#197 01. Februar 2022, Ändere Dein Passwort Tag - warum es dieses Jahr wichtiger ist als jemals zuvor und warum das Passwort alleine nicht mehr die Welt rettet!
Der ichbindochnichthierumbeliebtzusein.com PodCast
11 Minuten
Podcast
Podcaster
Der PodCast rund um Führung, Fliegen, Technik und Alltag. Deine Informationsquelle für das Ohr am Puls der Zeit!
Beschreibung
vor 2 Jahren
01. Februar 2022, Ändere Dein Passwort Tag - warum es dieses Jahr
wichtiger ist als jemals zuvor und warum das Passwort alleine nicht
mehr die Welt rettet!
Ich hinke schon wieder hinterher, daher mit leichter Verspätung
dieses wichtige Thema: Alle Jahre wieder kommt der erste
Februar - und damit die Erinnerung, dass an diesem Tag der
"Wechsle-Dein-Passwort"-Tag ist. Und selten war es so wichtig,
wie heute! Mit Attacken von allen Seiten, Malware, Phishing,
Accountübernahmen und Bankzugangsbetrügereien. Parallel dazu
reagieren die Anbieter, allen voran die "big 5", Google, Meta,
Microsoft, Apple und amazon, in dem sie nun durchgehend, neben
der Pflicht, ein gutes Passwort für die Dienste zu vergeben,
auch 2FA, Zwei-Faktor-Authentisierung, anbieten, in Teilen auch
verpflichtend erwarten. Aktuell ist dies Stand der Technik und
auch ich möchte euch, wo auch immer möglich, die Aktivierung
des zweiten Faktors an Herz legen. Aber: vernachlässigt
trotzdem das gute alte Passwort nicht!
FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat
Ihr kennt sie alle, die Tricks, ein Passwort selbst zu
generieren: Nimm bekannte Worte und "schreibe" sie
anders. So wird aus Lastkraftwagenfahrer der
La$tKra%tvväg3nVahrer. Allerdings, für die Jungs, die den
ganzen Tag nichts anderes machen, als Accounts zu hacken und
damit mittlerweile auf billige Serverbänke aus der Cloud für
ein paar Dollar per Zeiteinheit oder im Monatsabo zurückgreifen
können, ist das nur eine Verzögerung um wenige Minuten, bis
auch diese Art der Passwörter gehakt sind.
Da auch Social Engineering heutzutage durch
eine Google Suche vervollständigt werden kann, Vorsicht vor
Jahresdaten oder Vornamen der Liebsten, dem eigenen Geburtstag
und allen Daten, die du mal über Social Media gepostet hast.
Geht davon aus, dass die alle in diversen Datenbanken mit
Verknüpfung zu deinem Namen und sämtliche Aliase, die du online
benutzt, gespeichert und irgendwo im oder unter dem Darknet zu
finden sind.
Dann gibt es immer noch den Tipp, beliebige Worte aus
dem Duden, Fremdwörterlexikon, English- oder Lateinwörterbuch,
was eben griffbereit ist, mit individueller Groß- und
Kleinschreibung zu kombinieren. Hier gewinnen,
Achtung, nicht verwechseln, zwei Faktoren: die erreichte Länge,
die es zumindest für Halbprofis ab einem zeitlichen Aufwand
uninteressant macht und somit zu einem Abbruch führt. Du bist
nicht der einzige Kandidat, der hier parallel durch die Cloud
gejagt wird, dann lieber für einen dickeren Fisch die CPU-Time
opfern. Und, als Zweites, die Zufälligkeit der ausgewählten
Wörter. Nachteilig: Kombinationen dieser Art musst du doch
wieder an einem unbekannten Ort aufschreiben.
Wer so richtig auf Nummer sicher gehen will,
hat zwei Optionen: die "kleine", mit einem
Passwortgenerator auf Nummer sicher zu gehen,
um jeden persönlichen Einschlag in die Generierung von sicheren
Passwörtern zu vermeiden. Eine gute Quelle hierzu, neben einer
Google-Suche, ist die Seite von datenschutz.org, hier gibt es
neben einem kostenfreien Passwort-Generator Infos über sichere
Passwörter und warum diese sinnvoll und notwendig sind als auch
einen Passwort-Tresor. Klickt euch mal durch!
