Wie sicher sind Ihre Passwörter wirklich?

Fachverlag für Computerwissen
2
Konto gehackt? 7 Dinge,
die Sie jetzt tun sollten
Sie erhalten eine Mitteilung Ihres
E-Mail- oder Online-Anbieters,
dass Ihr Konto gehackt wurde.
Jetzt sollten Sie sofort handeln
und diese Rettungsmaßnahmen
ergreifen.
4
Fachverlag für
Computerwissen
· Ausgabe
Juli 2013
Spezialreport
für unknackbare
Passwörter
Daten-Safe für Ihre
Passwörter
Passwörter lassen sich nur
schwer merken und werden daher
häufig am Arbeitsplatz notiert
oder unverschlüsselt in einer
Datei gespeichert. Die sichere
Lösung ist ein Passwort-Safe
mit verschlüsselter Datenbank.
5
KeePass: Schneller
anmelden per Automatik
Manuelle Passwort-Eingabe oder
das Kopieren kosten Ihre wertvolle Zeit. Viel schneller und
dabei noch sicherer klappt Ihr
Login mit der Passwort-Automatik von KeePass, die sogar
Schadprogramme überlistet.
8
Checkliste: Machen auch
Sie diese Passwort-Fehler?
Zu kurzes Passwort? Zu oft
verwendet? Testen Sie ganz
einfach, wie sicher Sie mit
Ihren Passwörtern umgehen
und vermeiden Sie die häufigsten
Fehler.
Schnelltest Passwort-Sicherheit
Finger weg von diesen
Passwörtern!
Das sind die 5 am häufigsten verwendeten
Passwörter weltweit. Hacker probieren sie zuerst aus, wenn sie Passwörter knacken wollen.
Verwenden Sie sie also niemals!
Die 5 gefährlichsten Passwörter:
1. 123456 ist das am meisten genutzte Passwort weltweit.
2. password1 ist das beliebteste Passwort in
Firmen.
3. welcome ist eine nette Einladung an alle
Hacker.
4. password01 ist trotz der Länge von 10 Zeichen nicht sicher.
5. 12345 ist sehr gebräuchlich zum Schutz von
E-Mail-Konten.
Noch weniger Schutz bietet nur das Passwort
0000 bei Routern, bei denen die Voreinstellung
nicht geändert wurde.
Millionen PC-Nutzer verlassen sich auf eines
dieser oder ähnlich einfache Passwörter – ein
Grund, warum Geheimdienste und InternetKriminelle so leicht an fremde Daten gelangen.
LESERSERVICE
E-Mail-Hilfe: Fragen Sie bei SicherheitsBedenken immer zuerst Ihren persönlichen
PC-Sicherheits-Berater Michael-Alexander
Beisecker.
Wie sicher sind Ihre Passwörter
wirklich?
Der Passwort-Sicherheits-Scanner zeigt Ihnen genau, wie groß der Handlungsbedarf bei Ihren Passwörtern ist und welche Passwörter unsicher sind. Zusammen
mit der nur einmalig erforderlichen Installation brauchen Sie nicht mehr als
5 Minuten, um der Gefahr eines Konto-Hacks vorzubeugen:
Öffnen Sie die Webseite des Herstellers Nirsoft mit Ihrem Browser:
http://www.nirsoft.net/utils/password_security_scanner.html
1. Blättern Sie die Seite nach unten bis kurz vor die Tabelle und klicken Sie auf den Link
Download Password Security Scanner with full install/uninstall support (password
scan_setup.exe). Das Setup-Programm wird nun heruntergeladen.
2. Öffnen Sie die Download-Liste Ihres Browsers und rufen Sie das Programm password
scan_setup.exe auf. Dann folgen Sie dem Assistenten durch die Installation, rufen am Ende
den Passwort-Scanner aber noch nicht auf, da noch die deutsche Oberfläche fehlt.
3. Rufen Sie folgenden Link über Ihren Browser auf: http://www.wintotal.de/nirsoft/files/
sprachdateien/passwordscan_german.zip. Die deutsche Sprachdatei wird dadurch heruntergeladen.
4. Öffnen Sie den Windows-Explorer und navigieren Sie bei einem 32-Bit-Windows zum
Ordner \Programme\Nirsoft\Password Security Scanner. Haben Sie ein 64-Bit-Windows,
finden Sie den Ordner unterhalb von \Program Files (x86) bzw. \Programme (x86) statt
unter \Programme.
Kleinbuchstaben
fehlen
Sonderzeichen fehlen hier
bei allen Passwörtern.
Schreiben Sie einfach eine E-Mail an:
[email protected]
Michael-Alexander Beisecker hilft Ihnen
gerne weiter. Sie erhalten werktags innerhalb von 24 Stunden eine Antwort auf Ihre
Frage – garantiert!
