Kagel Blog

RSS Icon
Mastodon Icon

zu IT-Sicherheit und mehr

Nutzt nicht das gleiche Passwort

von

Natalie Kagelmacher

in

Kategorie:
Tags: , ,

Den Satz habt ihr bestimmt schon mal gehört, vermutlich von Prominenten: «Ich wurde gehackt».

Die Wahrheit jedoch ist, dass diese Opfer meistens nicht wirklich «gehackt» wurden – zumindest nicht im technischen Sinne – und stattdessen einfach deren Nutzername und Passwort missbraucht worden sind.

Das Stichwort ist «Credential Stuffing». Es ist ein Angriff, bei dem bekannte Nutzernamen und Passwörter eines Opfers auf allen Webseiten genutzt und missbraucht werden.

Woher kommen Nutzername und Passwort? Ganz einfach: meistens ein Datenleck bei einem Online-Dienst, auf dem ein Nutzerkonto vorhanden war, oder alternativ bei einem Phishing-Angriff, wobei das Opfer ausgetrickst wird, sich auf einer gefälschten Webseite einzuloggen, die vorgaukelt, legitim zu sein und dabei die Anmeldedaten abgreift.

Und jetzt das Problem: Wer immer den gleichen Nutzernamen (bzw. E-Mail-Adresse) und dazu das gleiche Passwort nutzt, der stellt im Grunde sicher, dass ein Angreifer überall freien Zugriff auf jedes Konto hat.

Deshalb sollte auf jeder Webseite ein anderes, zufälliges Passwort verwendet werden. Wer dann «gehackt» wird, muss nicht befürchten, dass die Anmeldedaten dann auf weiteren Webseiten missbraucht werden können. Eine weitere Massnahme für erweiterten Schutz – sofern angeboten – ist es, die Zwei-Faktor-Authentifizierung ebenfalls zu aktivieren.

Bei jeder Webseite ein anderes Passwort zu nutzen, schützt vor Missbrauch bei Datenlecks, und die Zwei-Faktor-Authentifizierung schützt  – zumindest begrenzt – bei Phishing-Attacken (vor erneuter Nutzung).

Aber wie merke ich mir so viele Passwörter?

Ganz einfach: gar nicht. Das ist die Aufgabe eines Passwort-Managers. Der speichert die Passwörter verschlüsselt ab und kann auch für jede Webseite ein sicheres Passwort generieren.

Passwort-Manager gibt es heutzutage viele, aber welche sind gut? Das kommt auf die individuellen Bedürfnisse an. Wer z. B. voll und ganz im Apple-Ökosystem ist, dem empfehle ich Apple’s eingebauter Passwort-Manager, da der sicher und einfach zu bedienen ist und sich mit allen Geräten automatisch synchronisiert. Wer wiederum verschiedene Systeme nutzt, dem empfehle ich Bitwarden, da dieser Open-Source und kostenlos ist und auf verschiedenen Plattformen läuft. Zuletzt empfehle ich – erweiterten Nutzern – KeePass bzw. Programme, die das KeePass-Format nutzen wie z. B. «KeePass XC» auf verschiedenen Desktop-Systemen oder «Strongbox» spezifisch am Mac. Passt jedoch auf: Wer KeePass und Derivate nutzt, muss sich selbst um die Datenbank und deren Backups kümmern. Eine Möglichkeit wäre es, die Datenbank in der Cloud zu speichern. Wem das zu viel ist, bleibt besser bei den eingebauten Lösungen oder nutzt Bitwarden.

Es gibt auch bezahlte Lösungen, da kann ich aber keine Empfehlungen abgeben, da ich solche bis jetzt selbst nicht nutzte. Zuletzt möchte ich noch dringend von LastPass abraten, da sie über die Jahre wiederholt Sicherheitsvorfälle hatten.

Wer diesen Beitrag gelesen hat und das gleiche Passwort immer wieder verwendet, sollte ernsthaft darüber nachdenken, zu einem Passwort-Manager zu wechseln, um auf der sicheren Seite zu stehen. Der Passwort-Manager selbst sollte natürlich wiederum – im Falle einer gehosteten Lösung – auch mit Zwei-Faktor-Authentifizierung abgesichert sein.

Lernen Sie die verschiedene Wege kennen, meinem Blog zu Folgen!

☕️ Einen Kaffee spenden 🩷

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert