Wenn du online unterwegs bist und dabei Konten nutzt für deine E-Mails, zum Shopping, bei (mehr oder weniger) sozialen Netzwerken oder zum Streamen, dann brauchst du eines ganz sicher: starke Passwörter! Und mit «eines» meine ich auf gar keinen Fall, dass du nur ein einziges Passwort brauchst! 😉
Hier erfährst du:
- wie deine starken Passwörter aussehen (z.B. «1mDE,w1vüdAfmS&mLl.» oder «Tragegurt_Rasen_Courage_hilft_Kernthema»)
- wie du die grosse Anzahl Passwörter einfach verwaltest (z.B. mit KeePassXC) und
- wie du deine Accounts mit Zwei-Faktor-Authentisierung noch besser schützt
Also los!
So viele Passwörter!
Unser Leben ist in den vergangenen Jahren zunehmend digital geworden. Wo wir früher vielleicht eine E-Mail-Adresse hatten, zu der wir ab und an Zuhause am stationären PC die E-Mails abgerufen haben, so haben sich heute unsere Benutzerkonten massiv vervielfältigt. Du hast jetzt vielleicht auch mehrere E-Mail-Adressen, einen Laptop, ein Smartphone, nutzt E-Banking und Online-Bezahldienste wie PayPal oder Twint, hast Kundenkonten bei mehreren Online-Händlern und Zugangsdaten für deine Abos bei diversen Streamingdiensten wie Spotify und Netflix. Dazu kommen dann vielleicht noch ein Google-Konto und mehrere Social-Media-Accounts. Und alle diese Benutzerkonten sollten natürlich nur dir zugänglich sein.
Warum nur ein Passwort keine Lösung ist
Also brauchst du sichere Passwörter für alle diese Dienste. Und darüber hinaus solltest du niemals zweimal das selbe Passwort verwenden! Stell dir einmal vor, du nutzt für Instagram das Passwort, dass du auch für dein E-Mail-Konto nutzt. Zudem meldest du dich bei Instagram mit deiner E-Mail-Adresse an. Somit könnte jetzt theoretisch Instagram (und somit der Mutterkonzern Meta) Zugriff auf deine E-Mails haben. Und falls es mal ein Datenleck geben sollte, wie schon bei Dropbox passiert, dann haben Hacker eben auch Zugriff darauf. Und mittels der Passwort-zurücksetzen-Funktion potenziell auch auf alle deine anderen Konten. So ist es erst kürzlich einer Bekannten von mir ergangen: über ihr E-Mail-Konto und die Passwort-Vergessen-Funktion sind Unbekannte in ihr Kundenkonto beim Mobilfunkanbieter gelangt. Dort haben sie zunächst das Passwort geändert, dann die Adresse, und schliesslich haben sie auf Kosten meiner Bekannten den Tarif geändert und ein Smartphone nach Berlin bestellt. Nicht so witzig für meine Bekannte.
Im Übrigen hat Facebook bzw. Google potenziell auch Zugang zu allen Konten, bei denen du die Funktion «Mit Facebook anmelden» respektive «Mit Google anmelden». Da die Geschäftsmodelle beider Unternehmen darauf beruhen, möglichst viele Daten über dich zu sammeln und sie zu Werbezwecken zu vermarkten, werden sie höchstwahrscheinlich auch alle Daten nutzen, die sie mit diesen Funktionen sammeln können. Gleichzeitig erhält der Dienst, bei dem du dich über Facebook oder Google anmeldest, auch bestimmte Daten von deinen dortigen Profilen. Es macht das digitale Leben zwar vermeintlich einfacher, nur noch ein Konto zur Anmeldung bei allen anderen zu nutzen, aber empfehlen würde ich das nicht.
Wie sollte Dein Passwort (nicht) aussehen:
Stattdessen empfiehlt es sich daher, für jedes Benutzerkonto ein eigenes Passwort zu nutzen. Dabei solltest du darauf achten, dass es für mögliche Angreifer sehr schwer zu knacken ist. Die Klassiker «passwort» «123456» findet man heutzutage immer noch in den Listen der häufigsten Passwörter, obwohl eigentlich klar sein sollte, dass diese alles andere als sicher sind. Auch der Name deiner Katze, deiner Mutter oder dein Geburtsdatum sind keine sicheren Passwörter, wie auch das deutsche Bundesamt für Sicherheit in der Informationstechnik hier schreibt. Stattdessen würde ich dir prinzipiell drei Wege zu sicheren Passwörtern empfehlen, die auch der Verein Digitalcourage beschreibt, die ich hier aber anders nenne:
1. Anfangsbuchstaben
Du denkst dir einen Satz aus, den du dir gut merken kannst und der mindestens 12 Wörter plus Satzzeichen enthält, also z.B.:
Ich mag Digitales Empowerment, weil ich viel über datenschutzfreundliche Alternativen für mein Smartphone und meinen Laptop lerne.
