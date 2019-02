Seit knapp zwei Wochen ist das Internet noch ein bisschen unsicherer: Unbekannte haben ein gigantisches Verzeichnis ins Netz gestellt, in dem laut den Sicherheitsforschern vom Hasso-Plattner-Institut in Potsdam rund 2,2 Milliarden E-Mail-Adressen samt zugehöriger Passwörter enthalten sind. Sie wurden in den vergangenen Jahren bei Tausenden Servereinbrüchen von verschiedenen Hackern erbeutet.

Zwar mögen bei den direkt betroffenen Diensten die Zugangsdaten längst geändert sein – viel dramatischer ist aber, dass den Kriminellen mit E-Mail-Adresse und Passwort oft der Generalschlüssel zu vielen weiteren Nutzerkonten in die Hände fällt. Denn viele Anwender benutzen ein Passwort für mehrere, teils sogar für fast alle ihre Dienste – und sind nun stark gefährdet. Zum Safer Internet Day (5. Februar) erklären wir, mit welchen drei Schritten sich Online-Konten besser schützen lassen.

• Sichere Passwörter erstellen

Die erste wichtige Regel lautet: Je länger ein Passwort ist, desto besser. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu einer Länge von mindestens acht Zeichen. Allerdings sind auch solche Kennwörter nur dann halbwegs sicher, wenn sie entsprechend schwer zu erraten sind. Generell tabu sind deshalb Zahlen- und Buchstabenfolgen wie „12345678“, „abcdefgh“ oder auch „qwertzui“ – also einmal mit dem Finger über die oberste Reihe der Tastatur.

Auch ein einzelnes Wort, das so auch in einem Wörterbuch zu finden ist, gilt als unsicher, selbst wenn es deutlich länger als acht Zeichen ist: Angreifer probieren automatisiert alle Einträge eines Wörterbuchs aus und könnten so bereits nach wenigen Zehntausend Versuchen – für ein Compu-terprogramm ist das vergleichsweise wenig – einen Treffer landen. Verboten sind auch Namen oder Daten aus dem persönlichen Umfeld. Hat es ein Angreifer gezielt auf jemanden abgesehen, sind solche Passwörter schnell erratbar.

Die sichersten Passwörter bestehen aus einer zufälligen Abfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Sie haben allerdings den Nachteil, dass man sie nur sehr schwer im Gedächtnis behalten kann. Einfacher zu merken sind sogenannte „Passphrasen“. Sie bestehen aus mehreren, nicht zusammenhängenden Wörtern oder kurzen Sätzen.

Bereits recht sicher wäre es etwa, drei oder mehr (nicht zu kurze) Begriffe zufällig aus einem Wörterbuch zu wählen und zu einem Passwort zusammenzuführen, etwa „AlpinsportMephistounschädlich“. Jedes weitere Wort macht das Passwort noch sicherer.

Bei Diensten, die keine langen Passwörter akzeptieren, können sich Nutzer auch einen neuen Satz ausdenken und dann jeweils nur den ersten oder auch den letzten Buchstaben der Wörter verwenden. Ein Beispiel: Aus „Am Dienstag kaufe ich 3 Brötchen, 7 Tulpen und ein Haus“ würde folglich „ADki3B,7TueH“. Doch egal wie sicher ein Passwort ist – sobald man dasselbe oder auch das nur leicht abgewandelte Passwort an anderer Stelle nutzt, wird es unsicher.

• Passwörter merken

Selbst wer sich gute Eselsbrücken für seine Passwörter baut, wird gerade bei selten genutzten Diensten ohne Erinnerungsstütze wohl an seine Grenzen stoßen. Auf keinen Fall sollte man die Passwörter in einem Word-Dokument oder einer Notiz-App speichern. Wenn überhaupt, dann sollte eine Passwort-Datei verschlüsselt werden.

Gegen Angreifer aus dem Netz hilft aber auch ein schlichtes Notizbuch aus Papier. Um es vor neugierigen Besuchern oder Einbrechern zu schützen, sollte man es allerdings nicht direkt neben dem Computer aufbewahren. Wer auf zahlreiche Online-Dienste zugreifen muss, fährt hingegen mit einem Passwortmanager am besten. Ein solches Programm speichert die Zugangsdaten zu den jeweiligen Diensten automatisch.

Einmal eingerichtet, füllen sie die Anmeldefenster mithilfe von Browser-Plugins beziehungsweise Apps für das Smartphone selbstständig aus. Auf Wunsch erstellen die Programme auch beliebig komplizierte, sichere Kennwörter – alles, was sich der Nutzer merken muss, ist ein Hauptpasswort für den Passwortmanager – das sollte aber absolut sicher sein. Das Angebot an entsprechenden Programmen ist groß – für die meisten wird jedoch eine jährliche Gebühr zwischen zehn und 40 Euro fällig – viele erlauben aber eine kostenlose Testphase.

Das BSI empfiehlt die kostenlose Software „KeePass“ (keepass.info). Sie lässt sich sehr umfangreich einrichten, ist jedoch nicht sehr einsteigerfreundlich. Im Redaktionstest überzeugte die kostenlose Variante von „LastPass“ (lastpass.com). Sie ist übersichtlich und bietet auch in der abgespeckten Gratisversion alle wichtigen Funktionen.

• Zweiten Faktor einrichten

Für alle wichtigen Dienste wie E-Mail-Anbieter oder soziale Medien sollten Anwender zusätzlich eine weitere Sicherheitsfunktion einrichten: die „Zwei-Faktor-Authentisierung“ (oft auch „Authentifizierung") oder „Bestätigung in zwei Schritten“ genannt. Viele Nutzer kennen das Prinzip bereits vom Online-Banking. Hier wird neben dem regulären Passwort zur Bestätigung einer Transaktion meist noch ein zweiter Faktor, die TAN-Nummer, benötigt. Bei Online-Diensten funktioniert das ähnlich – allerdings erhalten Nutzer hier den zusätzlichen Code meist via SMS oder per App.

Das heißt, selbst wenn ein Dritter E-Mail-Adresse und Passwort kennt, kann er sich in ein so geschütztes Konto nicht einloggen, wenn er nicht zusätzlich auch Zugriff auf das Smartphone hat. Mittlerweile bieten Google, Facebook, Twitter, Microsoft, Apple, Ebay oder auch Amazon eine solche Funktion an. Sie lässt sich meist in den jeweiligen Konto-Einstellungen unter dem Punkt „Sicherheit“ einschalten. Um dies etwa für Google und seine Dienste einzurichten, öffnet man myaccount.google.com, klickt auf „Sicherheit“ und unter „Bei Google anmelden“ auf „Bestätigung in zwei Schritten“. Anschließend befolgt man die Anweisungen.