Bitte geben Sie bei Ihrer Anfrage das
aktuell gültige Passwort an: Datenspionage
Der Password Security Scanner hat hier bei jedem Passwort Mängel gefunden, es fehlen Kleinbuchstaben, Ziffern und Sonderzeichen, die Passwortlänge ist teilweise zu kurz und die Passwortgüte ist mit 22 bis 42 von 100 überall schwach (rechte Tabellenspalte)
Lesen Sie bitte weiter auf Seite 2
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
2
Spezialreport für unknackbare Passwörter
Fortsetzung von Seite 1
5. Kopieren Sie die heruntergeladene Sprachdatei PasswordScan_lng in den Ordner \Nirsoft\Password Security Scanner.
6. Starten Sie den Password Security Scanner, der nun mit
deutscher Oberfläche erscheint. Der Scanner sucht in wenigen
Sekunden alle Ihre Passwörter und zeigt sie mit einer Bewertung an.
Wichtiger Sicherheitshinweis:
Der Password Security Scanner scannt den Internet Explorer,
Firefox, Outlook, Windows-VPN- und Wählverbindungen,
Windows Messenger und Windows Live Mail. Ihre anderen Passwörter für Internet-Konten, den Router, Ihre Dokumente und
hier nicht erwähnte Anwendungen sollten Sie daher unbedingt
zusätzlich manuell überprüfen. ●
Sofortschutz-Maßnahmen für Ihre Passwörter
Passwort-Sicherheit
Datenschutz
Ihr Konto wurde gehackt? Diese 7
Dinge sollten Sie jetzt sofort tun
Sie können das sicherste Passwort der Welt haben. Das schützt Sie
aber nicht vor der Fahrlässigkeit Ihres E-Mail- oder Onlinedienstes, wenn dieser den Server nicht ausreichend abgesichert hat.
Oder gar Mitarbeiter mit Administrationsrechten leicht zu erratende Passwörter verwenden, wie das etwa bei Twitter im Jahr
2009 der Fall war. Die Liste der gehackten Unternehmen und von
Diensten mit häufigen Konto-Hacks ist lang und reicht von A wie
Antiviren-Hersteller (!) Avast über die digitalen Tagebücher Facebook und Evernote bis hin zu Sony.
Sind auch Sie von einem solchen Hackerangriff betroffen, sollten
Sie sofort diese 7 Konten-Rettungsmaßnahmen ergreifen:
1. Ändern Sie unverzüglich das Passwort für den betreffenden
Dienst und verwenden Sie dabei ein sicheres Passwort aus
Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, das
Sie bei keinem weiteren Dienst verwenden.
2. Haben Sie das alte Passwort zuvor bei anderen Konten verwendet, sollten Sie dort ebenfalls sofort das Passwort ändern.
Es besteht die Gefahr, dass die Hacker Ihr erbeutetes Passwort
auch bei Ihren anderen Konten ausprobieren.
3. Sofern Konto- oder Kreditkartendaten entwendet wurden, informieren Sie die betreffenden Geldinstitute, damit die Kriminellen nicht Ihre Konten leer räumen.
4. Prüfen Sie, ob der Anbieter des gehackten Kontos ein Sicherheitsupdate seiner Windows-Anwendung oder App herausgebracht hat, und installieren Sie es dann umgehend.
5. Entfernen Sie sensible Daten wie Zugangs- oder Kontodaten
aus Ihren Online-Diensten, denn diese haben dort unverschlüsselt nichts zu suchen.
Wie schnell lassen sich Ihre
neuen Passwörter knacken?
Ihr 5-Minuten-Selbsttest
Die meisten verwendeten Passwörter lassen sich in wenigen Sekunden knacken. Damit Sie ausschließlich sichere Passwörter
vergeben, nehmen Sie sich etwa fünf Minuten Zeit und führen Sie
folgenden Test durch:
1. Rufen Sie mit Ihrem Browser die Webseite https://
testedeinpasswort.de/index.php auf.
2. Beachten Sie die Warnung auf der Webseite und geben Sie
keine aktuell von Ihnen verwendeten Passwörter ein. Dies gilt
auch für alle anderen Passwort-Testseiten im Internet!
3. Geben Sie nun ein einfaches Passwort ein, wie etwa
hilde1954 und drücken Sie die Eingabetaste. Das Passwort
lässt sich trotz der Länge von 9 Zeichen in weniger als einer
Sekunde knacken, dabei verlangen viele Online-Dienste nur
Passwörter von 6 oder 8 Zeichen Länge.
4. Denken Sie sich nun ein Ihrer Meinung nach sicheres Passwort aus, das 8 Zeichen Länge hat, aus Groß- und Kleinbuchstaben besteht und Ziffern enthält. Im Unterschied zu
hilde1954 sollten die Zeichen zufällig angeordnet sein. Ein
Beispiel ist U8ASXvfV. Dieses Passwort ist deutlich sicherer
und wird etwa so von Online-Diensten als Voreinstellung vergeben – es ist aber in nur einer Minute zu knacken!
5. Beachten Sie jetzt die Statistik über die Bestandteile des Passworts und testen Sie ein paar Passwörter aus, die jeweils nur
Großbuchstaben, Kleinbuchstaben und Ziffern enthalten wie
etwa USAPRISM, usaprism oder 081312345. Alle lassen sich
in weniger als 1 Sekunde knacken.
