Zu viele Passwörter & Mails ?
Hi. Ich wurde oft gehackt und möchte mich dem endlich eine Ende setzen. Man soll ja immer verschiedene Passwörter erstellen. Nun mein Problem. Ich habe mittlerweile so viele E-Mails und Passwörter, sodass ich gar kein Überblick mehr habe und vergesse ständig die Passwörter. Gibt es hier für eine Lösung? Wie merkt ihr eure Passwörter, Mails usw?
9 Antworten
Ich wurde oft gehackt und möchte mich dem endlich eine Ende setzen.
Dann beschäftige dich mir Security Awareness. Passwörter sind nur ein kleiner Teil der Geschichte. Dazu kannst du dir zB mein Buch ansehen: https://www.amazon.de/Sicherheit-PC-Internet-Cyberangriffe-erkennen/dp/3756861686
Gibt es hier für eine Lösung? Wie merkt ihr eure Passwörter, Mails usw?
Password-Manager, Passwort-Karten, usw.
Es gibt verschiedenste Lösungen. Aber die sind auch nur so sicher wie das Gesamtkonzept. Stell es dir wie bei einem Haus vor - du kannst die Eingangstüre mit 3 Schlössern sichern, es wird aber nichts bringen wenn man das Fenster mit einem Schraubenzieher aufhebeln kann.
Anders ausgedrückt Sicherheit ist ein Gesamtkonzept und wenn du nicht alle Aspekte beachtest und dich damit beschäftigst wird es immer noch genug Angriffe geben die durchgehen...
Einen Passwortmanager verwenden, z. B.
Gibt es hier für eine Lösung? Wie merkt ihr eure Passwörter, Mails usw?
Passwort-Manager. Ich selbst setze auf KeePassXC, das Programm gibt es auf Windows, Linux und MacOS. Die Datenbank wird lokal auf dem Gerät gespeichert und kann auf andere Geräte übertragen werden - und es gibt auch Apps für Android, um diese zu lesen
Eine gute Strategie ist, ein Standard-Passwort zu benutzen, das immer gleich ist, aber dieses z.B. am Anfang, am Ende oder in der Mitte (immer an der gleichen Stelle) um ein paar Zeichen zu erweitern, die je nach Webseite ähnlich sind, und die du dir herleiten kannst. Am besten ist es natürlich, wenn das Basis-passwort ein sicheres, zufällig generiertes ist.
Also zum Beispiel:
82n&xi2+4r als Basis-Passwort, das musst du halt auswendig lernen.
Dann machst du für Gutefrage.net eben gf82n&xi2+4r draus, für Google go82n&xi2+4r, und so weiter. Bei besonders wichtigen Accounts wie z.B. Mail und Bank kannst du noch zusätzliche Elemente ans Passwort anfügen, sodass es sich auch nicht erraten lässt, wenn man das Basispasswort + System kennt. Zum Beispiel das Geburtsdatum irgendeiner Person, der Name deines Haustiers, falls vorhanden, dein Lieblingsessen, irgendwas zufälliges nochmal irgendwo reinpacken.
Wenn Passwörter gestohlen werden, dann meist im großen Stil mit hunderten oder tausenden Einträgen, die dann automatisiert eben auch auf anderen Webseiten ausprobiert werden, falls der Nutzer dort die gleichen Daten verwendet hat. So ein automatisches "Abklopfen" verhinderst du bereits durch die zusätzlichen Zeichen.
Zudem gibt es Passwort-Manager, z.B. Keepass, mit denen du Passwörter verwalten kannst, da musst du dann aber natürlich sehr vorsichtig mit deiner Passwort-Datei sein, um diese nicht zu verlieren.
Wo braucht man da noch ein Argument. Die Antwort is bis auf dem letzten Absatz irreführend und geht gegen Empfehlung von Experten.
Beispiel:
Zum Beispiel das Geburtsdatum irgendeiner Person, der Name deines Haustiers, falls vorhanden, dein Lieblingsessen,
Genau diese Dinge nutzt man aus wenn man Passwörter crackt. Namen, Haustiernamen, häufig verwendete Wörter suchst du dir jeweils die top 10.000 raus und nutzt sie als Bestandteil um die Passwörter zu erraten. Bei gezielten Attacken machst du die social Media feeds der Person auf und findest die Hälfte raus.