Wer eine All-in-One-Lösung möchte, greife sich einen
Passwortmanager. Hier ist für jeden Geldbeutel
und für jede Anforderung was dabei. Als bekannteste
Open-Source-Lösung sei hier KeePass genannt. Eine sichere und
tolle Offline-Lösung, allerdings mit gewissen Nachteilen: kein
automatisches Ausfüllen, zum Beispiel durch eine
Browser-Erweiterung. Und ein wenig Fummeln, um alles selbst
einzurichten, hast du auch. Aber: alles für die Sicherheit.
Kostenpflichtige Vertreter sind etwa LastPass, der seinen
Sicherheitsbruch bereits in der Vergangenheit erlitten hat und
vor einiger Zeit von LogMeIn übernommen wurde. Wer Googles
Chrome nutzt, hat einen Passwortgenerator und -manager
kostenfrei inklusive, der auch über alle angemeldeten Geräte
die Daten, mittlerweile auch verschlüsselt, synchronisiert.
Apropos Google: bevor ich euch für weitere Angebote auf Google
verweise, noch ein zweiter Kandidat, 1Passw(ord). Ich schätze,
dass jeder Apple-User, der hier mitliest, sofort "Ja, den nutze
ich auch!" schreit, da er weit komfortabler als Apples eigener
Schlüsselbund zu bedienen und zu nutzen ist.
Preislich und in der Bedienung, einzig daher erspare ich euch
weitere Kandidaten, sind sich die gängigen Anbieter einig:
30–50 Euro per Jahr, lokal für Windows und Apple, Module für
gängige Browser, also Chrome, Firefox und das Apple-Teil und
auch für die beiden dominanten Handybetriebssysteme und ja,
klar auch im Netz per Browser.
Kurz gesagt, auch im Hinblick auf eure Sicherheit im Netz: Es
gibt keine Ausreden mehr, NICHT auf sichere Passwörter zu
setzen. Es gibt hier diverse Philosophien, ich setzte immer
noch auf Zufall, mit Sonderzeichen und Länge: 35 Zeichen und
mehr dürfen es schon sein, schließlich steht die
Quantencomputergeneration vor der Tür! Und Hände weg von
Webseiten, die die Länge des Passworts beschränken, so jemand
macht sich keine Gedanken über die Sicherheit eurer Daten!
Aber... die meisten Plattformen machen es euch noch einfacher,
in vielen Fällen ebenfalls zum Nullkostenpreis. Stichwort:
Zwei-Faktor-Authentisierung. Oder
2-Factor-Authentication. Meist reicht ein einfacher
Klick, um es zu aktivieren, ihr könnt eine App oder sogar einen
physikalischen Schlüssel hinterlegen und dann zur Sicherheit -
Tipp: UNBEDINGT MACHEN! - noch Backup-Codes laden - in unter
fünf Minuten seid ihr auch hier einsatzbereit. Und recht viel
sicherer könnt ihr heute nicht sein!
Vorgehen beim Login ist, wie ihr es kennt: Nutzername und
Passwort vergeben. Je Login jeweils ein anderer Name und erst
recht ein anderes Passwort. Der zweite Faktor nach dem Passwort
kommt in verschiedenen Formen: Eingabe einer sechsstelligen,
oder größer, Zufallszahl, die durch eine App in einem
bestimmten Zeitintervall, meist 30 oder 60 Sekunden, auf Basis
eines zuvor gescannten QR-Codes generiert und Server-seitig
abgeglichen wird.
Stand heute, auch wenn die meisten dieser "FIDO2"-Schlüssel
offen definiert sind, nicht knackbar. Und nein, es muss nicht
das neueste Modell mit zusätzlichem internen
Fingerabdruckcanner für über 100 Euro sein, es tut auch in
jeder Hinsicht das Standard-Modell für knapp 30 Euro.
Dass die Preise von Yubico nicht so ganz dem Markt entsprechen,
merkt ihr schnell, wenn ihr bei amazon weitere Hersteller
sucht. Sollte ich einen Neukauf wagen, würde ich das Topmodell
von Trustkey, den Secure Key Biometric für 55 Euro kaufen -
immerhin halber Preis!
Aber ob nun Key oder per Google Authenticator App, am
wichtigsten ist: 2FA unbedingt nutzen. Aktivieren, wo immer
möglich! Somit ist ein Bruch des Passworts immer noch schlimm,
aber nicht zwischen Weltuntergang und Supernova in der privaten
Online-Galaxy!
