„12345“ ist wirklich schlecht: Ihr ultimativer Leitfaden zur Passwortsicherheit

Veröffentlicht: 2022-01-29

Wir haben Sie immer wieder darauf hingewiesen, dass der einzige sichere Weg zum Speichern und Verwenden von Passwörtern darin besteht, sich auf einen Passwort-Manager zu verlassen, aber einige von Ihnen hören nicht zu. In einer PCMag-Umfrage zu Passwörtern gaben nur 24 Prozent von Ihnen an, einen Passwort-Manager zu verwenden. Was macht der Rest von euch? Verwenden Sie einfache Passwörter wie Passwort oder 12345678? Ein komplexes Passwort auswendig lernen und überall verwenden? Hören Sie, die Sorge um die Passwortsicherheit ist keine Kleinigkeit, aber angesichts des enormen Ausmaßes des Risikos – wie die jüngste Verletzung der Collection #1 zeigt, bei der 773 Millionen gehackte E-Mail-Adressen offengelegt wurden – müssen Sie alles tun, um Ihre Passwörter zu behalten sicher.

Selbst wenn Sie den besten Passwort-Manager verwenden, garantiert er nicht die Sicherheit Ihrer Konten – nicht, wenn Sie den Passwort-Manager verwenden, um sich dieselben alten, müden Passwörter zu merken. Sie müssen sich in die Schützengräben begeben und die schlechten Passwörter gegen neue, stärkere austauschen.

Die oben erwähnte Umfrage ergab, dass 35 Prozent der PCMag-Leser niemals ihre Passwörter ändern, es sei denn, sie werden durch eine Sicherheitslücke dazu gezwungen. Im Allgemeinen ist das nicht so schlimm. Das National Institute of Standards and Technology empfiehlt nicht mehr, Passwörter alle 90 Tage zu ändern. NIST empfiehlt jetzt, lange Passphrasen wie „Correct-Horse-Battery-Staple“ zu verwenden und sie nur bei Bedarf zu ändern. Aber wenn Sie schreckliche Passwörter verwenden, bedeutet „wenn nötig“ sofort .

Was macht ein schlechtes Passwort aus? Wir werden uns einige der Attribute schrecklicher Passwörter ansehen und Ihnen dann einige Hinweise geben, wie Sie Passwörter richtig verwenden.

Halten Sie sich aus dem Wörterbuch heraus

Alle paar Monate veröffentlicht die eine oder andere Nachrichtenagentur eine Liste mit den schlechtesten Passwörtern. Wir sehen viele einfach einzugebende Optionen, wie 123456 und 12345678 und qwerty. Einfach für dich? Sicher. Aber auch für Hacker leicht zu knacken. Andere gebräuchliche (und schlechte) Passwörter bestehen aus einfachen Wörterbuchwörtern. Wir haben Baseball, Monkey und Starwars in der Liste der schlechtesten Passwörter gesehen. Auch diese sind leicht zu knacken.

Schlechte Passwörter

Einige sichere Websites werden nach einer festgelegten Anzahl falscher Passworteingaben gesperrt, viele jedoch nicht. Hacker können eine Liste von E-Mail-Adressen mit einer Liste beliebter Passwörter kreuzen und einen automatisierten Prozess einrichten, um Kombinationen auszuprobieren, bis sie hineinkommen.

Eine ordnungsgemäß gesicherte Website speichert Ihr Passwort nirgendwo. Stattdessen lässt es das Passwort durch einen Hash-Algorithmus laufen, eine Art Einwegverschlüsselung. Dieselbe Eingabe erzeugt immer dieselbe Ausgabe, aber es gibt keine Möglichkeit, vom resultierenden Hash zurück zum ursprünglichen Passwort zu gelangen. Wenn das Passwort, das Sie eingeben, mit demselben Wert gehasht wird, der gespeichert ist, erhalten Sie Zugriff. Selbst wenn Hacker die Benutzerdaten der Website erbeuten, erhalten sie keine Passwörter, sondern nur Hashes.

Aber kluge Hacker können schwache Passwörter knacken, selbst wenn sie gehasht sind, wenn sie wissen, welche Hash-Funktion die Website verwendet hat. Sie beginnen damit, ein riesiges Wörterbuch gängiger Passwörter durch die Hash-Funktion laufen zu lassen. Dann suchen sie in den erfassten Daten nach den resultierenden Hashes. Jede Übereinstimmung ist ein geknacktes Passwort. Sites mit der allerbesten Sicherheit verbessern die Hash-Funktion mit einer Technik namens Salting, die diese Art des tabellenbasierten Crackens unmöglich macht, aber warum das Risiko eingehen? Halten Sie sich einfach aus dem Wörterbuch heraus.

Denke anders

Eine Freundin hat mir einmal ihr perfektes Passwort verraten: 1qaz2wsx3edc4rfv. Sie konnte es „tippen“, indem sie einfach einen Finger über vier schräge Spalten der Tastatur gleiten ließ. Es war so perfekt, dass sie es überall benutzte. Und das war ein großer Fehler.

Kaum eine Woche vergeht ohne Meldungen über Sicherheitslücken bei Unternehmen oder Websites, die Tausende oder Millionen von Benutzernamen und Passwörtern preisgeben. Kluge Opfer ändern sofort ihre Passwörter. Diejenigen, die das Problem ignorieren, werden möglicherweise von ihren eigenen Konten ausgeschlossen, nachdem die Hacker das Passwort zurückgesetzt haben.

