Schluss mit Passwortwirtschaft und Login-Chaos

Bei der Menge an sensiblen Daten, die man Onlinediensten anvertraut, braucht es eine wasserdichte Login-Strategie. c’t gibt Ihnen das Rüstzeug an die Hand.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 360 Beiträge
, Bild: Andreas Martini

(Bild: Bild: Andreas Martini)

Von
  • Niklas Dierking

Hand aufs Herz: Ist jedes Ihrer Passwörter ausreichend lang? Benutzen Sie ein Passwort für mehrere Logins? Klebt ab und zu ein Post-it mit Zugangsdaten am Monitor? Speichern Sie manchmal Login-Informationen in einer Textdatei?

Mehr Infos

Bereits vor einigen Jahren hatte der durchschnittliche Internetnutzer schätzungsweise etwa 70 Accounts bei Onlinediensten, deren Zugänge alle verwaltet werden wollen. Inzwischen dürften es noch mehr geworden sein – und damit wächst auch das Unbehagen, denn laut einer im Februar durchgeführten Umfrage im Auftrag des E-Mail-Providers Web.de fürchtet sich über die Hälfte der Befragten vor Identitätsdiebstahl im Internet. Nutzer vertrauen Webdiensten sensible Daten an und viele von ihnen sind zum Bestreiten des Alltags unerlässlich geworden. Ein Angreifer, der sich Zugang verschafft, hat die Möglichkeit enormen finanziellen oder sozialen Schaden anrichten.

Lassen Sie sich von einem Passwortmanager unter die Arme greifen, um jedem Onlinezugang ein sicheres Passwort zu verleihen. Eine solche Software schützt gegen Wörterbuch- und Brute-Force-Attacken, indem sie lange, einzigartige Passwörter generiert und sicher speichert. Diese Passwörter können Angreifer mit herkömmlichen Methoden und verhältnismäßigem Aufwand nicht mehr knacken. Wie Sie Ihre Zugangsdaten mit einem Passwortmanager verwalten und Ihre Passwortdatenbank selbst vor neugierigen Blicken schützen, haben wir für Sie zusammengefasst.

Welches Schloss darfs sein? Verfahren und Geräte, um Ihre Zugänge zu Webdiensten zusätzlich abzusichern, gibt es viele, zum Beispiel Sicherheitsschlüssel, TOTP-Apps und Hardware-Authenticatoren.

Auch das beste Passwort schützt nicht in jedem Angriffsszenario, beispielsweise wenn Betrüger es mit einem Keylogger mitlesen oder man in eine Phishing-Falle tappt. Um sich für den Fall zu wappnen, dass Ihnen ein Angreifer das Geheimnis entlockt, müssen Sie Ihre Accounts mit einem zweiten Faktor absichern. Das Prinzip der Zwei-Faktor-Authentifizierung (2FA) dürfte vielen von TAN-Verfahren beim Onlinebanking geläufig sein oder wenn Sie sich von einem neuen Gerät in Ihren Google-Account einloggen. Zugänge werden dabei über einen zweiten Kanal abgesichert. Ein Cyberkrimineller müsste zusätzlich zu Ihrem Passwort auch diesen zweiten Kanal kompromittieren. Das macht es Angreifern deutlich schwerer.

Wer beginnt, sich über Möglichkeiten der Zwei-Faktor-Authentifizierung einzulesen, verliert schnell den Überblick. Gut möglich, dass Ihnen Begriffe wie TOTP, U2F und FIDO2 bereits über den Weg gelaufen sind. Unter dem Schlagwort 2FA tummeln sich eine Vielzahl von Verfahren, die sich sowohl in Funktionsweise, Sicherheit und Komfort unterscheiden. Wir erklären und vergleichen die gängigsten Verfahren, damit Sie die geeignete Methode für Ihren Anwendungsfall auswählen. Wir helfen Ihnen dann, Ihren Accounts das zusätzliche Schloss zu verpassen. Sie finden heraus, welche 2FA-Optionen die Onlinedienste anbieten und wie Sie diese einrichten.

Mit diesem zusätzlichen Gewinn an Sicherheit müssen Sie jedoch selbst vorsorgen, um sich nicht selbst auszusperren, zum Beispiel wenn Sie Ihren Hardware-Sicherheitsschlüssel verklüngeln. Außerdem sollten Sie einige Punkte zur Vor- und Nachsorge beachten, beispielsweise wie mit Sicherheitsfragen umzugehen ist. Diese Notfallpläne erläutern wir Ihnen. Es gibt jedoch noch mehr Unwägbarkeiten: Ist es eigentlich sicherer, sich bei Diensten mit seinem Google-Konto anzumelden, statt überall einen eigenen Account zu registrieren? Antworten auf solche Fragen und weitere Login-Best-Practices lesen Sie in unserer FAQ.

Beim gewissenhaften Nachdenken über die eigene Passwortwirtschaft beschleicht viele ein mulmiges Gefühl. Das dürfte auch der Grund dafür sein, dass laut der eingangs erwähnten Umfrage mehr als die Hälfte der Befragten zusätzliche Schutzmaßnahmen für sinnvoll halten. Aber womit anfangen? Auf den folgenden Seiten lösen wir mit Ihnen das Problem. Sie erfahren, auf welche Säulen Sie Ihre sichere Login-Strategie aufbauen müssen, wie Sie dem Passwort-Chaos Herr werden, Ihre Accounts mit einem zweiten Faktor verrammeln und Katastrophen vorbeugen. Der beste Zeitpunkt, damit anzufangen, ist jetzt!

c't Ausgabe 12/2022

(Bild: 

c't 12/22

)

Ist Apples M1 tatsächlicher schneller als aktuelle AMD- und Intel-Chips? Wir haben nachgemessen! In c’t 12/2022 zeigen wir zudem, wie Sie sich aus der Abhängigkeit von fremdem Code befreien können. Wir haben smarte Türschlösser, kompakte Notebooks und USB-Docks für SATA-Platten getestet und Pixelgrafik auf Retro-Konsolen bestaunt. Außerdem erklären wir, wie sich schlecht erstellte RSA-Schlüssel mit einem 380 Jahre alten Verfahren knacken lassen.

Mehr von c't Magazin Mehr von c't Magazin

(ndi)