Wer sich im Computerumfeld und im Internet bewegt, muss sich mit einer Anzahl an Logins, Benutzernamen und Passwörtern befassen. Sinn und Zweck dieser Passwörter ist es nicht nur, ungebetene Gäste draußen zu halten, damit keine vertraulichen Daten in fremde Hände gelangen. Sie dienen auch dazu, dass keine unberechtigten Aktionen in Ihrem Namen d.h. unter Ihrem Zugang (Account) durchgeführt werden. Aus diesem Grund ist es wichtig, verschiedene Passwörter und sichere Passwörter zu verwenden und auch hin und wieder die Passwörter zu wechseln.
Es ist eine schlechte Idee, für alles und jeden dasselbe Passwort und womöglich noch denselben Loginnamen zu benutzen. Es ist zwar einfach zu merken, aber die Gefahr ist groß, dass die Daten in falsche Hände geraten. Wie das passieren kann? Ein gar nicht so hypothetischer Fall soll die Gefahr eines "Universalpassworts" verdeutlichen:
Herr Mustermann hat im Internet einen E-Mail-Account, einen eBay-Zugang und betreibt Online-Banking. Er verwendet für alles dasselbe Passwort, weil es eben einfacher zu merken ist. Irgendwann bekommt er eine Mail oder einen Hinweis, dass er, wenn er sich unter www.ichweissnichwo.com anmeldet, kostenlos Grußkarten versenden, oder kostenlos Börsenkurse abrufen, oder kostenlos ein Gratisgeschenk bekommen kann. Herr Mustermann meldet sich dort also an, ist ja schnell geschehen, Loginname, Passwort, Mailadresse. Er bekommt eine Bestätigungsmail, in der steht, dass er sich erfolgreich angemeldet habe, dass man ihm für das entgegengebrachte Vertrauen Danke, man wünsche ihm viel Spass und so weiter. Herr Mustermann geht auf die beworbene Seite, meldet sich an und stellt fest, dass auf der Seite nur wertloser Mist zu finden ist. Nicht schlimm, kostet ja nix. Er besucht die Seite nie wieder. (Kennen SIE dieses Szenario bis hierhin nicht auch?)
Eines Tages bekommt Herr Mustermann erboste E-Mails und Anrufe, er solle doch endlich die bei eBay ersteigerte Ware versenden, man werde den Anwalt einschalten, man hetze ihm "Inkasso Moskau" auf den Hals und schlimmeres. Herr Mustermann ist sich keiner Schuld bewusst, er nutzte eBay bisher nur sporadisch um sich von überzähligen Haushaltsgegenständen zu trennen. Als er in seinen eBay-Account schaut, trifft ihn fast der Schlag: mehrere Dutzend hochpreisiger Waren im Wert von mehreren Tausend Euro soll er versteigert haben. Er schaut auf die persönlichen Daten, die er bei eBay hinterlegt hat und stellt fest, dass eine andere Bankverbindung eingetragen ist. Schnell wird klar: Jemand ist in seinen eBay-Account eingebrochen und hat dort unter seinem Namen Waren versteigert. Die Vorkassezahlungen sind auf dem Konto des Betrügers gelandet, das Geld ist weg. Die Geschädigten halten sich an Ihn, da er als Ansprechpartner hinterlegt ist und die Geschädigten versuchen natürlich die Ware oder das Geld wiederzubekommen.
Wie konnte das passieren? Ganz einfach: Die "kostenlose" Seite im ersten Teil war ein Lockvogelangebot, um an Mailadresse, Login und Passwort zu gelangen. Mit der Mailadresse findet man recht schnell heraus wo das Opfer seine Mails abholt. Mit der Mailadresse und dem Passwort kann der Betrüger Mails lesen, senden, löschen bevor sie Herr Mustermann bekommt. Mit der Mailadresse findet der Betrüger schnell heraus, unter welchem eBay-Benutzernamen Herr Mustermann arbeitet. Mit dem Universalpasswort probiert er aus, sich als Herr Mustermann in eBay einzuloggen, was auch problemlos funktioniert. So kann er ebenso problemlos die Bankverbindung ändern und fiktive Waren anbieten. Die Benachrichtigungsmails kann er dank des Mailzugangs problemlos löschen, oder er ändert die Mailadresse auf seine eigene um, so bekommt Herr Mustermann nichts davon mit.