BTW, Passwörter sollten in regelmäßigen Abständen geändert
werden. Auch hier hilft ein Passwortgenerator oder ein
Passwortmanager. Nehmt euch mal alle drei Monate vor, wenn es
dann alle sechs werden, seid ihr immer noch ganz vorne dabei!
Weil das Thema so wichtig ist, eine
kurze Zusammenfassung:
Stellt sicher, dass ihr regelmäßig eure Passwörter
ändert. Länge ist hierbei
aktuell ein entscheidender Faktor und die Tatsache, dass es
wirklich aus Zufall gewürftelt wurde. Nutzt dafür einen
Passwortgenerator wie den von datenschutz.org oder gleich einen
Passwortmanager.
Um trotzdem immer wieder vorkommende Passwort-Hacks zu
vermeiden, nutzt, wo immer ihr es aktivieren könnt, die
Zwei-Faktor-Authentisierung. Das geht am
einfachsten per App, wer mehr Sicherheit will, kann sich einen
FIDO2-Schlüssel zulegen. Aber trotz des
Schlüssels und 2FA nicht an der eigentlichen
Passwortsicherheit schludern: Wer eines eurer
Passwörter erraten hat, wird es bei allen ihm bekannten
Accounts von euch probieren - und ich wette, es ist nur eine
Frage der Zeit, bis er einen Dienst findet, wo ihr ein
identisches Passwort mehrfach benutzt habt und wo es keine 2FA
gibt - und schon nimmt das Schicksal seinen bösen
Lauf...!
Nehmt euch die Zeit und greift jetzt an! Alles, was ihr
braucht, steht hier und die Links dazu sind nur einen Klick
entfernt!
Happy Password wechseln!
PS: Microsoft hat übrigens eine eigene App für
Android und Co, die mittlerweile auch mehr zu einem
Passwortmanager und 2FA-Service ausgebaut wurde und auch noch
weiter ausgebaut wird. Wenn ihr viel mit Office 365 und/oder
Windows 10 oder 11 zu tun habt, werft einen Blick auf die
Authenticator App, die gibt es ebenfalls für lau!
PodCast abonnieren: | direkt | iTunes | Spotify | Google |
amazon | STOLZ PRODUZIERT UND AUFGENOMMEN MIT Ultraschall5
Folge direkt herunterladen
wichtiger ist als jemals zuvor und warum das Passwort alleine nicht
mehr die Welt rettet!
Ich hinke schon wieder hinterher, daher mit leichter Verspätung
dieses wichtige Thema: Alle Jahre wieder kommt der erste
Februar - und damit die Erinnerung, dass an diesem Tag der
"Wechsle-Dein-Passwort"-Tag ist. Und selten war es so wichtig,
wie heute! Mit Attacken von allen Seiten, Malware, Phishing,
Accountübernahmen und Bankzugangsbetrügereien. Parallel dazu
reagieren die Anbieter, allen voran die "big 5", Google, Meta,
Microsoft, Apple und amazon, in dem sie nun durchgehend, neben
der Pflicht, ein gutes Passwort für die Dienste zu vergeben,
auch 2FA, Zwei-Faktor-Authentisierung, anbieten, in Teilen auch
verpflichtend erwarten. Aktuell ist dies Stand der Technik und
auch ich möchte euch, wo auch immer möglich, die Aktivierung
des zweiten Faktors an Herz legen. Aber: vernachlässigt
trotzdem das gute alte Passwort nicht!
FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat
Ihr kennt sie alle, die Tricks, ein Passwort selbst zu
generieren: Nimm bekannte Worte und "schreibe" sie
anders. So wird aus Lastkraftwagenfahrer der
La$tKra%tvväg3nVahrer. Allerdings, für die Jungs, die den
ganzen Tag nichts anderes machen, als Accounts zu hacken und
damit mittlerweile auf billige Serverbänke aus der Cloud für
ein paar Dollar per Zeiteinheit oder im Monatsabo zurückgreifen
können, ist das nur eine Verzögerung um wenige Minuten, bis
auch diese Art der Passwörter gehakt sind.
Da auch Social Engineering heutzutage durch
eine Google Suche vervollständigt werden kann, Vorsicht vor
Jahresdaten oder Vornamen der Liebsten, dem eigenen Geburtstag
und allen Daten, die du mal über Social Media gepostet hast.