Nun nimmst du von diesem Satz jeweils die Anfangsbuchstaben der Wörter (Gross- und Kleinschreibung beibehalten!) sowie die Satzzeichen. Zusätzlich kannst du noch einzelne Buchstaben durch ähnlich aussehende Ziffern ersetzen (i=1, s=5, b=8) sowie ein «und» durch das Sonderzeichen «&». Daraus ergibt sich dann:
1mDE,w1vüdAfmS&mLl.
Eine Besonderheit, die es hier noch zu beachten gilt, sind Umlaute. Die Verwendung macht dein Passwort tendenziell eher sicherer, aber falls du mal im Ausland an einer Tastatur ohne Umlaute, dein Passwort eingeben musst, kann das eine Herausforderung sein.
2. Wortsammlung
Suche dir fünf oder mehr Wörter zufällig aus, z.B. in dem du ein Buch irgendwo aufschlägst, dir auf einer News-Seite einen aktuellen Bericht anschaust und dich bei dir umschaust. Achte darauf, dass die Wörter nicht alle aus einem einzigen kurzen Beitrag (wie beispielsweise diesem Blog-Eintrag) stammen, sondern entweder aus mehreren Quellen inklusive deiner Fantasie oder einem sehr dicken Buch. Trenne die Wörter, die du ausgewählt hast, dann mit einem Sonderzeichen und du erhältst dein Passwort, z.B.:
Tragegurt_Rasen_Courage_hilft_Kernthema
Um dir das Passwort zu merken, kannst du dir nun ein Bild merken:
Auf dem Rasen steht ein Kernobstbaum, an dessen einem Ast ein Tragegurt hängt. Der und Courage helfen mir beim Hochklettern.
3. Passwortgenerator
Und dann gibt es noch Passwortgeneratoren, die aus diversen Buchstaben, Ziffern und Sonderzeichen ein langes Passwort generieren können. Beispielsweise bietet der Firefox Browser dies auch an, wenn du dir irgendwo ein neues Benutzerkonto anlegst. Diese sind in der Regel auch sehr sicher (wie immer: je länger, desto sicherer), aber natürlich sehr schwer zu merken. Vor allem, da du dir ja viele merken musst.
Passwörter verwalten mit Passwort-Manager
Da sich kaum ein Mensch sehr viele solcher sicherer Passwörter verlässlich merken kann, die zudem noch regelmässig gewechselt werden sollten, empfehle ich dir, einen Passwortmanager zu verwenden. Viele machen das in einer Excel-Liste. Die kann zwar mit einem Passwort geschützt werden, ist aber dennoch nicht wirklich sicher und bei kleinster Beschädigung der Datei in den meisten Fällen auch unbrauchbar. Ich kenne aber auch Menschen, die ihre Passwörter in einer ungeschützten Excel-Tabelle speichern. Wenn dann ein:e Hacker:in Zugriff auf den Computer hat, dann sind auch alle in der Tabelle enthaltenen Konten in Gefahr.
Viel sicherer ist die Verwendung eines Open Source Passwortmanagers. Hier empfehle ich KeePassXC, den unter anderem auch die Digitale Gesellschaft Schweiz empfiehlt. Egal, ob du nun Linux, Windows oder Mac nutzt, du kannst ihn dir einfach runterladen und installieren.
Nach der Installation musst du dir nun ein sicheres Master-Passwort erstellen, wobei du genauso vorgehst, wie oben beschrieben. Anschliessend trägst du alle Benutzerkonten inklusive Benutzernamen und Passwort dort ein. Wenn du dich nun irgendwo einloggen möchtest, dann kannst du in KeePassXC den Eintrag suchen und über die entsprechenden Buttons oben im Programm zunächst den Benutzernamen kopieren und mit «STRG + V» einfügen und anschliessend das Passwort. Dabei ist mir folgendes aufgefallen: Unter Kubuntu kann ich mir die Historie des Zwischenspeichers anzeigen lassen, also alles, was ich mit «STRG + C» kopiert habe, um es irgendwo anders einzufügen. Wenn ich ebenso mit den Passwörtern verfahren würde, dann stehen diese ebenfalls ungeschützt in der Historie, was ich natürlich nicht möchte. Wenn ich das Passwort aber über den Button in KeePassXC kopiere, erscheint das Passwort nicht in der Historie, obwohl ich es mit «STRG + V» einfügen kann. Zudem belässt KeePassXC das Passwort nur für 10 Sekunden im Zwischenspeicher, was auch der Sicherheit dient.