Meine Empfehlung: verwenden Sie für jeden Login ein anderes Passwort, möglichst auch einen anderen Benutzernamen. Wenn Sie sehr aktiv im Internet sind, ufert dies aber schnell aus. Um die Sache zu vereinfachen, können Sie die verschiedenen Logins z.B. in drei Klassen einteilen, entsprechend der Missbrauchsgefahr:
Dieses Klassenmodell kann weiter verfeinert oder vereinfacht werden, man lässt z.B. Klasse 2 weg. Verfahren Sie hier nach Belieben, aber sichern Sie die wichtigen Logins mit sicheren Passwörtern.
Ein sicheres Passwort hat mindestens 8 Stellen, besteht aus kleinen und großen Buchstaben, Ziffern und Sonderzeichen und ist kein Wort das (vorwärts oder rückwärts gelesen) im Duden steht. Um in passwortgesicherte Zugänge einzubrechen gibt es verschiedene Möglichkeiten: "Social Engineering", Ausspähen des Passworts oder auch "Brute Force attack". Beim Social Engineering versucht der Einbrecher, möglichst viel über sein potenzielles Opfer herauszufinden: Geburtstag, weitere Vornamen, Name des Partners, der Kinder oder des Haustiers. Als erstes werden dann diese Angaben ausprobiert, da es sehr beliebte "Passwörter" sind. Die zweite Stufe ist das Ausspähen des Passworts, entweder über direkten, physikalischen Zugriff auf den PC des Opfers, durch Viren oder Spyware oder durch "Phishing", also dem Versuch das Opfer dazu zu verleiten sein Passwort an andere Stelle einzugeben als vorgesehen (s. Beispiel oben). Die dritte Möglichkeit ist die "Brute Force Attack" also das stumpfe Ausprobieren von bekannten Wörtern aus Wortlisten oder gar das systematische Ausprobieren der verschiedenen möglichen Buchstabenkombinationen, angefangen von A bis ZZZZZZZZ mit mehr oder weniger Optionen wie Sonderzeichen, Ziffern, Kleinschreibung etc. Diese Einbruchsvariante benötigt aber sehr viel Zeit, bis alle möglichen Kombinationen durchprobiert sind und es ist auch sehr leicht zu entdecken, da meist alle fehlerhaften Einwahlversuche protokolliert werden und der Anbieter bei Auffäligkeiten tätig werden sollte.
Eine kleine Zahlenspielerei zur Verdeutlichung der Brute-Force-Attacke: Die Anzahl der Möglichkeiten steigt stark mit der Anzahl der verwendeten Stellen, und auch mit der Anzahl der Varianten. Ein Passwort das aus 5 Buchstaben ausschließlich in Großschreibung besteht (26 Zeichen), hat etwa 11 Millionen mögliche Varianten. Nimmt man auch Kleinschreibung hinzu (52 Zeichen) sind es schon 280 Millionen Varianten. Mit zusätzlich allen Ziffern und einfach erreichbaren Sonderzeichen der Deutschen Tastatur (96 Zeichen) sind es bei 5 Stellen im Passwort 8 Milliarden Varianten. Erhöht man auf 8 Stellen sind es 208 Billionen (26 Zeichen), 53 Billiarden (52 Zeichen) bzw. 7 Trillionen (96 Zeichen) Möglichkeiten, die ein Angreifer bei BruteForce ausprobieren muss. Je mehr Möglichkeiten existieren, um so mehr Zeit muss ein potenzieller Einbrecher aufwenden um die Möglichkeiten durchzuprobieren. In Zeiten von immer schnelleren Rechnern und Clustertechniken sind kurze Passwörter in Minutenschnelle geknackt, schon einfache "Änderungen" wie z.B. Erweiterung um ein paar Stellen und Hinzunehmen von zusätzlichen Zeichen erhöhen den Aufwand für einen potenziellen Einbrecher enorm.
