Anfang der Woche sorgte der Hack des kalifornischen Unternehmens Friend Finder Network für Aufsehen, bei dem Konten und Passwörter von über 400 Millionen Nutzern kompromittiert wurden. Es ist die größte Datenpanne dieses Jahres. Das Beispiel zeigt, wie wichtig die Wahl eines möglichst „sicheren“ – also nur sehr schwer zu knackenden – Passworts und der richtige Umgang damit sind.
Friend Finder Network (FFN) betreibt die Sexkontaktbörse Adult Friend Finder sowie andere Erotikseiten wie Cams.com und Penthouse.com. Unbekannte verschafften sich Zugriff auf den Webserver und die Datenbanken des Anbieters, die unter anderem Nutzernamen, E-Mail-Adressen, das Datum des letzten Website-Besuchs sowie Passwörter enthielten. Letztere waren lediglich mit einem veralteten Verschlüsselungsstandard (SHA-1) gesichert oder sogar im Klartext gespeichert. Das Informationsportal LeakedSource, das als erstes über den Hack berichtete, konnte dadurch nach eigenen Angaben 99 Prozent der in den vorliegenden Daten enthaltenen Passwörter entschlüsseln. In den rund zwei Jahrzehnte umfassenden Datenbeständen fanden sich auch knapp 4,5 Millionen E-Mail-Adressen, die auf .de enden. Die Zahl der deutschsprachigen Anwender gibt LeakedSource mit mindestens 8,3 Millionen an.
Bessere Alternativen zu „123456“ und „passwort“
Die Top Ten der am häufigsten für die FFN-Websites verwendeten Passwörter enthält ausschließlich extrem unsichere Varianten wie „123456“, „password“ oder „qwerty“. Solche Wiederholungs- oder Tastaturmuster sowie in Wörterbüchern gelistete Begriffe sind grundsätzlich keine gute Wahl, weil sie häufig auf technischem Weg in Sekundenschnelle geknackt werden können. Ein sicheres Passwort sollte keinerlei Bezug zu persönlichen Daten haben (zum Beispiel Namen von Familienmitgliedern oder Geburtsdaten). Empfehlenswert sind mindestens acht Zeichen – je mehr, desto besser – als Mix aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Dabei ist darauf zu achten, Ziffern oder übliche Sonderzeichen wie ! oder ? nicht einfach an den Anfang oder das Ende eines sonst simplen Worts zu stellen.
Relativ sicher und einfach zu merken sind aus einem Satz abgeleitete Passphrasen, etwa indem du die Anfangsbuchstaben der enthaltenen Worte inklusive Sonderzeichen aneinanderreihst. Nutze dazu aber bitte keine bekannten Zitate oder Sprichwörter. Besser sind selbst ausgedachte Sätze wie „Mein Passwort hat >10 Zeichen und gilt nur für mein E-Mailkonto“, aus dem verkürzt „MPh>10ZugnfmE-M“ wird. Integrierst du gleich den jeweiligen Dienst in die Passphrase, weißt du auch immer sofort, zu welchem Account sie gehört. Beim Erstellen eines solchen Passworts solltest du aber bedenken, dass einige Buchstaben wie die deutschen Umlaute nicht auf fremdsprachigen Tastaturen vorhanden sind oder von manchen Webseiten nicht akzeptiert werden. Dasselbe gilt für bestimmte Sonderzeichen. Die Sicherheit einer erstellten Passphrase lässt sich online mit diversen Passwort-Checkern leicht prüfen. Allerdings solltest du dabei nicht das tatsächliche Passwort eingeben, sondern nur eines, das demselben Muster folgt.
Passwortmanager nutzen
Wer sich keine Kennwörter selbst ausdenken möchte, kann auch Passwortgeneratoren nutzen, die zufallsgenerierte Zeichenkombinationen erstellen. Diese lassen sich jedoch häufig nicht so gut merken. In diesem Fall bietet sich die Nutzung eines Passwortmanagers an, in dem du alle deine Zugangsdaten verwalten kannst. Dann musst du dir nur ein einziges Master-Passwort merken, das jedoch entsprechend lang und komplex sein sollte. Denn wenn jemand dein Master-Passwort in Erfahrung bringt, hat er auch automatisch Zugriff auf all deine anderen Zugangsdaten.
Der Cliqz Browser für Desktop besitzt einen integrierten Passwortmanager, der sich mittels Master-Passwort absichern lässt. Er findet sich im Einstellungsmenü unter dem Punkt „Sicherheit“. Alternativ unterstützt die Desktop-Version von Cliqz auch die Einbindung von LastPass, einer Fremdsoftware zur Passwortverwaltung. Mit ihr kannst du deine Zugangsdaten kostenlos über verschiedene Geräte hinweg synchronisieren. Allerdings hat Cliqz keine Kontrolle darüber, auf welche Daten LastPass zugreift.
Für jeden Dienst ein eigenes Passwort
Generell gilt: Du solltest deine Passwörter niemals weitergeben oder auf einem Zettel notiert in der Nähe des Rechners aufbewahren. Wichtig ist auch, Zugangsdaten regelmäßig zu ändern, ein voreingestelltes Kennwort umgehend gegen ein eigenes auszutauschen sowie ein Passwort nur für jeweils ein Benutzerkonto zu verwenden. Nutze also keinesfalls dasselbe Passwort für mehrere Webdienste, wie es laut einer aktuellen Umfrage des Digitalverbands Bitkom mehr als ein Drittel der Internetnutzer in Deutschland machen. Denn wie das Beispiel Friend Finder Network zeigt, kannst du nie sicher sein, dass deine Zugangsdaten auf Anbieterseite sicher gespeichert sind. Bekommt ein Hacker Log-in-Daten in die Finger, wird er sie höchstwahrscheinlich auch bei anderen Diensten ausprobieren. Zu möglichen Folgen zählen Identitätsdiebstahl und finanzielle Schäden. Für zusätzlichen Schutz solltest du stets eine aktuelle Sicherheitssoftware installiert haben. Sie hilft zu verhindern, dass der Rechner mit Schadprogrammen wie einem Keylogger verseucht wird, die Passwörter direkt bei der Eingabe auslesen können.
Über den Einsatz komplexer Passwörter hinaus empfiehlt sich die Verwendung einer Zwei-Faktor-Authentifizierung. Die meisten Webdienste bieten für den Anmeldeprozess inzwischen den Identitätsnachweis mittels der Kombination zweier unabhängiger Komponenten an. In der Regel fragen sie neben einem Passwort einen zusätzlichen Code ab, der während der Anmeldung beispielsweise per Textnachricht ans Smartphone gesendet wird. Diese Methode ist nochmals deutlich sicherer als der ausschließliche Einsatz von Passwörtern.