Für mich funktioniert diese Vorgehen gut und ich kann das zumindest unter Kubuntu empfehlen. Mike Kuketz erklärt auf seinem Blog noch zwei weitere Möglichkeiten zur Passworteingabe: zum einen über Auto-Type mit «STRG+ALT+A» (was er empfiehlt aufgrund der Zwischenspeicherproblematik) und zum anderen über ein Browser Add-On (wobei er hier zusätzliche Angriffsfläche sieht).
Passwörter auf dem Smartphone
Für Passwörter auf dem Smartphone gilt prinzipiell dasselbe wie für solche am Laptop. Als Passwort-Verwaltungs-App bietet sich für Android-Smartphone KeePassDX und für iPhone KeePassium an. Allerdings solltest du Bedenken, dass mobile Geräte tendenziell etwas unsicherer sind. Erstens bist du mit dem Gerät unterwegs, und es könnte dir passieren, dass du es verlierst oder es dir gestohlen wird. Daher solltest du besonders auf eine gute Displaysperre achten und ein sicheres Passwort für deine Passwortdatenbank. Zweitens kann es bei fehlenden Sicherheitsupdates gerade bei älteren Smartphones zu Sicherheitslücken kommen, die dich angreifbarer machen. Frag dich also am besten zunächst, welche Passwörter du wirklich zwingend auch unterwegs dabei haben musst.
Backup und Synchronisation
Nun hast du also im besten Fall die meisten deiner Passwörter in deiner Datenbank gespeichert. Was im Allgemeinen schon dringend zu empfehlen ist, gilt für diese Datenbank im Besonderen: Mach ein Backup! Oder besser zwei… Schliesslich könntest du im dümmsten Fall den Zugriff auf viele oder alle deiner Konten verlieren, wenn deine Passwort-Datenbank gelöscht oder unbrauchbar wird.
Wenn du deine Passwörter sowohl zuhause auf deinem Laptop als auch mobil am Smartphone nutzen möchtest, dann wirst du sie vermutlich auch zwischen deinen Geräten synchronisieren wollen. Es wäre ja sehr mühsam, zwei oder mehr Passwort-Datenbanken mit den gleichen Inhalten aktuell zu halten. Falls mal ein Konto hinzukommt oder du deine Passwörter änderst (was du im Übrigen mehrmals im Jahr machen solltest!), willst du das ja nur in einer Datenbank tun.
Deine KeePassXC-Datenbank ist verschlüsselt und – hoffentlich! – mit einem sehr starken Passwort geschützt. Theoretisch könntest du sie also auf irgendeine Cloud der Bekannten Anbieter legen und so von überall darauf zugreifen. Ich würde dir aber einen der folgenden Wege empfehlen: Syncthing oder Nextcloud. Syncthing ist eine App, die du unter Windows, macOS, Android und diversen Linux-Distributionen installieren kannst. Die Dateisynchronisierung findet nach der Einrichtung direkt zwischen deinen Geräten statt. Deine Daten liegen also zu keinem Zeitpunkt auf einem Server. Wenn du Syncthing dann noch so einstellst, dass eine Synchronisation nur im WLAN zuhause läuft, bist du schon ziemlich sicher, dass niemand dazwischenfunkt. Vorausgesetzt, dein WLAN ist auch mit einem guten Passwort geschützt.
Nextcloud auf der anderen Seite ist ein Cloud-Anbieter, oder besser gesagt eine Cloud-Lösung. Die Nextcloud GmbH aus Deutschland entwickelt diese Open-Source-Lösung. Aber einen Cloud-Service bieten sie selber nicht an. Hier geben sie dir aber die Möglichkeit ein kostenloses Nextcloud-Konto bei einem ihrer zertifizierten Partner zu eröffnen. Darüber hinaus gibt es aber noch weitere Anbieter, die ich aber alle nicht einschätzen kann. Je nachdem, wie die Cloud-Instanz (also die spezifische Installation von Nextcloud auf einem Server) eingestellt ist, kann der Anbieter alle Daten mitlesen. Du solltest also dem Betreiber vertrauen oder sicherstellen, dass die Cloud verschlüsselt ist. Ich betreibe selber eine Nextcloud-Instanz, aber nutze sie nicht für meine Passwörter. Die habe ich nur daheim auf meinem Computer.
Zwei-Faktor-Authentisierung
Als Ergänzung zu deinen sicheren Passwörter empfehle ich dir auch Zwei-Faktor-Authentisierung (2FA, auch Zwei-Faktor-Authentifizierung genannt) zu nutzen. Das ist noch nicht überall möglich, aber wo es möglich ist, solltest du es auch einsetzen. Hierbei wird neben deinem Passwort noch ein zweites Identifikationsmerkmal abgefragt, in den meisten Fällen ein einmalig gültiger Code aus z.B. 4 Zeichen oder 6 Ziffern. Bei meiner Bank gibt es hierfür eine spezielle App, die ich nutzen muss; für meine Krankenversicherung wird der Code per SMS versendet. Letzteres ist übrigens nicht sehr sicher, da SMS vergleichsweise einfach abgefangen werden können. Aber sicherer als Zwei-Faktor-Authentisierung zu nutzen, ist es allemal.
