Spenden

Dieser Artikel ist mehr als 10 Jahre alt.

Nicht vergessen: Heute ist „change your password day“!

Sichere Passwörter sind der erste Schritt zum sicheren Klick im „Neuland“. Selbst wenn dies als Mantra bekannt sein dürfte und das Thema langweilig scheinen mag – unsichere Passwörter sind auch unter netz-affinen Personen verbreitet. Wir wollen uns den heutigen „change your password day“ zum Anlass nehmen, um unsere lieb gewordenen Passwörter zu ändern. Außerdem ist das Thema gar nicht so trocken, wie diese Vi

  • Fabian Warislohner
Fabian Warislohner
14
CC BY-SA 2.0 by akeg via

Sichere Passwörter sind der erste Schritt zum sicheren Klick im „Neuland“. Selbst wenn dies als Mantra bekannt sein dürfte und das Thema langweilig scheinen mag – unsichere Passwörter sind auch unter netz-affinen Personen verbreitet. Wir wollen uns den heutigen „change your password day“ zum Anlass nehmen, um unsere lieb gewordenen Passwörter zu ändern. Außerdem ist das Thema gar nicht so trocken, wie diese Visualisierung von Andreas Lehmann zeigt.

Der Tag, den wir jedes Jahr am 1. Februar mit einem „Och nö, mein schönes, einfaches Passwort?“ begrüßen, wurde angesichts des Zappos-Hacks 2012 ins Leben gerufen. Denn selbst wenn nur noch wenige zur Ein-Passwort-für-alles-Schule gehören dürften – nicht nur das Geburtsdatum, „asdfgh“ oder „1234567890“ werden schnell zum Einfallstor für Angreifer*innen.

Dabei ist das Prinzip einfach: Für jeden Dienst sollte ein eigenes Passwort gewählt werden. Handelt es sich dabei um ein Wort aus dem Wörterbuch, selbst mit leichten Veränderungen oder „Schreibfehlern“, ist dieses von Computern leicht zu erraten. Persönliche Daten wie das Geburtsdatum sind womöglich nicht nur Nahestehenden in der analogen Welt bekannt. Verändern wir hingegen ein Wort bis zur uNcENn7l1cHk3iT, erschwert das zwar das Erraten, aber auch die Erinnerung – welche Buchstaben waren noch groß geschrieben?

Da grundsätzlich gilt, dass die Sicherheit (Entropie) mit zunehmender Länge des Passwortes zunimmt, raten wir zu einem Passsatz (Passphrase), wie ihn Edward Snowden erklärt:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

video direkt öffnen

Ganze Sätze wie „Dies=me1nPasssatz@Bank“ sind leichter zu merken und wegen ihrer Länge (und leichter Modifikationen) nur schwer zu knacken. Wer sich für die technischen Hintergründe von Passwörtern interessiert, dem sein diese Chaosradio-Folge zum Thema empfohlen.

Wer gerne komplexe Passwörter einsetzen möchte, aber Probleme hat, sich diese auch zu merken, dem legen wir einen Passwort-Manager wie den freien KeePass oder (für Linux) KeePassX ans Herz. Pass hingegen läuft im Terminal und verschlüsselt jedes Passwort mit GnuPG. Solche Passwort-Manager können auch selbst Passwörter generieren. Wer unbedingt den im Browser integrierten Passwort-Manager nutzen möchte, sollte unbedingt ein „Master-Passwort“ vergeben. Auf keinen Fall sollte mensch die Passwörter auf einen Zettel schreiben und etwa auf den Monitor kleben – oder gar an die Wand.

Über die Autor:innen

Veröffentlicht

Kategorie

Schlagwörter

, , , , ,

Weiterlesen

Thema

Generell

Thema

Datenschutz

Thema

Login

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

14 Kommentare zu „Nicht vergessen: Heute ist „change your password day“!“

  1. Hans Dampf

    ,

    Ich verwende Lastpass im Browser. Bei Registrierungen lasse ich den Passwortgenerator ein maximal komplexes, mindestens 15 Zeichen langes Passwort erzeugen. Lastpass selbst ist mit einer 2‑Faktor-Authentifizierung über die Google Authenticator-App abgesichert.
    Das mag zwar durch Ablage der Passwörter auf einem Server und die Google-Verwendung für absolute Sicherheitsexperten noch immer grenzwertig sein, ist für mich aber praktikabel, um meine Nutzerkonten bei diversen Diensten abzusichern.
    Ein Passwort für alles kommt aber schon lange nicht mehr in Frage, seitdem mit die erste „Passwort vergessen“-Funktion mein Originalpasswort im Klartext über Email mitteilte.