Sicherheitswache

Diese Hacker wissen, dass allzu viele Menschen ihre Passwörter recyceln. Sobald sie ein funktionierendes Paar aus Benutzername und Passwort gefunden haben, versuchen sie es mit denselben Anmeldeinformationen auf anderen Websites. Sie sind vielleicht nicht so besorgt, den Zugriff auf Ihr Club Penguin-Konto zu verlieren, aber wenn Sie denselben Login auf der Website Ihrer Bank verwendet haben, haben Sie große Probleme.

Es wird schlimmer. Wenn jemand anderes die Kontrolle über Ihr E-Mail-Konto erlangt, kann er Sie zunächst sperren, indem er das Passwort ändert. Dann können sie in Ihre anderen Konten eindringen, indem sie einen Link zum Zurücksetzen des Passworts per E-Mail an dieses Konto senden. Schon besorgt?

Werden Sie nicht persönlich

Persönliche Informationen als Grundlage für Ihre Passwörter zu verwenden, ist sehr verlockend, aber es ist keine gute Idee. Die Chancen stehen gut, dass der Name Ihres Hundes in den Wörterbüchern auftaucht, die Hacker für Brute-Force-Angriffe verwenden. Andere Möglichkeiten wie die Initialen und das Geburtsdatum eines Familienmitglieds fallen wahrscheinlich nicht auf einen Brute-Force-Angriff, aber wenn jemand Ihr Konto gezielt hacken möchte, können diese persönlichen Daten einen Trial-and-Error-Rateangriff anheizen.

Denken Sie nicht eine Minute, dass Ihre persönlichen Daten privat sind. Es gibt Dutzende von Websites, auf denen Benutzer Details zu jeder Person finden können: Adresse, Geburtsdatum, Familienstand und mehr. Ihre Social-Media-Beiträge können eine weitere Quelle für persönliche Informationen sein, insbesondere wenn Sie Ihre Konten nicht ordnungsgemäß gesichert haben. Ein entschlossener Hacker (oder ein neugieriger Nachbar) kann wahrscheinlich jedes Passwort erraten, das Sie auf der Grundlage Ihrer eigenen Daten erstellen.

Schließen Sie die Hintertür

Wenn Sie keinen Passwort-Manager verwenden, haben Sie sicherlich schon einmal das Passwort für eine Website vergessen. Es ist allzu üblich, weshalb praktisch jede Anmeldeseite einen "Passwort vergessen?" Verknüpfung. Einige Websites senden einen Link zum Zurücksetzen an Ihre E-Mail-Adresse, während Sie bei anderen das Passwort zurücksetzen können, nachdem Sie Ihre Sicherheitsfragen beantwortet haben. Und das öffnet jedem, der Ihr Konto hacken möchte, eine Hintertür.

Sicherheitsfrage und Antwort

Die meisten Websites bieten miserable Optionen für Sicherheitsfragen. Wie lautet der Mädchenname Ihrer Mutter? Wo bist du aufs Gymnasium gegangen? Was war dein erster Job? Wie bereits erwähnt, ist Ihr Privatleben ein offenes Buch für jeden, der über Fähigkeiten zur Internetsuche verfügt. Ignorieren Sie nach Möglichkeit die vorgegebenen Fragen. Erstellen Sie Ihre eigene Frage mit einer einzigartigen Antwort, an die Sie sich immer erinnern werden, die aber niemand sonst erraten kann.

Es ist schwieriger, wenn Sie auf der Website keine eigenen Fragen definieren können. In diesem Fall ist es am besten, eine denkwürdige Antwort zu verwenden, die eine totale Lüge ist. Der Mädchenname meiner Mutter ist Obama. Ich ging an der Communist Martyrs High zur Schule. In meinem ersten Job war ich Löwenbändiger. Es gibt ein gewisses Risiko, da Sie vielleicht vergessen, welche Lüge Sie gewählt haben. Ich würde vorschlagen, diese seltsamen Antworten als sichere Notizen in Ihrem Passwort-Manager zu speichern … aber wenn Sie einen Passwort-Manager verwenden, hätte er sich das Passwort für Sie gemerkt.

Was jetzt zu tun ist, wenn Sie sich interessieren

Ich hoffe, ich habe Sie davon überzeugt, dass die Verwendung allgemeiner Passwörter eine schlechte Idee ist, da Passwörter aus persönlichen Informationen erstellt werden. Und selbst das beste sichere, zufällige Passwort wird zu einer Belastung, wenn Sie es überall verwenden. Wenn Sie bereit sind, Maßnahmen zu ergreifen, finden Sie hier einige Ansatzpunkte:

  • Verwenden Sie einen Passwort-Manager.
  • Wechseln Sie zu einem besseren Passwort-Manager.
  • Merken Sie sich ein wahnsinnig sicheres Master-Passwort für Ihren Passwort-Manager.
  • Nutzen Sie einen zufälligen Passwortgenerator, um Ihre alten, schlechten Passwörter zu aktualisieren.
  • Sie könnten sogar Ihren eigenen Zufallskennwortgenerator in Excel erstellen.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung, wo immer verfügbar.

Wenn sich eine sichere Website nicht um die Sicherheit kümmert, könnten Sie immer noch die Anmeldeinformationen dieser Website durch eine Datenpanne verlieren, aber indem Sie alle Ihre Passwörter lang, stark und einzigartig machen, haben Sie alles getan, um Ihre Online-Konten zu schützen.

Und hallo! Jetzt, da Sie in Sachen Sicherheit auf dem richtigen Weg sind, sollten Sie erwägen, ein virtuelles privates Netzwerk oder VPN hinzuzufügen. Die Verwendung starker Passwörter für sichere Websites bedeutet, dass andere nicht in Ihre Konten eindringen können. Das Hinzufügen eines VPN bedeutet, dass niemand Ihre Verbindung zu diesen sicheren Websites abfangen kann.