Nutzt du ein sicheres Passwort? Bist du schon mal Opfer eines gehackten Passworts geworden? Wenn du diese Frage mit Nein beantworten möchtest, empfehlen wir dir, die Website https://haveibeenpwned.com/ auszuprobieren.
Tatsächlich endet ein gehacktes Passwort nicht immer gleich darin, dass Kriminelle direkt Bestellungen aufgeben oder es zum monetären Schaden kommt: Sehr häufig geht es lediglich darum, möglichst viele Daten über dich herauszufinden und in Datenbanken abzuspeichern. Diese Datensätze sind in ihrer ursprünglichen Herkunft schwer nachverfolgbar und bringen den Kriminellen oft viel mehr Geld und die Möglichkeit, ihre Taten zu verschleiern, als wenn sie irgendwelche Bestellungen durchführen.
Wir werden häufig mit Fragen zur Passwortsicherheit konfrontiert: Das Passwort kenne nur ich, oder? Ist es nicht egal, ob es 4 Stellen oder 30 hat, wenn der:die Betrüger:in es nicht kennt? Die Antwort darauf lautet: Es ist definitiv nicht egal, wie lang das Passwort ist.
Wie wir deine Website sichern können, haben wir bereits in diesem Artikel beschrieben. Mit welchen Mitteln genau Passwörter geknackt werden, was ein starkes Passwort ausmacht und wie du dich sonst noch vor Datenklau schützen kannst, haben wir in diesem Artikel zusammengefasst.
Wie Passwörter geknackt werden
Es gibt Möglichkeiten, Passwörter über ausgeklügelte Strategien und Programme zu stehlen. Doch meistens werden diese auf viel banalerem Wege gestohlen:
Über die Brute-Force-Methode werden Passwörter in vielerlei Kombinationen einfach ausprobiert. Das heißt aber nicht, dass sich hier der:die Betrüger:in vor den PC setzt und wahllos Kombinationen eintippt, nein: Die Betrüger:innen nutzen Software, welche unzählige der einfachsten und häufigsten Passwörter automatisiert und in kurzer Zeit probieren. Diese Programme versuchen es zum einen mit sehr einfachen Buchstaben- und Zahlenkombinationen, aber auch mit “bekannten Passwörtern”.
In sehr vielen Fällen werden selbst sichere Passwörter durch Passwort-Leaks bekannt. Diese Leaks beinhalten Listen, die aus E-Mail-Adresse, Passwort und möglichen weiteren Daten für einen bestimmten Service bestehen. Für diese Listen gibt es sogar einen Markt. Die Betrüger:innen erhoffen sich, dass du als User deine Kombination aus E-Mail-Adresse und demselben Passwort für mehrere Services verwendest. Die Wahrscheinlichkeit steigt dadurch, gleich auf mehreren Plattformen erfolgreich attackiert zu werden. Ein sicheres Passwort spart also Ärger – und potenziell Geld. Doch was ist ein gutes Passwort?
Was macht ein sicheres Passwort aus?
Allgemein kann man sagen: Je länger das Passwort, desto schwieriger ist es, dein Passwort aus allen Kombinationen zu erraten. Unterschiedliche Zeichen wie Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen tragen ebenso zur Sicherheit bei, da die Brute-Force-Methode zuerst einfache Passwörter probiert. Bleibe dabei unberechenbar: Der Vorname deiner Ehepartnerin ist dabei genauso unpassend wie dein Geburtsdatum.
Uns ist schon klar, dass das kein populärer Vorschlag ist, aber: Verwende dein Passwort außerdem möglichst nur ein Mal. Falls dein Passwort auf einer Plattform geleaked oder gehackt werden sollte, sind ansonsten gleich mehrere deiner Accounts angreifbar!
Verwende einen sicheren Passwort-Safe
Falls du dein Passwort auf einem Notizzettel auf deinem Bildschirm kleben hast: Lass das. Suche dann in der Suchmaschine deines Vertrauens nach einem geeigneten Passwort-Safe – die Angebote hierfür sind vielfältig. Diese Softwarelösungen helfen bei der Erzeugung deines Passworts und speichern es verschlüsselt ab. Passe aber auch hier auf, für diesen Safe ein sicheres Passwort zu verwenden, denn das ist dein Masterpasswort.
Ein Upgrade zum sicheren Passwort: Zwei-Faktor-Authentifizierung
Mit 2FA identifizierst du dich nicht nur mit deinem Passwort, sondern auch einer weiteren, unabhängigen Komponente. Beispiele hierfür sind Bankkarte + PIN oder ein Fingerabdruck + Zugangscode. Für die 2FA von Onlineservices verwenden wir meist das Smartphone. Wusstest du, dass wir hierfür eine eigene world4you-App anbieten? Eine Reihe von Hilfsartikeln dazu haben wir in unserem FAQ-Bereich zusammengefasst.
