Skribble
Wer will sich Dutzende von hyper langen, super komplizierten Passwörtern merken?
Niemand!
Die meisten Leute sind sich zwar bewusst, dass es nicht sicher ist, für verschiedenste Logins dasselbe (einfache) Passwort zu nutzen. Trotzdem wird genau das häufig getan.
Sicherheit wäre natürlich wünschenswert. Aber auf Kosten von Einfachheit soll sie nicht gehen.
Glücklicherweise ist dieser Kompromiss gar nicht nötig!
Was Skribble beim Thema E-Signieren erreicht hat, brachten andere in die Welt der Passwörter: Das Vereinen von Sicherheit und Einfachheit.
Überlasse die Arbeit dem Passwort-Manager
Unser wichtigster Ratschlag vorweg: Am besten verwendest du einen Passwort-Manager. Bei uns im Team bei Skribble ist das obligatorisch. Damit stellen wir die Datensicherheit der Mitarbeitenden, aber auch unserer Kunden sicher.
Der Passwort-Manager kann für jedes Konto, das du anlegst, ein neues, völlig zufälliges Passwort generieren. Dabei folgt er den Empfehlungen von renommierten internationalen Institutionen, die Richtlinien für die sichere Generierung von Passwörtern herausgeben. Du musst dich also nicht selbst darum kümmern, diesen Richtlinien gerecht zu werden, sondern kannst das dem Passwort-Manager überlassen.
Eine dieser Institutionen ist das National Institute of Standards and Technology (NIST). Diese Richtlinien werden regelmässig erneuert und angepasst. Wenn dich dein Arbeitgeber bittet, dein Passwort alle paar Monate zu ändern, so liegt das wahrscheinlich daran, dass er eine (veraltete) Richtlinie des NISTs befolgt.
Aktuell empfiehlt dir NIST zur optimalen Wahl eines sicheren Passwortes Folgendes:
- es sollte mindestens acht Zeichen lang sein,
- aus einer Reihe von Wörtern bestehen (zB GutenMorgenLiebeSorgen), und
- auf keiner Liste geleakter Passwörter erscheinen (mehr dazu später in diesem Beitrag)
(Willst du diese simplen drei Empfehlungen noch genauer verstehen, so kannst du das, im vollen technischen Jargon, in den NIST Digital Identity Guidelines nachlesen.)
Dein Lieblings-Browser hat wahrscheinlich schon einen Passwort-Manager eingebaut – ansonsten findest du hier eine Auswahl an möglichen Alternativen:
- 1Password (den nutzen wir bei Skribble)
- LastPass
- Firefox Lockwise
Ein Passwort pro Onlinedienst – deshalb ist es nötig
Ein gutes Passwort ist allerdings nur die halbe Miete – du brauchst für jeden Onlinedienst ein anderes. Denn sollte Kriminellen das Hacken grosser Dienste wie LinkedIn oder Dropbox gelingen, werden oft nicht nur die E-Mail-Adressen, sondern auch deren Passwörter entwendet.
Das allein ist schon alles andere als lustig – die Kriminellen gehen aber oft noch einen Schritt weiter: sie probieren die gerade gestohlenen Passwörter auf anderen populären Diensten aus (im Fachjargon "Credential Stuffing" genannte) – in der Annahme, dass die meisten Nutzer für mehrere Dienste dasselbe Passwort verwenden. Gerade vor Kurzem ist genau diese Strategie auf die Nutzern von digitec – einem grossen Schweizer Elektronikhändler – angewendet worden: Nein, digitec wurde nicht gehackt.
Kennen Hacker dein Passwort bereits?
Das ist ja gut und recht, aber woher um alles in der Welt soll ich wissen, ob mein Passwort geleakt ist und sich möglicherweise in den Händen Krimineller befindet?
Wir haben ein kleines Tool entwickelt, das dir dabei hilft, genau das herauszufinden.
Listen von gestohlenen Passwörtern werden unter Kriminellen ausgetauscht und zum Verkauf angeboten. Irgendwann werden sie dann öffentlich und von Diensten wie Have I been Pwned publiziert. Unser Tool basiert auf diesem Dienst.
In der unterstehenden Textbox kannst du einfach und sicher prüfen, ob dein Passwort bereits in einer öffentlichen Liste von durchgesickerten Passwörtern aufgetaucht ist.
Probier erst einmal ein einfaches Passwort wie "password" oder "12345678" aus – und werde dann mit jedem Versuch raffinierter. Schnell wirst du merken, dass es gar nicht so einfach ist, überhaupt ein Passwort mit weniger als acht Zeichen zu finden, das nicht schon geleakt ist.
Teste, ob dein Passwort geleakt ist!
Keine Angst, die Passwörter, die du mit unserem Tool testest, verlassen deinen Computer nie und können nicht mitgelesen werden (wie unten erklärt). Falls es dir trotzdem unangenehm ist, kannst du das Tool auch mit zufälligen Worten testen.
[Funktionalität aktuell nicht verfügbar. Wir arbeiten daran, sie wieder verfügbar zu machen.]
Wir kreieren einen Hash (eine unumkehrbare Prüfsumme) deines Passworts und verwenden nur die ersten fünf Zeichen dieses Hashes, um die Datenbank geleakter Passwörter abzufragen. Anhand der ersten fünf Zeichen ist es unmöglich das Ursprungspasswort zu erraten. Die Datenbank antwortet mit einer Liste aller Hashes, die mit diesen fünf Zeichen beginnen. Sobald diese Liste in deinem Browser ankommt, überprüfen wir, ob der vollständige Hash deines Passworts ebenfalls in ihr enthalten ist. Klingt kompliziert? Gerne kannst du das im Rechenbeispiel weiter unten genauer nachlesen.
Zwei Dinge, die du dir merken kannst
Die Take-Home-Message dieses Blogbeitrags sind die folgenden zwei Dinge: Nutze einen Passwort-Manager und kreiere für jeden Onlinedienst ein separates Passwort. So erlangst du höchstmögliche Sicherheit, ohne Einbussen bei der Einfachheit – das Prinzip, das wir bei Skribble stets verfolgen, und das auch du dir zu eigen machen kannst.
Rechenbeispiel:
- Stell dir vor, du verwendest "P@ssw0rd" als Passwort
- Der Hash davon ist "21BD12DC183F740EE76F27B78EB39C8AD972A757"
- Nun senden wir "21BD1" – die ersten fünf Zeichen des Hashes – an die Datenbank, um eine Liste aller geleakten Passwörter, die mit diesem Hash beginnen, zurückerhalten
- Nach dem Erhalt dieser Liste prüfen wir, ob der Rest des Hashes ebenfalls in dieser Liste enthalten ist
- Falls ja, ist das Passwort geleakt, falls nicht, ist es (vorerst noch) sicher
Dieses Rechenbeispiel beruht auf einem noch ausführlicheren Beispiel von Troy Hunt.
