufstarten, sind ein No-Go.

Und wissen muss man auch: Es wäre seit Edward Snowdens Enthüllungen vermessen, von hundertprozentiger Sicherheit zu sprechen. Doch die Wahrscheinlichkeit, dass sich neben der NSA auch noch Kleinkriminelle Zugang zu den eigenen Daten verschaffen, lässt sich mit relativ wenig Aufwand signifikant verringern.

Advertisements

Ein Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s