Ver­öf­fent­licht am 17.1.2018

Wann soll­ten Pass­wör­ter geän­dert werden?

Pass­wor­t­än­de­run­gen schüt­zen nicht vor Pass­wort­dieb­stahl, son­dern kön­nen ihn ledig­lich wert­los machen.

Aus die­sem Grund soll­ten Pass­wör­ter immer dann geän­dert wer­den, wenn es Hin­wei­se auf einen Pass­wort­dieb­stahl gibt.

Regel­mä­ßi­ge (z.B. jähr­li­che) Pass­wor­t­än­de­run­gen füh­ren in der Pra­xis nicht unbe­dingt zu mehr Sicherheit.

Sind Ihre Zugangs­da­ten von einem Daten­leck betroffen?

Zugangs­da­ten wer­den auch von Drit­ten ver­ar­bei­tet und gespei­chert (z.B. von WebShops).

Durch Daten­lecks (Daten­pan­nen) kön­nen Pass­wör­ter in fal­sche Hän­de und an die Öffent­lich­keit gelangen.

Ob Zugangs­da­ten von einem bekann­ten Daten­leck betrof­fen sind, kann auf fol­gen­den Por­ta­len durch Ein­ga­be der zuge­hö­ri­gen E‑Mail-Adres­se über­prüft werden:

Has­so-Platt­ner-Insti­tut

Troy Hunt (Check: E‑Mail-Adres­se)

Dafür müs­sen die betrof­fe­nen Daten jedoch bereits in die Daten­ban­ken der o.g. Web­sites inte­griert wor­den sein.

Auf der Web­site von Troy Hunt wird sehr über­sicht­lich auf­ge­führt, wel­che Daten­lecks bereits erfasst sind.

Bei Hin­wei­sen auf einen Pass­wort­dieb­stahl soll­ten die betrof­fe­nen Pass­wör­ter sofort geän­dert werden.

Um einen Daten­dieb­stahl schnellst­mög­lich zu bemer­ken, kann man sich regel­mä­ßig über bekann­te Daten­lecks (Daten­pan­nen) informieren:

Bekann­te Datenlecks

Schutz­maß­nah­men gegen den Passwortdiebstahl

Zwei-Fak­tor-Authen­ti­sie­rung (2FA)

Sofern Zwei-Fak­tor-Authen­ti­sie­rung (2FA) ange­bo­ten wird, soll­te die­ses Ver­fah­ren genutzt werden.

Der Sicher­heits­ge­winn besteht dar­in, dass gestoh­le­ne Zugangs­da­ten allein für einen Log­in nicht ausreichen.

Neben den Zugangs­da­ten wird auch der Zugriff auf den 2. Fak­tor benö­tigt (z.B. E‑Mail, SMS, App).

„Zwei-Fak­tor-Authen­ti­sie­rung für höhe­re Sicher­heit” (BSI)

Wer­den E‑Mail-Post­fä­cher durch 2FA gesi­chert, soll­ten die POP3- und IMAP-Zugän­ge deak­ti­viert wer­den, damit 2FA nicht per POP3/IMAP umgan­gen wer­den kann. 

Siche­re Pass­wör­ter verwenden

Bis ein Daten­dieb­stahl bemerkt wird, kön­nen sich Pass­wör­ter über län­ge­re Zeit unbe­merkt in fal­schen Hän­den befinden.

Des­halb soll­ten nie­mals für meh­re­re Accounts die sel­ben Zugangs­da­ten ver­wen­det werden!

Alle Pass­wör­ter soll­ten so gewählt wer­den, dass von einem (gestoh­le­nen) Pass­wort nicht auf ande­re Pass­wör­ter geschlos­sen wer­den kann.

Auch bei vie­len Ver­su­chen (Bru­te-Force-Metho­de) darf es nicht mög­lich sein, auf Grund­la­ge eines Pass­worts ande­re Pass­wör­ter auto­ma­ti­siert zu „erra­ten”.

Siche­re Pass­wör­ter erzeu­gen und verwenden

Kom­pro­mit­tier­te Geräte

Sind eige­ne Gerä­te (PC, Lap­top, Smart­phone) kom­pro­mit­tiert, kann es auch dadurch zu einem Daten­dieb­stahl kommen.

Aus die­sem Grund soll­te die ver­wen­de­te Soft­ware (Brow­ser, Betriebs­sys­tem usw.) immer auf dem aktu­ells­ten Stand gehal­ten wer­den. Dies bezieht sich ins­be­son­de­re auf zwin­gend erfor­der­li­che Sicherheits-Updates.

Viren­scan­ner und Fire­wall kön­nen das Sicher­heits­kon­zept ergän­zen, erset­zen aber kei­nes­falls not­wen­di­ge Sicherheits-Updates.

Viren­scan­ner vs. Sicherheits-Updates

Dies gilt auch für Android-Gerä­te, die häu­fig nach eini­ger Zeit kei­ne Sicher­heits-Updates mehr vom Her­stel­ler erhalten.

Android sicher nutzen

Schad­soft­ware kann z.B. per E‑Mail, kom­pro­mit­tier­te Web­site und auf ande­ren Wegen auf ein Gerät gelangen.

Phis­hing

Im Rah­men von Phis­hing ver­su­chen Angrei­fer, durch gefälsch­te Web­sites oder E‑Mails an Zugangs­da­ten zu gelangen.

Gegen Phis­hing schützt am bes­ten der gesun­de Men­schen­ver­stand und das Wis­sen über die Exis­tenz der­ar­ti­ger Angriffe.

Sofern im Rah­men eines Log­in-Pro­zes­ses Unre­gel­mä­ßig­kei­ten auf­fal­len, soll­te das zuge­hö­ri­ge Pass­wort sicher­heits­hal­ber sofort geän­dert werden.