Immer noch sind leider zu viele Leute sorglos mit ihren Daten im Internet. Dabei ist es mit sehr wenig Aufwand möglich die Sicherheit um ein vielfaches zu erhöhen. Ich will im folgenden Text einmal ein paar der schlimmsten Sünden und einfachsten Gegenmittel aufführen, die in meiner Berufspraxis auftauchen. Fangen wir mit den Sünden an:
- Immer wieder das selbe Passwort benutzen. Auch Variationen davon wie „Klaus123“ auf der einen Webseite und „Klaus1234“ auf der nächsten sind nicht wirklich besser.
- Leicht zu erratende Passwörter wie Name des Kindes, des Lieblingsvereins oder sonstiger Daten, die man auch gerne öffentlich kund tut.
Hat man solche Passwörter benutzt, rate ich dringend dazu unter https://haveibeenpwned.com/ einmal zu testen, ob die eigene Emailadresse vielleicht schon einmal Teil eines Hacks oder Datenlecks war. Unter https://haveibeenpwned.com/Passwords kann man dann noch sein „Lieblingspasswort“ testen, ob es schon in einer Passwort Datei gelandet ist, die gerne von Hackern dazu genutzt wird um Konten durch zu probieren.
Was kann man nun machen, um sich abzusichern? Viele Webseiten und Dienste bieten 2 Faktor Autorisierung an. Kurz heißt das oft 2FA. Dabei reicht es nicht mehr nur Username und Passwort zu kennen, sondern es gibt noch eine dritte Komponente. Manche Dienste schicken einen Zahlencode per SMS auf eine hinterlegte Mobilnummer, andere schicken einen Wegwerfcode an die hinterlegt Emailadresse und häufig werden Apps benutzt um Einmalcodes zu generieren. Authy oder Googles Authenticator seien hier als Beispiele genannt. Diese Methoden haben aber auch ihre Nachteile. Ist die Emailadresse bereits gehackt bekommt der Hacker auch den Code. Ist das Handy weg bzw man kommt nicht an seine SMS, dann ist man auch ausgesperrt. Und die Apps sind Gerätegebunden. Bekommt man also ein neues Smartphone so muss man das alte Gerät relativ umständlich beim Dienst abmelden und das neue anmelden.
Für die meisten User ist die bequemste und sicherste Methode ein Passwortsafe. Eine verschlüsselte Datenbank in der alle Passwörter gespeichert sind. Meine Empfehlung ist hierbei https://keepass.info
KeePass gibt es für Windows als Installationsdatei oder als portable Lösung lauffähig vom USB Stick. KeePass wurde auch auf fast jedes System portiert. Android, Mac, iOS, Linux, Palm, Blackberry und Windows Phone. Die Software ist OSI zertifiziert, das heißt der Quelltext ist komplett frei zugänglich und einsehbar. Wenig Chancen auf versteckte Hintertüren, die einem die Passwörter klauen. (Die Zertifizierung gilt aber nur für das original, nicht zwingend für die Ports)
Das Programm erstellt eine Datenbank mit einem Masterpasswort in der man seine Passwörter verwalten kann. Die sogenannte KeePass-Datei inklusive Username, URL der Seite und Anmerkungen. Man kann auch alles Gruppieren und in einer Art Verzeichnisbaum aufteilen, so dass man seine Passwörter schön sortiert bekommt. Ausdenken muss man sich auch keine Passwörter mehr, denn KeePass enthält einen Passwort Generator. In dem kann man vorgeben wie lang und wie komplex das Passwort seinen soll. Eins der besten Features des Programms ist aber die Synchronisation der Datenbank. Wenn ich ein KeePass-Datei mit auf Reisen nehme (zB auf einem USB Stick) und unterwegs ein Passwort ändere oder ein neues hinzu kommt, dann kann ich, wenn ich wieder daheim bin, aus dem Programm heraus die USB Datei mit der Datei auf dem heimischen PC abgleichen und hinterher sind beide Dateien identisch. Man sollte aber darauf achten, dass man das Masterpasswort nicht vergisst, denn wenn das weg ist, dann ist die KeePass-Datei nur noch Datenmüll.
Zusammenfassung: Keine Passworte mehrfach nutzen. Wenn möglich 2FA aktivieren und nutzen und sich das Leben mit einer Schlüsselsoftware wie KeePass einfacher machen.