Bild: Irina Strelnikova/Adobe Stock
Seit 2012 ist der 1. Februar der „Ändere Dein Passwort“-Tag. Er wurde ins Leben gerufen, um Nutzer dazu zu bewegen, sich um die Sicherheit ihrer Online-Konten zu kümmern. Das schlichte Ändern seiner Passwörter ohne besonderen Grund verringert aber oft die Sicherheit, statt sie zu erhöhen. Der „Ändere Dein Passwort“-Tag ist dennoch ein guter Anlass, seine persönliche Passwort-Strategie unter die Lupe zu nehmen.
Die digitale Welt ist ein untrennbarer Teil des modernen Alltags – entsprechend gut muss die Online-Identität geschützt sein. Dass man auf keinen Fall für unterschiedliche Dienste und Plattformen das gleiche Passwort verwendet, ist eine der grundlegendsten Voraussetzungen für den richtigen Umgang mit Passwörtern. Das Problem dabei: Passwörter sind um so sicherer, je komplexer sie sind. Komplexe Passwörter lassen sich aber nur schlecht merken.
Sollen Nutzer*innen ihre Passwörter dann auch noch regelmäßig ändern, verführt das zu Leichtsinn: Viele nehmen dann ein „sicheres“ Passwort, dass sie sich merken, und variieren es bei jeder Änderung oder für jeden Dienst nach einem einfachen – und damit unsicheren – Muster. Das ist besonders häufig der Fall, wenn ein Online-Service sehr strenge Vorgaben macht. Womit Nutzer schlimmstenfalls zu tun haben, zeigt You Shall Not Pass als Parodie auf überkomplexe Passwort-Anforderungen und schlechte Benutzeroberflächen in diesem Bereich.
Erlaubt dagegen ein Dienst jede beliebige Zeichenkombination als Passwort, machen es sich viele Nutzer*innen auf Kosten der Sicherheit sehr einfach. Deshalb sind die häufigsten Passwörter immer noch naheliegende und damit maximal unsichere Zahlen- und Buchstabenkombinationen, die Angreifer in Sekundenbruchteilen knacken können.
So nennt das Hasso-Plattner-Institut für das Jahr 2021 als die Top Ten deutscher Passwörter:
Der Passwortmanager-Anbieter NordPass kommt bei abweichender Datengrundlage zu einem ähnlichen Ergebnis und nennt für 2021 als Deutschlands Top Ten:
Auch wenn sie leicht zu merken sind – wer für wichtige Konten Passwörter wie „computer“, „hallo123“ „user“, „backend“ oder „internet“ nutzt, den Namen des Lieblings-Fußballvereins oder Vornamen aus dem eigenen Umfeld, handelt wie jemand, der seine Haustür sperrangelweit offenstehen lässt und auf einen Zettel auf dem Türrahmen „Abgeschlossen“ schreibt.
Die beste Lösung für eine durchdachte Passwortstrategie ist ein Passwortmanager, der komplexe, unterschiedliche Passwörter verschlüsselt speichert und so sowohl die Verwaltung als auch den Einsatz unterschiedlichster Passwörter vereinfacht. Zudem bieten viele Passwortmanager Zusatzfunktionen wie Hilfen zum Erzeugen sicherer Passwörter oder Warnungen vor gefährdeten Websites und möglichen Phishing-Attacken, etwa wenn sich die URL der aufgerufenen Website von der im Passwortmanager hinterlegten unterscheidet.
Wie bei der Wahl eines Passworts gilt es auch bei der Wahl eines Passwortmanagers zwischen Sicherheit und Bequemlichkeit abzuwägen. Online-Passwortmanager, die die Passwörter in der Cloud oder auf dem Server des Anbieters ablegen, ermöglichen den schnellen Zugriff von jedem Gerät aus und sind immer aktuell. Gleichzeitig sind sie aber auch gegenüber Hackerangriffen verwundbar – und man hängt immer von der Erreichbarkeit des Dienstes ab. Offline-Passwortmanager, die direkt auf einem Gerät laufen und auch die Passwort-Datenbank dort ablegen sind hier wesentlich sicherer. Dafür sind das Synchronisieren über mehrere Geräte hinweg und Backups aufwendiger.
Keine Frage: Wer unsichere – also leicht erratbare – Passwörter oder das gleiche Passwort für unterschiedliche Dienste nutzt, sollte diese auf jeden Fall so schnell wie möglich ändern. Wer dagegen schon eine sichere Passwortstrategie hat, muss ein Passwort nur ändern, wenn die Gefahr besteht, dass es kompromittiert wurde. Das kann durch einen Phishing- oder Hackerangriff auf den eigenen Rechner passieren. Weitaus häufiger ist jedoch, dass die Datenbanken der Dienstleister angegriffen werden, die mit Millionen Kundendaten lohnende Ziele darstellen. Der Worst Case ist ein erfolgreicher Angriff auf einen Passwortmanager – dann müssen Betroffene nicht nur ein oder zwei Passwörter ändern, sondern alle ihre dort hinterlegten.
Eine Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit eines Nutzerkontos erheblich, indem sie neben Loginnamen und Passwort noch weitere Elemente abfragt, die im Besitz oder Wissen der Nutzer*in sind. Deshalb bewegen viele große Online-Plattformen mit mehr oder weniger sanftem Druck ihre Kund*innen zum Einsatz solcher Verfahren. Auch hier gibt es mehr oder weniger einfache und mehr oder weniger sichere Varianten.
So erfüllt eine SMS aufs Handy zwar die Forderung nach einem zusätzlichen Faktor, ist jedoch alles andere als sicher. Ein Fingerabdruck hingegen ist zwar einzigartig, lässt sich aber nicht „entwerten“, wenn sich ein Angreifer – wie schon vielfach demonstriert – eine Kopie davon verschafft und damit Fingerabdruckscanner überlistet.
Grundsätzlich erhöhen 2FA und MFA die Sicherheit, weil Angreifer alleine mit Login und Passwort nicht weiterkommen. Wo sie möglich ist, sollten sich Nutzer*innen deshalb für diese Alternative entscheiden, auch wenn die Anmeldung damit minimal länger dauert. Gleichzeitig sollten sie aber auch bedenken, dass etwa beim Verlust des Handys mit der TAN-App oder eines 2FA-Tokens kein Zugriff mehr möglich ist. Deshalb sollten sie die in der Regel möglichen Backup- und Fallback-Möglichkeiten unbedingt nutzen und zumindest bei den wichtigsten Diensten wie dem Online-Banking mehr als eine Authentifizierungsmöglichkeit hinterlegen.