DE
DE EN FR
Startseite | Verwenden Sie niemals dasselbe Passwort

Niemals das gleiche Passwort verwenden

Orlaith Traynor

2 min lesen - April 6, 2017
Why You Should Never Use the Same Password for Different Accounts

Schätzungsweise 25% aller Internetnutzer wählen schwache Passwörter, die leicht zu merken sind. Etwa 60% verwenden das gleiche Passwort für mehrere oder alle ihre Konten.(1) Diese gefährlichen Gewohnheiten sind auf die wachsende Zahl von Websites zurückzuführen, die eine Online-Authentifizierung erfordern.

Nein zu wiederverwendeten Passwörtern

Hacker wissen, dass Menschen Passwörter wiederverwenden, und sie nutzen dieses Wissen zu ihrem Vorteil. Viele Cyberkriminelle verschaffen sich Anmeldeinformationen, indem sie schlecht geschützte Websites hacken, bevor sie diese Daten für den Zugang zu anderen Plattformen verwenden. Unabhängig von PasswortkomplexitätDie Konten der Nutzer sind nur so sicher wie die schwächste Website, auf der sie sich registriert haben. Deshalb kursieren gestohlene Anmeldeinformationen so frei im Dark Web, unabhängig von der Sensibilität der gehackten Website.

Sagen Sie ja zu Passwort-Managern?

Anstatt auswendig zu lernen verschiedene PasswörterManche Menschen entscheiden sich für die Verwendung eines Passwortmanagers. Beispiele sind LastPass (der bekannteste), KeePassX (eine Open-Source-Option) oder 1Password (für Apple-Nutzer). Die Idee ist einfach: Der Passwort-Manager generiert nach dem Zufallsprinzip starke Passwörter, auf die mit einem einzigen "Master"-Passwort zugegriffen werden kann. Im Fall von LastPassSo legen die Nutzer beispielsweise ein Master-Passwort fest, das mit SHA-256 gehasht wird. SHA-256 ist langsamer zu berechnen als SHA-1, so dass Hacker viel mehr Zeit für Brute-Force-Angriffe benötigen, was abschreckend wirkt.(2) Die Passwörter der Benutzer werden mit dem Standard AES-256 verschlüsselt und in einem Tresor gespeichert.(3) Das Master-Kennwort spielt hier eine doppelte Rolle: Es wird verwendet, um LastPass-Benutzer zu identifizieren und ihnen zu ermöglichen, ihre verschlüsselten Kennwörter zu lesen.

Frühere Schwachstellen

Leider haben auch Passwort-Manager ihre Schwächen, wie LastPass gut weiß:

  • Im Jahr 2015 gab LastPass zu, dass Hacker Zugang zu den E-Mail-Adressen, gehashten Master-Passwörtern und Sicherheitsfragen seiner Mitglieder erhalten hatten. Das Unternehmen betonte jedoch, dass das Hashing von Passwörtern (einschließlich Hashing, Salting und Schlüsselableitungsfunktionen oder PBKDF2) ein De-Hashing praktisch unmöglich mache.
  • Im Jahr 2016 entdeckte der Computersicherheitsforscher Tavis Ormandy eine Schwachstelle in der LastPass-Erweiterung für Firefox 3.3.2. Angreifer konnten LastPass-Benutzer auf bösartige Websites locken, wo sie LastPass dazu brachten, die Anmeldedaten der Benutzer weiterzugeben, indem sie vorgaben, legitim zu sein.
  • Am 21. März 2017 fand Ormandy einen weiteren Fehler, der die Erweiterungen von LastPass für Chrome, Firefox und Edge betraf. Wie schon 2016 konnten Angreifer LastPass-Nutzer auf bösartige Websites locken, wo sie LastPass zur Preisgabe von Passwörtern verleiteten, indem sie vorgaben, legitime Dritte zu sein.

Mit Vorsicht vorgehen

LastPass empfiehlt seinen Nutzern, lange und komplexe Master-Passwörter zu wählen, um sich vor raffinierten Brute-Force-Angriffen zu schützen. Dieser Ratschlag - und die verschiedenen Sicherheitsvorfälle, die LastPass betreffen - zeigen, dass Passwortmanager nicht immer unfehlbar sind. Beim Besuch von Websites und bei der Wahl von Passwörtern (einschließlich Master-Passwörtern) ist immer noch gesunder Menschenverstand gefragt. Der Hauptvorteil von Passwort-Managern besteht darin, dass sie es den Nutzern erleichtern, gute Praktiken anzuwenden. Einige Organisationen, darunter das britische National Cyber Security Centre (NCSC), sind der Ansicht, dass Passwort-Manager als kurzfristige Lösung betrachtet werden sollten. Eine langfristige Lösung wäre die vollständige Abschaffung von Passwort-Authentifizierungsverfahren. Andere Optionen sind die Multifaktor-Authentifizierung (die bereits von vielen Banken verwendet wird), die biometrische Erkennung und digitale IDs, die von staatlichen Stellen ausgestellt werden. Fußnoten: (1) Die Daten stammen aus dem Bericht "Adults' Media Use and Attitudes Report 2013" von Ofcom aus dem Jahr 2013. (2) In der Kryptoanalyse bedeutet dies das Testen aller möglichen Kombinationen, bis die richtige Kombination gefunden ist. (3) Die NASA ist der Ansicht, dass dieser einzigartige Verschlüsselungsstandard für die Verschlüsselung streng geheimer Kommunikation geeignet ist. Außerdem ist er öffentlich.