2FA mit Aegis Authenticator einrichten
Ich nutze, dort wo es geht, ein zeitbasiertes Einmalkennwort (TOTP) mit der App Aegis Authenticator. Wenn du in deinem Account, also z.B. bei deinem Mailanbieter, eingeloggt bist, kannst du dort Zwei-Faktor-Authentisierung aktivieren. Wenn du dabei TOTP wählst, kannst du anschliessend mit der Aegis App einen QR-Code einscannen und schon ist der zweite Faktor bereit. Alternativ kannst du auch die recht lange Zeichenfolge händisch eintippen, die dir neben dem QR-Code angezeigt wird. Das ist ein sogenanntes «Geheimnis», das in dem Fall nur dein Mailanbieter und deine TOTP-App kennen. Aus diesem Geheimnis und der aktuellen Uhrzeit wird dann ein Einmalkennwort berechnet, das du beim nächsten Einloggen nach erfolgreicher Eingabe deines normalen Passworts eingeben musst.
Wichtig zu wissen ist, dass du dich ohne diesen zweiten Faktor nun nicht mehr in deinen Account einloggen kannst. Um bei Verlust deines Smartphones nun nicht blöd aus der Wäsche zu gucken, gibt es nun mehrere Möglichkeiten:
- Dein Anbieter, bei dem du den Account hast, bietet dir sogenannte Recovery-Codes an. Diese kannst du nutzen, um bei Verlust deines zweiten Faktors (z.B. Smartphone) diese als Ersatz zu verwenden.
- Du speicherst dir die recht lange Zeichenfolge an einem sicheren Ort ab und kannst sie dann händisch in dein Ersatzsmartphone mit neu installierter Aegis App aktivieren.
- Du exportierst deine Aegis-Datenbank (natürlich wieder mit einem starken Passwort gesichert!) und machst davon ein Backup auf einem anderen Gerät. Dieses Backup kannst du dann wiederum auf deinem Ersatzgerät einfach importieren.
Für alle drei Möglichkeiten musst du dir wiederum ein Passwort – oder genauer gesagt eine geheim zu haltende Zeichenfolgen – speichern. Dafür empfehle ich dir natürlich wieder, deinen Passwort-Manager zu nutzen. Allerdings nutze ich dafür nicht dieselbe Datenbank, wie für die eigentlichen Passwörter, denn: sollte mal meine Passwort-Datenbank jemandem in die Hände fallen, mitsamt Master-Passwort, das diese Datenbank entschlüsselt, dann hätte diese Person auch direkt Zugriff auf die nötigen Informationen für die Zwei-Faktor-Authentisierung. Da ich diese Informationen aber in einer separaten Datenbank mit selbstverständlich einem anderen Passwort speichere, ergibt sich eine weitere Hürde.
Diese zusätzliche Hürde ist übrigens auch der Grund, warum ich die Zwei-Faktor-Unterstützung, die KeePassXC selber anbietet, nicht nutze. Du könntest ganz bequem sowohl Passwörter als auch die Zwei-Faktor-Authentisierung über eine Datenbank in KeePassXC laufen lassen. Aber dadurch schwächst du in meinen Augen deine Sicherheit erheblich, da nun eben nicht mehr zwei Geräte benötigt werden. Aber auch dieses Vorgehen wäre noch sicherer als gar keine Zwei-Faktor-Authentisierung zu nutzen oder sogar überhaupt keinen Passwort-Manager.
Fazit
Das kann jetzt insgesamt nach viel klingen und, ja, es ist im Alltag auch komplizierter als immer dasselbe, einfache Passwort zu nutzen. Aber es lohnt sich!
Hier in Kürze also nochmals meine Tipps:
- Nutze für keine zwei Accounts dasselbe Passwort.
- Vermeide Funktionen wie «Mit Facebook/Google/Microsoft anmelden».
- Nutze lange Passwörter aus zufällig, aber für dich einfach zu merkenden Worten für deine Accounts.
- Nutze einen Passwort-Manager (z.B. KeePassXC) um deine Passwörter zu verwalten. Sichere diese Datenbank mit einem besonders sicheren Passwort.
- Mache regelmässig Backups von dieser Passwort-Datenbank.
- Nutze wo immer möglich Zwei-Faktor-Authentisierung (z.B. mit Aegis Authenticator) und mache auch Backups davon.
- Ändere deine Passwörter regelmässig! Je wichtiger oder brisanter ein Account ist, desto häufiger solltest du dein Passwort ändern.