Solche Strategien sind genau der Grund warum die Passwörter von Menschen gecrackt werden. Und Dinge wie "gf" als Zusatz bei Gutefrage nimmt ja wohl auch jeder auf, der an Passwort Hashes von Gutefrage kommen würde.
Das ist so lächerlich als Empfehlung, und zeigt allgemein ein absolut fehlendes Verständnis dafür wie man bei Password cracking vorgeht, dass es überhaupt keine Argumentation mehr braucht, warum diese Antwort in die Tonne gehört.
Wenn jemand eine Datenbank mit 1000 Passwörtern erbeutet, gehen die sicherlich jedes einzelne durch, und schauen nach Mustern.
Eine Kombination aus zufälligen Zeichen und zufälligen Wörtern lässt sich auch nicht ohne weiteres erraten, man darf natürlich nichts offensichtliches wie das eigene Geburtsdatum verwenden.
Angenommen, du hast die Information, dass Basis-Passwort ist 1X2B3C5Y.
Ich habe nun 9 Stellen, an denen ich z.B. zwischen 1 und 3 zusätzliche Wörter oder zufällige Daten einfügen kann. Dabei nehme ich natürlich Dinge, die niemand wissen kann, wie z.B. das Geburtsdatum meiner Katze - das nirgendwo dokumentiert ist.
Selbst wenn man davon ausgeht, dass es Wörter aus einem deutschen Wörterbuch sind und ein Datum der Letzten 50 Jahre, dann sind das ganz schnell einige Milliarden mögliche Kombinationen.
Man darf nicht vergessen, dass es nur 24 Buchstaben und 10 Zahlen und ein paar Sonderzeichen, aber 500.000 deutsche Wörter und sehr viele Datumsangaben. Gleichzeitig ist es für Menschen einfacher, sich Begriffe zu merken, als einzelne Buchstaben. Für Hacker ist es einfacher, einen Buchstaben zu erraten, als ein zufälliges Wort, wenn man eben nicht ein offensichtliches Wort benutzt.
Besser ein Passwort mit mehreren (!) Wörtern, als ein schlechtes Passwort mit nur Buchstaben oder gute Passwörter, die man im Notepad speichert.
Zudem wäre es sehr dramatisch, wenn jemand mein GF-Passwort herausfindet, welches ich dann einfach über meine Mail zurücksetze, bei welcher das Passwort nichts mit dem Account zu tun hat.
So ein einfaches System ist ganz und gar keine gute Idee.
Wenn 2 Passwörter bekannt sind hat man quasi ALLE auf einem Streich
Ich stimme zu dass das nicht sicher ist.
Sobald ein Muster da ist, ist es leicht zu hacken.
Wie gesagt, nur bei unwichtigen Accounts wäre ein Muster okay. Dass jemand in einer Passwortdatenbank mit tausenden Einträgen nach Mustern sucht, ist bereits extrem unwahrscheinlich, und bei wichtigen Accounts, wie dem Mailaccount, mit dem man jedes andere Konto zurücksetzen kann, habe ich explizit gesagt, dass man vom Muster abweichen sollte. Und da ist es auch egal, was man ändert oder anpasst, wenn der Angreifer dadurch nicht mehr weiß, was sich geändert hat. Da gibt es dann quasi wieder unendlich viele Möglichkeiten.
Aber davon auszugehen, dass ein Hacker die Zeit dafür hat, sich tausende Passwörter einzeln anzuschauen und zu überlegen, ob da was dahinter steckt, und nicht einfach direkt die Einträge mit Passw0rd! und 12345678ABCD automatisch mit Bots auf anderen Seiten ausprobiert, ist schon etwas absurd.
Man kann auch etwas kreativer sein bei der Wahl der zusätzlichen Zeichen.
Angenommen, du mein GuteFrage.net Passwort wäre
Nfd40EPcsS
Was ist der statische Teil und welchen habe ich ergänzt? Wenn du diesen Eintrag in einer Datenbank mit 1000+ Einträge sehen würdest, würdest du vermuten, dass hier ein Muster dahintersteckt?
Um deine Passwörter zu verwalten solltest du einen Passwort Manager nutzen. Diese speichern deine Passwörter dann verschlüsselt und erlauben es dir, mit einem klick die Passwörter einzufügen oder zu kopieren.
Du solltest bei einem Passwort Manager deine Passwörter einfach vom Programm generieren lassen und so überall einzigartige, sichere Passwörter nutzen.
