/ open source

Change Your Password Day 2018

Heute ist Change Your Password Day - eine gute Gelegenheit also sich mal wieder um seine 123456's, qwertz's und asdfgh's zu kümmern.

Der kollektive Druck zur Passwortänderung wurde 2012 von Matt Buchanan auf GIZMODO ins Leben gerufen und soll uns allen ins Gedächtnis rufen, dass es wirklich gar keine gute Idee ist fürs Online Banking das gleiche Passwort zu verwenden wie für diesen dubiösen Online-Store, bei dem du dich angemeldet hast nachdem du eine Mail von einem nigerianischen Prinzen bekommen hast, der ...

Sollte letzteres Passwort gestohlen werden, ist der Weg nicht mehr weit bis der Prinz direkt Geld von deinem Konto abhebt. Also nehmt euch die Zeit - es ist fast Freitag und da wollt ihr doch nicht wirklich arbeiten, oder? ;-)

Damit ihr nicht euch mit dem Thema nicht alleingelassen fühlt, gibt es heute eine handvoll Tipps für sichere Passwörter, eine Empfehlung für einen Passwort-Manager, der euch die Arbeit ein bisschen leichter macht und den Hinweis auf eine Seite, die euch sagen kann, ob das Passwort zu eurem Mail-Account bereits im Web auffindbar ist.

Tipps für sichere Passwörter

Tipps für gute Passwörter gibt es wie Sand am Meer. Hier eine Liste der aus meiner Sicht wirklich wichtigen Punkte, die ihr beachten solltet.

  • Individualität: Der vielleicht wichtigste Punkt zuerst. Passwörter sollten immer individuell sein. Das heißt, dass ihr für jede App, jede Webseite, jede E-Mailadresse, jedes Konto, etc. ein eigenes Passwort verwenden solltet. Wird ein Passwort entwendet, braucht ihr nicht zu befürchten, dass der Prinz direkt Geld abhebt (außer natürlich er knackt das Banking Passwort).
  • Komplexität: 8 Zeichen, 10, 12, 15, 30? - Es gibt viele Empfehlungen wie lang ein Passwort sein sollte, wobei grundsätzlich je mehr, desto besser gilt. Ich persönlich tendiere zu mindestens 10 Zeichen und einer guten Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und einfachen Sonderzeichen. Unbedingt zu vermeiden sind Passwörter, die sich nur aus einem Korpus (bspw. nur Kleinbuchstaben) bedienen (leicht mit Brute-Force zu knacken), in einem Wörterbuch stehen (leicht mittels Wörterbuchangriff zu knacken), den eigenen Namen, den Namen des Partners (der Geburtsstadt, des genutzen Dienstes, etc.) enthalten (mittels social engineering zu knacken).
  • 2FA: Wenn es angeboten wird, sollte eine Zwei-Faktor-Authentifizierung aktiviert werden.
  • Halbwertszeit: Passwörter sollten regelmäßig getauscht werden (bspw. zum Change Your Password Day ;-). Das neue Passwort sollte dabei keine Variation des alten Passworts sein. Wurde das alte Passwort geknackt sind geringe Variationen leicht zu identifizieren - der Passwortwechsel würde also nur kurzfristig für Sicherheit sorgen.
Password Requirements

KeeWeb

Ich schlage mich wirklich schon lange mit der Suche nach einem guten Passwortmanager rum.

Ja, es gibt die schönen, einfach zu bedienenden, sich automatisch synchronisierenden (1Password soll ganz gut sein) - aber will ich meine Passwörter auf dem Server einer Firma speichern? Hm. Als Alternative wird gern, weil open source und bewährt, KeePass genannt. Das sieht ja aber mal so was von nach 1995 - fällt also auch raus.

Bisher habe ich daher vor allem auf gespeicherte Passwörter im Browser gesetzt. Das ist ja aber auch nur so semi-gut.

Doch, es gibt Licht am Ende des Tunnels. Vor kurzem bin ich auf KeeWeb aufmerksam geworden. Die Vorteile? Es ist zu 100% mit einer KeePass-Datenbank kompatibel (also "sicher") und sieht dabei wunderbar aus.

Eine Installation ist nicht zwingend erforderlich. Du kannst es sofort in einem Browser deiner Wahl starten (WebApp - Yeah!). Die Passwörter werden verschlüsselt und bleiben auf deiner Festplatte. Cool, ... vorerst.

Denn falls du, wie ich, auf vielen Geräten gleichzeitig unterwegs bist, findest du lokale Passwort-Datenbanken vielleicht nicht sooo sinnvoll. Auch das ist kein Problem. Das kdbx-File in dem deine Passwörter gespeichert werden kannst du synchronisieren, z.B. über Nextcloud oder Dropbox (wobei das nur bedingt zu empfehlen ist).

Tipp: Wenn du komplett online-basiert arbeiten willst, kannst du dir KeeWeb natürlich auch direkt in deiner Nextcloud installieren: Link zur App



KeeWeb kann Passwörter nicht nur speichern sondern euch natürlich auch gleich sichere Passwörter kreieren - damit steht dem Change Your Password Day eigentlicht nichts mehr im Weg.

Dont Know Password

Identity Leak Checker

Falls ihr das Gefühl habt, eure Daten könnten mal gestohlen worden sein, bspw. weil ihr einen Account bei Yahoo habt, könnt ihr den Identity Leak Checker des Hasso-Plattner-Instituts der Uni Potsdam testen: https://sec.hpi.de/ilc

Auf der Seite könnt ihr eure E-Mailadresse eintragen und das Tool gleicht diese mit ca. 5 Milliarden gestohlenen Account-Daten ab. Über das Ergebnis werdet ihr per E-Mail informiert.

Fazit

Sichere Passwörter zu generieren ist nicht schwer - sie sich zu merken vielleicht schon. Mit einem Passwort-Manager ist aber auch das kein Problem. Es spricht also nichts dagegen bis zum Ende des Wochenendes nur noch gute Passwörter zu verwenden.

P.S. Die Passwörter im Teaser sind natürlich nicht so unrealistisch, wie ihr vielleicht meint


Das Titelbild stammt heute von Kristina Flour

Change Your Password Day 2018
Share this