1. Februar: "Ändere-Dein-Passwort"-Tag

Am 1. Februar ist „Ändere-Dein-Passwort"-Tag". Doch statt sich regelmäßig neue Passwörter auszudenken, sollte man für jeden wichtigen Online-Dienst ein separates, sicheres Passwort verwenden, so das Computermagazin c't.


Anzeige

Ein Passwort-Manager kann dabei wertvolle Dienste leisten. Passwort-Änderungen als Selbstzweck hingegen führen nicht zwangsläufig zu mehr Sicherheit und gelten als überholt.

Passwörter sind aus Nutzersicht vor allem eins: nervig. Sollen sie sicher sein, muss man sich komplizierte und/oder lange Zeichenfolgen merken. Hält man sich dann noch an die Empfehlung, für jeden Dienst ein eigenes Passwort zu vergeben, steigt man schnell nicht mehr durch. Viele Nutzer haben schon längst resigniert und verwenden der Einfachheit halber ein Passwort für mehrere Dienste. Doch das ist hochgradig gefährlich: Knackt ein Angreifer einen Account, kann er auch auf alle anderen zugreifen.

„Statt sich jedoch jedes Jahr am „Ändere-Dein-Passwort"-Tag zig neue Passwörter auszudenken, sollte man einen Passwort-Manager nutzen", empfiehlt c't Redakteur Ronald Eikenberg. „Dieser nimmt einem lästige Tipparbeit ab und generiert auf Wunsch zufällige Passwörter." Im Test des Computermagazins c't haben Enpass, KeePass, Password Depot und SafeInCloud gute Bewertungen erhalten. Die Passwort-Manager bieten dem User freie Hand bei der Art der Synchronisierung der Passwörter und sind komfortabel zu bedienen.

Möchte man seine Passwörter stattdessen selbst verwalten, gibt es diverse Regeln: „Geht es um persönliche Daten oder Geld, sollten Sie es einem Angreifer nicht leichter als nötig machen und eine lange Passphrase einsetzen." Außerdem gilt: Je individueller die Zeichenabfolge, desto besser. Der Dienst „Pwned Passwords" ist hierbei ein gern genutzter Helfer. Er vergleicht das selbst eingegebene Passwort mit seiner Datenbank und findet so heraus, ob sich die eingegebene Zeichenfolge schon auf einer Liste bereits geknackter Passwörter befindet.

Darüber hinaus sollte man – wann immer es geht – die sogenannte Zwei-Faktor-Authentifizierung einschalten. Dann ist der Account auch dann noch geschützt, wenn ein Angreifer die Zugangsdaten kennt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein abgelegt und mit Allgemein verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu 1. Februar: "Ändere-Dein-Passwort"-Tag

  1. NoBody Private sagt:

    Ich schließe mich dem Kommentar bei heise news an, indem darauf hingewiesen wird, dass sichere Passwörter nicht viel bringen, wenn derjenige der sie speichert das nicht sicher erledigt.
    Klar, ein separates Passwort für jeden "Dienst" grenzt das ganze ein, nur wenn als BenutzerID (nur) die eMail Adresse möglich ist und über diese das Passwort zurück gesetzt werden kann sieht die Sache schon anders aus.

  2. Tobi sagt:

    Ich glaube nur KeePass ist Open Source. Die Auswahl sollte meiner Meinung nach dann nicht auf die Konkurrenz Enpass, Password Depot und SafeInCloud fallen.

  3. Pater sagt:

    Hinweis bei chip.de zu "Pwned Passwords": Um auf Nummer sicher zu gehen sollten Sie den Dienst aber nur mit Passwörtern in Anspruch nehmen, die Sie nicht mehr aktiv nutzen – also um herauszufinden, ob alte Login-Daten bereits einmal gestohlen wurden.

    • Nobody sagt:

      Eben habe ich es mal mit einem leicht modifizierten Passwort getestet.
      Ergebnis: Good news — no pwnage found!
      Vermutlich ist das Originalpasswort dann auch sicher.

  4. ubie sagt:

    Ich lese immer wieder gerne die Tipps auf "Mike Kuketz Sicherheitsblog"
    Er empfiehlt als Password-Manger den neuen "KeePassXC"
    https://www.kuketz-blog.de/es-wird-zeit-abschied-von-keepassx-zu-keepassxc/

    Zum heutigen Thema schreibt er:
    " Passwort-Wechseltag: Lasst es einfach!
    Seit Jahren wird am 1. Februar dazu aufgerufen, die eigenen Passwörter zu ändern. Fakt ist: Das ständige Wechseln von Passwörtern bringt keinen messbaren Sicherheitsgewinn. Die Probleme liegen doch woanders: Viel zu wenig Menschen nutzen überhaupt »sichere« Passwörter bzw. nutzen für ihre unzähligen Online-Dienste ein und dasselbe Passwort.
    Was ihr als Nutzer braucht ist ein Passwort-Manager, der für euch zufällige und möglichst lange Passwörter generiert, die er sich anschließend für euch merkt.
    Wir brauchen Anbieter, die ihrer Verantwortung zur sicheren Speicherung bzw. Aufbewahrung von Passwörtern nachkommen. Wenn Anbieter Passwörter im Klartext ablegen oder Hashing-Algorithmen aus der Antike einsetzen, ist das einfach nur grob fahrlässig"
    https://www.kuketz-blog.de/passwort-wechseltag-lasst-es-einfach/

    Recht hat er !
    https://www.kuketz-blog.de/category/microblog/

  5. Aleku sagt:

    "The password is hashed client-side with the SHA-1 algorithm then only the first 5 characters of the hash are sent to HIBP per the Cloudflare k-anonymity implementation. HIBP never receives the original password nor enough information to discover what the original password was."

    https://haveibeenpwned.com/Privacy

  6. Dekre sagt:

    Das Schlimme an diese blöden Motto-Tagen ist, dass die Leute diesen Müll auch noch glauben.

    Bei den öR (ZDF, ARD und ARD-Dritte) lief immer ein blöder Mensch, wohl Journalist, dem sein Passwort geklaut wurde. Für was das Passwort war und warum er da erpresst wurde, wird nicht genannt. Das ist doch alles Lügenpropaganda in den öR (benutze das Wort eigentlich nie, aber hier passt es). Alles Leute die wirklch von nichts Ahnung haben und vor den tatsächlichen Unwegsamkeiten mit Malware und sonstigen Krempel hinwegsehen.

    NB – Für andere Medien kann ich nicht sprechen, da seit Jahrzehnten kein Fernseher.

    Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.