  2. Wormbo

    ,

    Nicht vergessen: Morgen ist „I forgot my password day“ ;-)

  3. O

    ,

    „Passsatz“ oder „Passphrase“ klingen nicht so gut, finde ich.
    Wie wäre es mit „Parole“ oder „Losung“?

  4. limdul

    ,

    Also ich bin auch immer ein Fan von smilys in Passwörtern, wie zb. H@llo:-)Netzpolitik^^

  5. Stefan

    ,

    Was bitteschön spricht gegen eine private Passwortverwaltung per Zettel, der an meinem Schreibtisch aufbewahrt ist, den nur ich nutze und der in der eigenen Wohnung steht? Die Sorge davor, dass Familienmitglieder diesen heimlich abschreiben und „in der Welt“ verteilen? Oder bezog sich die Warnung vor einem Zettel nur auf den Aufbewahrungsort?
    Mit einem cleveren System zur Passworterzeugung kann man die meisten Passwörte sogar auswendig, wenn sie oft genug abgetippt worden sind. Und im Gedächtnis aufbewahrt sind sie dann am sichersten ;-)

    1. Markus Beckedahl

      ,

      Das bezieht sich natürlich erstmal vor allem auf Büroumgebungen.

    2. ra1d

      ,

      >Was bitteschön spricht gegen eine private Passwortverwaltung per Zettel, der an meinem Schreibtisch aufbewahrt ist, den nur ich nutze und der in der eigenen Wohnung steht? Die Sorge davor, dass Familienmitglieder diesen heimlich abschreiben und „in der Welt“ verteilen?

      Der Logik folgend lässt du also deine Konto PIN auch im Portemonnaie, weil ja nur du da reinguckst?

    3. Fabian Warislohner

      ,

      Auch wenn Strafverfolgungsbehörden (oder analoge Diebe) den Rechner in deiner eigenen Wohnung abholen sollten, macht so ein Passwort am Monitor schon was her.

      1. ra1d

        ,

        Die Antwort hätte an Stefan gehen sollen, nicht an mich.
        Ich habe ihn in den ersten 3 Zeilen lediglich zitiert.

      2. Fabian Warislohner

        ,

        Die Antwort hätte an Stefan gehen sollen, nicht an mich.
        Ich habe ihn in den ersten 3 Zeilen lediglich zitiert.

        Alle drei Kommentare – Markus’, ra1d und der von mir – beziehen sich auf die Frage von Stefan. Sie sind dementsprechend gleichermaßen eingerückt.

  6. noway

    ,

    „grundsätzlich gilt, … Sicherheit (Entropie) mit zunehmender Länge des Passwortes zunimmt, raten wir zu einem Passsatz (Passphrase)“

    Lach, endlich ein vernünftiger nachvollziehbarer Ratschlag zum Thema Passwort, bzw. Passphrase.
    Ich habe die Diskussionen über mehrere jahre, auch schon vor 2013, mitverfolgt und kam aus dem .…..Staunen nicht mehr heraus. Ein sinnloser unpraktischer Tip nach dem anderen.
    Wurde dabei ‚Entropie’ überhaupt berücksichtigt, dann häufig nur mit zuverlässig kaum merkbaren wie „hECloT2SfVi0DwavJKhpiF“.
    Naheliegendes, viele Zufallswörter(5–7+,Diceware) oder eben eine möglichst sehr lange Passphrase(mit verschiedenen Ansätzen), war eher ein Underground-Tip.
    Ein guter Passwort-Manager KeePass/KeePassX löst zumindest das Entropie-Problem elegant, wenn auch nicht perfekt, da die Software natürlich kompromitierbar ist und man immer noch ein merkbares Passwort braucht, was wiederum abgreifbar ist. Mit LiveOS und transportierbaren Datenträgern lässt sich ein Teil der Probleme vermeiden, macht den Umgang damt aber auch nicht einfacher.

  7. Iris

    ,

    Ich warte ja eher auf den „warum muss ich mir für diese Kleinigkeit jetzt schon wieder einen Account anlegen“ Tag.

    Selbst wenn man sich nur die Testversion einer Demosoftware runterladen will, verlangen viele Seiten bereits eine Registrierung -.-

  8. SUSI

    ,

    Also, ich mache das ganz einfach: Ich werde immer gefragt, ob ich das Passwort speichern will.
    Dann klicke ich JA und es geht alles automatisch. Wo ist jetzt das Problem?
    Eine anonyme Userin

  9. Wochenrückblick 05-2016 - Peter's Blog

    ,

    […] hatten wir am 1. Februar den Tag „Change your password„, ein Tag der daran erinnern soll, dass wir vielfach immer zu nachlässig mit unseren […]

Dieser Artikel ist älter als 10 Jahre, daher sind die Ergänzungen geschlossen.