Geht davon aus, dass die alle in diversen Datenbanken mit
Verknüpfung zu deinem Namen und sämtliche Aliase, die du online
benutzt, gespeichert und irgendwo im oder unter dem Darknet zu
finden sind.
Dann gibt es immer noch den Tipp, beliebige Worte aus
dem Duden, Fremdwörterlexikon, English- oder Lateinwörterbuch,
was eben griffbereit ist, mit individueller Groß- und
Kleinschreibung zu kombinieren. Hier gewinnen,
Achtung, nicht verwechseln, zwei Faktoren: die erreichte Länge,
die es zumindest für Halbprofis ab einem zeitlichen Aufwand
uninteressant macht und somit zu einem Abbruch führt. Du bist
nicht der einzige Kandidat, der hier parallel durch die Cloud
gejagt wird, dann lieber für einen dickeren Fisch die CPU-Time
opfern. Und, als Zweites, die Zufälligkeit der ausgewählten
Wörter. Nachteilig: Kombinationen dieser Art musst du doch
wieder an einem unbekannten Ort aufschreiben.
Wer so richtig auf Nummer sicher gehen will,
hat zwei Optionen: die "kleine", mit einem
Passwortgenerator auf Nummer sicher zu gehen,
um jeden persönlichen Einschlag in die Generierung von sicheren
Passwörtern zu vermeiden. Eine gute Quelle hierzu, neben einer
Google-Suche, ist die Seite von datenschutz.org, hier gibt es
neben einem kostenfreien Passwort-Generator Infos über sichere
Passwörter und warum diese sinnvoll und notwendig sind als auch
einen Passwort-Tresor. Klickt euch mal durch!
Wer eine All-in-One-Lösung möchte, greife sich einen
Passwortmanager. Hier ist für jeden Geldbeutel
und für jede Anforderung was dabei. Als bekannteste
Open-Source-Lösung sei hier KeePass genannt. Eine sichere und
tolle Offline-Lösung, allerdings mit gewissen Nachteilen: kein
automatisches Ausfüllen, zum Beispiel durch eine
Browser-Erweiterung. Und ein wenig Fummeln, um alles selbst
einzurichten, hast du auch. Aber: alles für die Sicherheit.
Kostenpflichtige Vertreter sind etwa LastPass, der seinen
Sicherheitsbruch bereits in der Vergangenheit erlitten hat und
vor einiger Zeit von LogMeIn übernommen wurde. Wer Googles
Chrome nutzt, hat einen Passwortgenerator und -manager
kostenfrei inklusive, der auch über alle angemeldeten Geräte
die Daten, mittlerweile auch verschlüsselt, synchronisiert.
Apropos Google: bevor ich euch für weitere Angebote auf Google
verweise, noch ein zweiter Kandidat, 1Passw(ord). Ich schätze,
dass jeder Apple-User, der hier mitliest, sofort "Ja, den nutze
ich auch!" schreit, da er weit komfortabler als Apples eigener
Schlüsselbund zu bedienen und zu nutzen ist.
Preislich und in der Bedienung, einzig daher erspare ich euch
weitere Kandidaten, sind sich die gängigen Anbieter einig:
30–50 Euro per Jahr, lokal für Windows und Apple, Module für
gängige Browser, also Chrome, Firefox und das Apple-Teil und
auch für die beiden dominanten Handybetriebssysteme und ja,
klar auch im Netz per Browser.
Kurz gesagt, auch im Hinblick auf eure Sicherheit im Netz: Es
gibt keine Ausreden mehr, NICHT auf sichere Passwörter zu
setzen. Es gibt hier diverse Philosophien, ich setzte immer
noch auf Zufall, mit Sonderzeichen und Länge: 35 Zeichen und
mehr dürfen es schon sein, schließlich steht die
Quantencomputergeneration vor der Tür! Und Hände weg von
Webseiten, die die Länge des Passworts beschränken, so jemand
macht sich keine Gedanken über die Sicherheit eurer Daten!
Aber... die meisten Plattformen machen es euch noch einfacher,
in vielen Fällen ebenfalls zum Nullkostenpreis. Stichwort:
Zwei-Faktor-Authentisierung. Oder
2-Factor-Authentication. Meist reicht ein einfacher
Klick, um es zu aktivieren, ihr könnt eine App oder sogar einen
physikalischen Schlüssel hinterlegen und dann zur Sicherheit -
Tipp: UNBEDINGT MACHEN! - noch Backup-Codes laden - in unter
fünf Minuten seid ihr auch hier einsatzbereit. Und recht viel
sicherer könnt ihr heute nicht sein!