Meine Empfehlungen wären:
- Bitwarden, ein Cloudbasierter Service. Das Programm ist Open Source, es gibt eine kostenlose Version und die Premium Features sind sehr fair bepreist. Du kannst mit einem Premium Abo geteilte Passwort Dateien erstellen die du mit deinen Familien oder Freunden teilen kannst, z.B. für Netflix oder andere geteilte Konten.
- KeePassXC, meiner Meinung nach der beste Passwort Manager aus der KeePass Familie. Ebenfalls Open Source und komplett kostenlos, das Projekt ist rein Spendenfinanziert. Hier hast du die verschlüsselte Datei nur offline, ich würde empfehlen das Programm mit einem Cloud Service wie OneDrive, Nextcloud oder Dropbox zu nutzen um deine Passwörter auf mehrere Geräte zu synchronisieren und ein Backup der Datei zu haben. Auf Android gibt es KeepassDX und auf iOS Strongbox als Alternativen, die können auch mit dem selben Dateiformat umgehen.
Bei beiden varianten würde ich empfehlen eventuell eine Sicherungskopie offline auf einem USB Stick zu haben, die du immer mal wieder aktualisierst.
Passwortmanager sicher benutzenViele denken Passwort Manager könnten unsicher sein, wenn jemand eben an deine Passwörter kommen könnte. Fakt ist aber, solange dein Passwort für den Passwort Manager gut ist, ist das nahezu ausgeschlossen. Es gibt aber ein paar Dinge die du beachten kannst um einen Passwort Manager sicher zu nutzen:
- Du kannst ausnahmsweise für wenige wichtige Accounts das Passwort nicht im Passwort Manager speichern, oder in einer anderen Passwort Manager Datenbank die nur offline ist oder ähnliches. Gute Passwörter sind immer möglichst zufällig aufgebaut ohne erkennbare Wörter, bestimmte Zahlen mit Bedeutung usw. und sollten nicht mehrfach genutzt werden.
- Wichtige Accounts und der Zugang zu dem Account unter dem die Passwörter gespeichert sind sollten mit Multi Factor Authentication abgesichert sein, gleich dazu mehr.
Es ist sehr wichtig, dass deine Passwörter zufällig aufgebaut sind und du niemals bei mehreren online Diensten das gleiche Passwort nutzt. Zusammen mit Phishing ist das die größte Gefahr für normale Nutzer, solange man jetzt nicht zwielichtige Programme wie Cracks runter lädt auch größer als Malware/Viren.
Multi Factor Authentication (MFA/2FA)Passwörter sind an sich eine schlechte Authentifizierungsmethode, da sie vergessen werden, und sich gute Passwörter schwer zu merken sind. Gerade, wenn man viele unterschiedliche hat. Das führt dazu, dass Menschen schlechte Passwörter mehrfach verwenden und ist der Grund, warum Passwort Manager von quasi allen Experten empfohlen werden.
Ein anderer Weg dieses Problem zu umgehen ist sich nicht nur auf Passwörter zu verlassen, sondern auch andere Faktoren für Authentifizierung zu nutzen, zumindest eben für die wichtigsten Account wie Backups von privaten oder sensiblen Daten, Zahlungsdienstleister oder Email Accounts. Das nennt man Multi Factor Authentication, oder teilweise two factor authentication.
- Die meisten seriösen Anbieter erlauben MFA über Apps wie Google Authenticator, Microsoft Authenticator und ähnliche. SMS gibt es auch oft, ist aber mit die unsicherste Methode (aber in der Regel besser als nichts).
- Eine auftrebende Technologie ist Webauthn, hier kannst du mit Hardware Security Keys, suche mal nach Yubico Security Key oder Yubikey wenn dich das interessiert, kosten so um die 30€ manchmal aber im Angebot stark reduziert, die du beim einloggen mit deinem Gerät verbinden musst oder mit Passkeys die sicher auf deinem Handy oder PC gespeichert werden und in deinem Google oder iCloud Account sicher backuped werden den Login bestätigen. Das ist die sicherste Methode die es derzeit gibt, wird aber noch nicht von allen Anbietern unterstüzt.
Zuletzt kann ich dir noch empfehlen Seiten wie https://haveibeenpwned.com/ https://monitor.firefox.com/ zu nutzen, um zu schauen ob deine Daten eventuell in bekannten Leaks sein könnten. Wenn dort etwas gefunden wird, könnte es sein dass ein Passwort von dir im Internet steht und daher deine Konten gehackt wurden.
Nein. Ist es nicht.