Wie bereits weiter oben erwähnt, solltest du unter keinen Umständen deine Passwörter irgendwo auf Zetteln herumliegen lassen. Wir gehen davon aus, dass du deinen Arbeitskolleginnen und -kollegen vollends vertraust, doch was ist mit Menschen, die zufällig an deinem Arbeitsplatz stehen könnten? Was ist mit dem Servicepersonal, das an deinem Platz sauber macht? Oder dem Bruder der Kollegin, der diese nur abholt? Bist du sicher, dass der:die Verkäufer:in, die dich besucht, vollständig vertrauenswürdig ist?
Wir möchten dich mit diesen Fragen nicht verängstigen, aber dich durchaus auf dieses Thema sensibilisieren: Höchstwahrscheinlich wollen dir der Reinigungsmann bzw. -frau, der:die Verwandte und der:die Vertreter:in nichts Böses. Jedoch schadet es nicht, für die kleine Wahrscheinlichkeit dennoch Vorbereitungen zu treffen und eine Clean-Desk-Policy einzuführen.
Diese Richtlinie schreibt einen sauberen Schreibtisch vor. Das bedeutet, dass die Mitarbeiter:innen am Ende eines jeden Arbeitstages ihren Schreibtisch aufräumen. Sie setzen dies um, indem sie Post-It-Zettel sicher entsorgen, schriftliche Notizen an einem sicheren Ort aufbewahren und sicherstellen, dass keine Wechseldatenträger einfach so herumliegen.
Noch viel greifbarer wird Social Engineering dann, wenn du Anrufe von Personen bekommst, die sich beispielsweise als Mitarbeiter:in eines Unternehmens ausgeben, von welchem du tatsächlich Kundin bzw. Kunde bist. Stell dir vor, du erhältst einen Anruf von der Bank, dass dein Rahmen überzogen sei und keine Buchungen mehr möglich sind: Genau in so einer Stresssituation sind nicht auf diese Thematik sensibilisierte Personen anfällig, persönliche oder sogar komplette Zugangsdaten preiszugeben.
Lassen dich nicht phishen
Das sichere Passwort bringt nichts, wenn du es einfach herschenkst. Natürlich gehen wir nicht davon aus, dass du jeder Person, die danach fragt, einfach dein Passwort aushändigst. Doch viele Betrüger:innen haben es sich zur Aufgabe gemacht, durch gezielte, scheinbar harmlose Maßnahmen an deine Passwörter und Daten zu gelangen. Eine davon ist Phishing.
Phishing ist eine Wortkombination aus Password und Fishing. Dabei versuchen Betrüger:innen, geheime Userdaten für Online-Banking, Online-Shops, soziale Netzwerke oder sogar den Kundinnen und Kundenbereich von world4you zu erschwindeln.
In der Regel wird hier eine E-Mail versandt, in welcher du dazu aufgerufen wirst, einen Link oder Dateianhang anzuklicken und auf einer täuschend echt aussehenden Weboberfläche Daten wie Passwörter oder Kontodaten einzugeben. Tatsächlich wird diese Website von Betrüger:innen betrieben und dient der schnellen Beschaffung persönlicher Daten. Die Betrüger:innen nutzen diese Daten, um in kurzer Zeit möglichst illegale Zahlungen und Geldtransfers stattfinden zu lassen. Obwohl diese Websites gewöhnlicherweise binnen Stunden oder Tagen wieder verschwinden, kann der angerichtete Schaden oft hoch sein.
Mehr über Phishing, wie du dich davor schützen kannst und wie du eine solche Nachricht frühzeitig erkennst, haben wir in unserem FAQ-Artikel zu Phishing beschrieben.
Bitte nicht verwenden: Die schlechtesten Passwörter der Welt
Nichts ersetzt ein sicheres Passwort, 2FA und der gesunde Umgang mit unbekannten E-Mails und Anfragen von Dritten. Dennoch gibt es Passwörter, die immer und immer wieder verwendet werden. In der Hoffnung, dass diese Passwörter irgendwann nicht mehr verwendet werden, veröffentlichen verschiedene Sicherheitsfirmen jedes Jahr ihre Liste der schlechtesten Passwörter, die bei Data Breaches mehrfach gefunden wurden. Diese haben wir für dich zusammengetragen.
Wusstest du, dass du diese Passwörter bei world4you teilweise gar nicht setzen kannst? Um dich vor schwachen oder zu häufig verwendeten Passwörtern zu schützen, haben wir viele besonders unsichere Passwörter zur Verwendung gesperrt.
Bleib also wachsam
Sichere Passwörter schützen nicht davor, gehackt zu werden. Selbst, wenn du selbst alle Maßnahmen ergreifst, kann es immer noch sein, dass deine Daten durch einen fremdverschuldeten Leak veröffentlicht werden. Aus diesem Grund raten wir dir, immer ein wachsames Auge auf deine Datensicherheit zu haben, deine Passwörter in regelmäßigen Abständen zu ändern und generell sehr vorsichtig mit deinen Daten umzugehen.