Vorgehen beim Login ist, wie ihr es kennt: Nutzername und
Passwort vergeben. Je Login jeweils ein anderer Name und erst
recht ein anderes Passwort. Der zweite Faktor nach dem Passwort
kommt in verschiedenen Formen: Eingabe einer sechsstelligen,
oder größer, Zufallszahl, die durch eine App in einem
bestimmten Zeitintervall, meist 30 oder 60 Sekunden, auf Basis
eines zuvor gescannten QR-Codes generiert und Server-seitig
abgeglichen wird.
Stand heute, auch wenn die meisten dieser "FIDO2"-Schlüssel
offen definiert sind, nicht knackbar. Und nein, es muss nicht
das neueste Modell mit zusätzlichem internen
Fingerabdruckcanner für über 100 Euro sein, es tut auch in
jeder Hinsicht das Standard-Modell für knapp 30 Euro.
Dass die Preise von Yubico nicht so ganz dem Markt entsprechen,
merkt ihr schnell, wenn ihr bei amazon weitere Hersteller
sucht. Sollte ich einen Neukauf wagen, würde ich das Topmodell
von Trustkey, den Secure Key Biometric für 55 Euro kaufen -
immerhin halber Preis!
Aber ob nun Key oder per Google Authenticator App, am
wichtigsten ist: 2FA unbedingt nutzen. Aktivieren, wo immer
möglich! Somit ist ein Bruch des Passworts immer noch schlimm,
aber nicht zwischen Weltuntergang und Supernova in der privaten
Online-Galaxy!
BTW, Passwörter sollten in regelmäßigen Abständen geändert
werden. Auch hier hilft ein Passwortgenerator oder ein
Passwortmanager. Nehmt euch mal alle drei Monate vor, wenn es
dann alle sechs werden, seid ihr immer noch ganz vorne dabei!
Weil das Thema so wichtig ist, eine
kurze Zusammenfassung:
Stellt sicher, dass ihr regelmäßig eure Passwörter
ändert. Länge ist hierbei
aktuell ein entscheidender Faktor und die Tatsache, dass es
wirklich aus Zufall gewürftelt wurde. Nutzt dafür einen
Passwortgenerator wie den von datenschutz.org oder gleich einen
Passwortmanager.
Um trotzdem immer wieder vorkommende Passwort-Hacks zu
vermeiden, nutzt, wo immer ihr es aktivieren könnt, die
Zwei-Faktor-Authentisierung. Das geht am
einfachsten per App, wer mehr Sicherheit will, kann sich einen
FIDO2-Schlüssel zulegen. Aber trotz des
Schlüssels und 2FA nicht an der eigentlichen
Passwortsicherheit schludern: Wer eines eurer
Passwörter erraten hat, wird es bei allen ihm bekannten
Accounts von euch probieren - und ich wette, es ist nur eine
Frage der Zeit, bis er einen Dienst findet, wo ihr ein
identisches Passwort mehrfach benutzt habt und wo es keine 2FA
gibt - und schon nimmt das Schicksal seinen bösen
Lauf...!
Nehmt euch die Zeit und greift jetzt an! Alles, was ihr
braucht, steht hier und die Links dazu sind nur einen Klick
entfernt!
Happy Password wechseln!
PS: Microsoft hat übrigens eine eigene App für
Android und Co, die mittlerweile auch mehr zu einem
Passwortmanager und 2FA-Service ausgebaut wurde und auch noch
weiter ausgebaut wird. Wenn ihr viel mit Office 365 und/oder
Windows 10 oder 11 zu tun habt, werft einen Blick auf die
Authenticator App, die gibt es ebenfalls für lau!
PodCast abonnieren: | direkt | iTunes | Spotify | Google |
amazon | STOLZ PRODUZIERT UND AUFGENOMMEN MIT Ultraschall5
Folge direkt herunterladen
Weitere Episoden
21 Minuten
vor 4 Tagen
31 Minuten
vor 1 Woche
28 Minuten
vor 2 Wochen
54 Minuten
vor 3 Wochen
Kommentare (0)