Passworttipps

Passworttipps

Ein gutes Passwort besteht aus einer grossen und zufälligen Anzahl von Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Wie kann man sich ein solches Passwort merken, ohne es aufzuschreiben? Dafür gibt es mehrere Methoden. Hier soll auf die Methode des «Passwort-Merksatzes» näher eingegangen werden.

Beim «Passwort-Merksatz» verwendet man einen ganzen Satz als Passwort, oder leitet aus dem Merksatz das Passwort ab.

Beispiel-Merksatz: (Bitte nicht verwenden.)
«Meinen Kaffee trinke ich immer um 5 nach 9 Uhr.»

Akzeptiert eine Applikation keine langen Passwörter, so kann wie im nachfolgenden Beispiel, jeweils der erste Buchstabe jedes Wortes aus dem Merksatz für die Bildung des Passworts benutzt werden.

Beispiel-Merksatz:
«Meinen Kaffee trinke ich immer um 5 nach 9 Uhr.»

Beispiel-Passwort: (Bitte nicht verwenden.)
MKtiiu5n9U.

Das System kann individuell ausgebaut und verändert werden. Der Kreativität sind fast keine Grenzen gesetzt. Beispielsweise kann die Gross- und Kleinschreibung vertauscht werden. Wichtig ist, dass das System einfach und reproduzierbar bleibt.

Unterstützt die Anwendung eine Zwei-Faktor-Authentifizierung, so sollte diese als zusätzlicher Schutz aktiviert werden.

Passwort-Fallstricke, die vermieden werden sollten

Einfach zu erratende Begriffe oder Zahlen sollten vermieden werden. Dazu gehören zum Beispiel einfache Wörter, Namen, Geburtsdatum oder Jahreszahlen. Auch sollte das Ersetzen von Buchstaben durch Zahlen oder Sonderzeichen – zum Beispiel A durch eine 4 ersetzen – im Fachjargon «leeten» oder «Leetspeak» genannt, nicht verwendet werden.

Für jeden Dienst sollte ein individuelles Passwort verwendet werden.

Passwörter speichern

Ein Passwort sollte nie aufgeschrieben werden. Was sich leicht anhört, ist in der Praxis nicht immer einfach umzusetzen, insbesondere da für die unterschiedlichen Dienste und Websites jeweils andere Passwörter verwendet werden sollten (siehe: Passwort-Missbrauch). Es gelingt nur sehr wenigen Personen, alle Passwörter im Kopf zu behalten. Abhilfe kann hier ein Passwortmanager schaffen.

Ein Passwortmanager-Programm erleichtert die Erstellung, Verwaltung und Nutzung sicherer Passwörter. Beim Passwortmanager muss man sich nur noch das Hauptpasswort für den Passwortmanager und die Passwörter für wirklich sensible Dienste wie E-Banking merken. Weitere Informationen zum Thema Passwortmanager finden Sie im Merkblatt Passwortmanager.

Grundsätze für ein sicheres Speichern von Passwörtern:

1. Ein Passwortmanager-Programm erleichtert die Erstellung und Nutzung sicherer Passwörter.
2. Die wichtigsten Passwörter für den Passwortmanager und sensible Dienste wie E-Banking immer merken und nie aufschreiben.
3. Passwörter nicht ungeschützt notieren, also zum Beispiel nie auf dem Post-it unter der Tastatur.

Passwort-Missbrauch

Unberechtigte Personen können auf verschiedene Weise an ein Passwort gelangen. Eine Methode ist das Erraten des Passworts:

• Viele Benutzerinnen und Benutzer verwenden Wörter, die sie sich leicht merken können, zum Beispiel aus ihrem persönlichen Umfeld. Somit ist das Erraten eines Passwortes die einfachste und meist auch schnellste Methode, um Zugang auf ein Computersystem zu erhalten (Erraten von Passwörtern / Password Guessing).
• Einfache oder kurze Passwörter können durch systematisches Durchprobieren geknackt werden (Brute Force Attack). Die Erfolgschance dieser Methode kann durch starke Passwörter eingeschränkt werden.

Tipps für das Erstellen und Speichern von Passwörtern gibt es unter Passworttipps und Passwörter speichern.

Passwörter können auch mitgeschnitten werden. Die gängigsten Methoden sind:

• Eine Person wird mit Phishing (Link in einem E-Mail) auf eine gefälschte Website gelockt, die der echten Website sehr ähnlich sieht. Die Person wird dann aufgefordert, ihren Benutzernamen und das dazugehörige Passwort einzugeben. Werden die Angaben eingegeben, erhält die Angreiferin oder der Angreifer die Passwortdaten.
• Keylogger (spezielle Schadsoftware) werden dazu verwendet, um die Eingaben von Benutzenden eines Computers zu protokollieren und dadurch zu überwachen oder zu rekonstruieren. Keylogger werden von Unberechtigten auch verwendet, um an Passwörter zu gelangen.
• Erfolgt die Übertragung von Passwörtern unverschlüsselt, ist es für Unberechtigte einfach an Passwörter zu gelangen. Dies geschieht beispielsweise bei einem unverschlüsselten Webzugriff, erkennbar durch die Abkürzung «http» im Browseradressfeld. Mit verschlüsselten Verbindungen, beispielsweise mit dem Webzugriff über TLS/SSL, wird dieses Risiko stark verringert. Eine verschlüsselte Verbindung wird durch die Abkürzung «https» im Browseradressfeld angezeigt.

Einfache Massnahmen zum Schutz von Passwörtern gibt es unter Schutzmassnahmen.

Schutzmassnahmen

Es ist essenziell, die Geräte zu schützen, auf denen die Passwörter verwendet werden.

Die folgenden fünf Massnahmen helfen, die Geräte, die Daten und damit auch das Passwort besser zu schützen:

1. Persönliche Informationen schützen
2. Angriffe abwehren (Firewall, installieren von Aktualisierungen, Malwareschutz)
3. Zugriffe Unberechtigter verhindern
4. Sensitive Inhalte verschlüsseln
5. Informationen sichern / löschen

Weiterführende Informationen zu den Themen Smartphone und PC-Schutz und Verhalten im Internet finden Sie auf folgenden Websites:

• Datenschutzbeauftragte des Kantons Zürich:
  • Digitaler Selbstschutz
  • PC-Sicherheit
  • Smartphone-Sicherheit
• BSI für Bürger: https://www.bsi-fuer-buerger.de
• iBarry bei Swiss Internet Security Alliance: https://ibarry.ch/
• eBanking aber sicher!: https://ebankingabersicher.ch