Wie sicher sind eigentlich eure Passwörter? (Hintergrund am Ende der E-Mail)
- benutze ich für jede Website ein eigenes Passwort?
- sind meine Online- (Websites, Foren, E-Mail, …) und Offline-Passwörter (Praxis, Bank, …) unterschiedlich?
- erfüllen meine Passwörter gewisse Mindeststandards:
- mindestens 8 Zeichen
- Groß- und Kleinbuchstaben
- Zahlen
- Sonderzeichen
- Besteht mein Passwort nicht aus echten Wörtern oder leicht zu erratenen Kombinationen?
Wenn einer dieser 4 Punkte oder Unterpunkte nicht erfüllt sind, besteht Handlungsbedarf!
Apps oder Onlinedienste die eine Passwortverwaltung anbieten sehe ich persönlich kritisch – wenn der Anbieter/das Handy gehackt wird, hat der Angreifer alle Zugangsdaten und -passwörter!
Ebenso kritisch zu sehen ist das Abspeichern von Passwörtern im Browser. Ist zwar praktisch, aber sowohl bei Firefox als auch bei Chrome kann man sich diese Passwörter im Klartext anzeigen lassen – ich brauche also nur kurz Zugang zu eurem Rechner, Foto vom Bildschirm, fertig. Abgesehen davon, dass dieses Passwörter ja auch wieder irgendwo gespeichert werden müssen – solche Dateien sind wieder angreifbar und gefundenes Fressen für Cracker (Hacker vs. Cracker bei Wikipedia).
Wie nun aber für wirklich jede Website ein eigenes Passwort entwickeln, das ganze immer abrufbar haben aber nicht in irgendwelchen digitalen (=angreifbaren) Medien speichern?!
Der Trick ist, sich ein “Grundpasswort” zu entwickeln, welches man für die jeweilige Website erweitert.
Eine schöne Handreichung ist hier diese Karte: https://www.sicher-im-netz.de/dsin-muster-passwortkarte – irgendwie aber immer noch umständlich.
Einfacher ist es, sich einen gut zu merkenden Satz zu nehmen und diesen zu einem Passwort zu reduzieren:
“Meine drei Hunde heißen Bertram, Gisela und Anton.”
Immer den ersten Buchstaben nehmen, Zahlen umwandeln und Satzzeichen drinlassen:
M3HhB,GuA.
Sogar 10 Zeichen, Groß- + Kleinbuchstaben, eine Zahl, 2 Sonderzeichen – ziemlich gut.
Nun zur Individualisierung: Hier sollte man sich eine Regel schaffen, z.B. die ersten drei Buchstaben der besuchten Website:
www.chiro.consulting wäre “chi”
Mein Passwort für www.chiro.consulting wäre also:
Amazon: M3HhB,GuA.ama
etc. pp.
Alles was ich mir merken muss:
1 Satz
1 Grundregel
Nun zum Hintergrund:
In den letzten Wochen sind bei mindestens 2 Kollegen in Großbritannien die Websites gehackt worden. Aber nicht einfach als “Einbruch” auf dem Webspace, sondern perfider und damit deutlich langwieriger zu beheben:
Als erstes wurde das E-Mail Konto geknackt. Mit dieser E-Mail wurde dann bei der Firma, bei welcher die Domain (z.B. chiro.consulting) registriert war, ein Authentisierungscode angefordert. Dies ist ein völlig normaler Vorgang bei einem rechtmäßigen Verkauf einer Domain.
Mit diesem Code wurde der Domainname an eine neue Person (die zudem nichts davon wusste und unbeteiligt ist) übertragen, unter deren Namen ein anderer Webspace angemietet wurde.
Auf diesem Webspace befindet sich z.B. ein Onlineshop für imitierte Uhren, Schmuck, Kleidung.
In beiden Fällen haben die Kollegen erst durch irritierte Patienten von dem Hack erfahren, es vergingen ca. 4-6 Wochen bis zur rechtmäßigen Wiedererlangung der Domains und es entstanden Anwaltskosten von je über 1000,00 EUR.
Ist das mit den individuellen und sicheren Passwörtern immer noch zu kompliziert?!
Viele Grüße,
Timo Schmidt