Security-Checkliste Passwörter & Accounts

Passwörter sind ein notwendiges Übel. Mit den folgenden Tipps haben Sie so wenig Passwortstress wie nötig, ohne an der Sicherheit zu sparen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 29 Beiträge

(Bild: Andreas Martini)

Von
  • Ronald Eikenberg

Vom Benutzeraccount des PCs über die Online-Banking-Seite zur Dateiverschlüsselung – Passwörter sind ein allgegenwärtiger Schutzmechanismus. Leider können sie oft auch sehr lästig sein: Wiederverwenden ist verboten und einfache Wörter darf man auch nicht benutzen. Den dadurch entstehenden Zoo aus Sonderzeichen-Ansammlungen kann sich aber niemand merken.

Unsere Security-Checkliste gibt Tipps, wie man die eigenen Passwörter gut managt, ohne Abstriche bei der Sicherheit machen zu müssen. Viele weitere Checklisten, zum Beispiel zum Online-Banking, für Backups oder den Social-Media-Account, finden Sie in der aktuellen c’t 20/2020.

Nutzen Sie für jeden Dienst ein anderes Kennwort. Sollten Sie Passwörter recycelt haben, gehen Sie am besten alle wichtigen Accounts durch und legen individuelle Passwörter fest – insbesondere bei Diensten, bei denen es um persönliche Daten oder Geld geht.

Um Passwörter ranken sich zahlreiche Mythen, viele davon sind inzwischen widerlegt. So gilt es als überholt, Passwörter regelmäßig zu ändern. Ändern müssen Sie nur, wenn ein Account gehackt wurde oder ein Passwort in die falschen Hände gelangt ist.

Ein gutes Passwort muss alltagstauglich sein und sich auch am Smartphone eintippen lassen. Statt vieler Sonderzeichen sollten Sie lieber möglichst lange Passwörter einsetzen: Die Länge ist der größte Hebel, um die Sicherheit zu erhöhen. Insbesondere bei Verschlüsselung (Dateien, Festplatten, PGP & Co.) sollten Sie so viele Zeichen nutzen, wie Sie handhaben können. Ein Weg zum Ziel ist die Aneinanderreihung von Wörtern, absichtliche Schreibfehler sorgen für mehr Sicherheit.

Im Laufe der Zeit sammeln sich viele Passwörter für viele Dienste an. Nutzen Sie am besten einen Passwortmanager, um Ihre Zugangsdaten zu verwalten. Die nützlichen Helfer speichern Passwörter sicher verschlüsselt auf Rechner, Smartphone und Tablet. Sie müssen sich dann nur noch das Masterpasswort merken, mit dem Sie den Passwortmanager entsperren. Wir haben vor Kurzem 15 verschiedene Passwortmanager getestet.

Der Passwortspeicher des Browsers ist nur bedingt zu empfehlen: Standardmäßig kommt jeder, der Zugriff auf Ihr Nutzerkonto hat, an alle gespeicherten Zugangsdaten. Um das zu verhindern, sollten Sie bei Firefox ein Masterpasswort setzen, das der Browser daraufhin jeweils beim ersten Passwortzugriff nach dem Start abfragt. Sie setzen es in den Firefox-Einstellungen unter "Datenschutz & Sicherheit/Zugangsdaten und Passwörter/Hauptpasswort verwenden". Wenn Sie die Sync-Funktion von Chrome nutzen, können Sie Ihre Zugangsdaten zumindest vor der Übertragung in die Google-Cloud mit einem Masterpasswort lokal verschlüsseln.

Wenn Sie sich so gar nicht mit dem Gedanken anfreunden können, einen Passwortmanager einzusetzen, können Sie Ihre Passwörter auch einfach aufschreiben. Greifen Sie hierfür auf bewährte Technik zurück, nämlich auf Zettel und Stift. Das ist sogar trojanersicher, denn es gibt keine Schädlinge, die auf einen Zettel in der Geldbörse oder im Tresor zugreifen können.

Sie sollten allerdings darauf achten, dass sich die Passwörter nicht den dazugehörigen Nutzernamen und Diensten zuordnen lassen. Zudem ist es sinnvoll, die Passwörter in veränderter Form aufzuschreiben. Hier sind der Fantasie keine Grenzen gesetzt: Nutzen Sie zum Beispiel Passwörter, die mit einem immer gleichen Wortbaustein wie ichleseCT beginnen, den Sie jedoch nicht mit notieren. Statt dem Passwort "ichleseCTSetzenWeizenKursiv" schreiben Sie nur "SetzenWeizenKursiv" auf.

Viele Online-Dienste bieten Zwei-Faktor-Authentifizierung (2FA), die effektiv vor Hackern schützt: Ist sie aktiv, fragt der Dienst beim Einloggen nicht nur nach dem Passwort, sondern auch nach einem zweiten Faktor. Das ist zum Beispiel ein Code, den Sie per SMS erhalten. Noch sicherer ist eine Authenticator-App wie Google Authenticator.

Ein USB-Sicherheitsschlüssel schützt Ihre Online-Accounts – selbst dann noch, wenn der Hacker Ihr Passwort kennt.

Alternativ können Sie auch einen Sicherheitsschlüssel (FIDO2 oder U2F) als zweiten Faktor nutzen. Diese haben meist das Format eines USB-Sticks. Eine Übersicht vieler FIDO2-Sicherheitsschlüssel und Tipps zur Einrichtung haben wir bereits zusammengetragen.

Weitere Security-Checklisten haben wir in c't 20/2020 zusammengestellt. Das Heft enthält ein Booklet mit den wichtigsten Handgriffen zur Absicherung von Smartphone, Rechner, WLAN-Router und vielem mehr. Sie können diese Checklisten-Broschüre kostenlos als PDF herunterladen. Wer das Checklisten-Heft in der Firma auslegen oder an seine Kunden verteilen möchte, kann die gedruckte Checklisten-Broschüre im heise-Shop nachbestellen. (rei)