Wie soll man die ganzen Passwörter aufbewahren? Ein schlechte Idee ist es, die Passwörter im Browser-Programm zu speichern. Erstens vergisst man die Passwörter dann sehr schnell wieder (Sie müssen das Passwort ja nur einmal eintippen) und die Passwörter sind von den Programmen auf Ihrem Rechner einfach auszulesen, zum Beispiel auch von einem Virus, den Sie sich vielleicht einmal einfangen können. Eine ebenso schlechte Idee ist es, die Passwörter in einer Datei auf dem PC zu speichern, evtl. sogar noch mit dem Titel "passwörter.txt". Diese Datei wird von einem potenziellen Virus ebenso schnell gefunden und ausgelesen wie die Browservariante. Etwas besser ist die Möglichkeit, Zugänge und Passwörter auf einem Zettel zu notieren. Dies ist aber nur so lange sicher, wie niemand Unberechtigtes an diesen Zettel herankommt, also z.B. Kinder oder Mitbewohner. Die sicherste Aufbewahrungsmöglichkeit ist immer noch, sich die Zugangsdaten im Kopf zu merken und nur bei Bedarf einzugeben.
Ach ja, noch ein paar "Klassiker": Zumindest das Zugangspasswort zum Computer sollte auf gar keinen Fall auf einem Klebezettel am Monitor oder unter der Tastatur kleben. Eine ebenso schlechte Idee ist es, den Herstellernamen als Passwort zu nehmen, der groß auf dem Monitor, dem PC, der Maus oder der Tastaur aufgedruckt ist. Dies sind so offensichtliche "Passworttipps", dass sie von einem potenziellen Einbrecher als erstes ausprobiert werden. Auch der Zettel hinter der losen CD-ROM-Blende, in der Schreibtischschublade oder der Eintrag im Beschriftungsfeld des Telefons sind altbekannt. Dieses Passwort also auf jeden Fall im Kopf merken!
Manche Anwender würden das Passwort gerne ändern, wissen aber nicht wo und wie. Es gibt im Großen und Ganzen zwei mögliche Vorgehensweisen: Entweder bekommt man beim Einwählen direkt die Aufforderung "Ihr Passwort ist abgelaufen, bitte geben Sie ein neues Passwort ein." oder man muss beim Anbieter das Passwort ändern und dann in der Anwendung das neue Passwort bekanntgeben.
Wenn die Aufforderung erscheint "Bitte geben Sie ihr neues Passwort ein", müssen Sie meist zweimal ihr neues Passwort eingeben. Warum zweimal? Das Passwort das Sie eingeben wird nicht am Bildschirm angezeigt sondern durch Sternchen oder Punkte ersetzt. Dies verhindert dass Ihnen jemand über die Schulter schaut und das Passwort mitliest. Allerdings können Sie auch keine Schreibfehler entdecken. Das Passwort wird erst dann neu gesetzt, wenn beide Eingaben identisch sind. Wenn Sie sich bei der ersten Eingabe vertippen, stimmt das Passwort nicht mit der zweiten Eingabe überein und das neue Passwort wird nicht gesetzt. Erst wenn beide Eingaben zusammenpassen, ist das neue Passwort gültig. Das Passwort muss also ein zweites mal eingegeben werden, denn die Chance, dass Sie sich zweimal vertippen und dann auch noch an derslben Stelle ist äußerst gering.
Entweder ist das Passwort dann sofort gültig und Sie müssen das neue Passwort dann ab sofort von Hand eingeben. Oder das Passwort ist entgegen der Tipps oben in einem Programm (z.B. Mailprogramm) oder Gerät (z.B. Internet-Router) gespeichert. Dann müssen Sie der Anwendung das neue Passwort noch mitteilen, sonst versucht das Mailprogramm bzw. der Router die Verbindung mit dem alten Passwort herzustellen, was natürlich fehlschlägt, weil es ein neues Passwort gibt. Wie Sie das gespeicherte Passwort ändern, entnehmen Sie bitte Ihrer Anwendung bzw. der Dokumentation zu Ihrer Hardware.
schnell - günstig - zuverlässig.
Kontaktieren sie mich bei
Computerproblemen aller Art:
Telefon: 07 21-47 03 37 72
Mobil: 01 71-9 50 33 96
E-Mail: service@seifert-online.de