6. Achten Sie in der Folgezeit besonders auf Hinweise, die auf
einen Missbrauch Ihrer Konten hindeuten, insbesondere von
Mail- und Social-Media-Konten.
6. Dann geben Sie eine Mischung ein wie UsA08prI13
s12m345. Die Länge und die Mischung verändern die Passwort-Sicherheit dramatisch. Plötzlich haben Sie ein sehr starkes Passwort, das mit heutigen Rechnern in Millionen von
Jahren nicht zu knacken ist.
7. Sind Daten von Ihnen in die Hände von Internet-Kriminellen
gelangt, informieren Sie Freunde und Bekannte darüber,
damit diese nicht auf Betrügereien in Ihrem Namen hereinfallen.
7. Denken Sie sich nun ein „richtig sicheres“ Passwort aus, das
mindestens 12 Zeichen Länge, Groß- und Kleinbuchstaben,
Ziffern und Sonderzeichen enthalten soll. Ein Beispiel:
a7&2Scx21ö#R
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
Ihr PC-Sicherheits-Berater
Jetzt versuchen Sie, eine Passwortqualität von 100 zu erreichen.
Nur solche Passwörter bieten Ihnen über einen längeren Zeitraum die erforderliche Sicherheit.
Browser-Sicherheit
Seien Sie schlauer als der Fuchs:
Gespeicherte Passwörter bei
Mozilla Firefox löschen
Firefox fragt bei jeder Eingabe von Benutzername und Passwort
danach, ob Sie diese Informationen speichern möchten. Stimmen
Sie zu, kann anschließend jeder über Firefox auf das betreffende
Konto von Ihnen zugreifen, der einmal kurz an Ihren Rechner
herankommt oder nach Ihnen einen PC im Internet-Café nutzt.
Ein solcher Hacker kann dann womöglich auch noch Ihr Kennwort ändern und Sie sind aus Ihrem eigenen Konto ausgesperrt.
Wie leicht sich die gespeicherten Passwörter bei Firefox anzeigen
lassen und wie Sie diese löschen, erfahren Sie Schritt für Schritt
mit dieser Anleitung:
1. Blenden Sie mit der Taste A die Menüleiste bei Firefox ein,
dann wählen Sie Extras und Einstellungen.
2. Wählen Sie Sicherheit und dann Gespeicherte Passwörter. Es
wird eine Übersicht angezeigt, für welche Webseiten Zugangsdaten gespeichert sind. Ein Hacker wird sich über diesen Service freuen.
Eine solche Passwort-Übersicht kann jeder Nutzer Ihres PCs erhalten, wenn Sie Firefox das Speichern Ihrer Passwörter erlauben - nur
dass er dann Ihre Passwörter im Klartext angezeigt bekommt
3. Mit einem Klick auf Passwörter anzeigen und einem Bestätigen der Sicherheitsnachfrage mit Ja werden alle gespeicherten
Passwörter im Klartext angezeigt – eine äußerst gefährliche Sicherheitslücke.
4. Die Gefahr eines solchen Passwort-Hacks lässt sich jedoch
leicht bannen, indem Sie die gespeicherten Passwörter mit
einem Klick auf Alle entfernen löschen.
5. Schließen Sie dann das Dialogfenster Gespeicherte Passwörter und entfernen Sie anschließend im Dialogfenster Einstellungen/Sicherheit den Haken bei Passwörter speichern.
6. Möchten Sie auf den Komfort der
gespeicherten Passwörter bei Firefox nicht verzichten, sollten Sie zumindest Master-Passwort verwenden anklicken und als Master
Passwort ein sehr sicheres Passwort aus mindestens 12 zufällig gemischten Zeichen vergeben.
Achten Sie beim Master-Passwort auf einen Vollausschlag bei der
Passwort-Qualität
Sicherheit beim Windows-Login
Windows 8: Sicherheitslücke bei
Anmeldeinformationen schließen
Die Anmeldeinformationsverwaltung von Windows 8 erleichtert
Ihnen das Anmelden bei Online-Konten, indem Passwörter ähnlich wie bei Browsern gespeichert werden und bei Bedarf über
AutoVervollständigen abrufbar sind.
Sobald Sie mit dem Internet Explorer 10 oder 11 auf einer Webseite einen Benutzernamen und ein Passwort eingeben und der
Abfrage des Browsers nach dem Speichern der Anmeldedaten zustimmen, gelangen diese in die Datenbank der Anmeldeinformationsverwaltung. Verwenden Sie Internet Explorer 10 oder 11 bei
Windows 7, werden die Daten ebenfalls gespeichert.
Das erleichtert zukünftige Anmeldungen bei der betreffenden
Webseite, doch ein Hacker könnte über AutoVervollständigen
alle Ihre gespeicherten Passwörter abfragen. Die Passwörter lassen sich nämlich im Klartext anzeigen.
Wer also auch nur für kurze Zeit ungestörten Zugriff auf Ihren
Rechner hat, kann sich hier nach Belieben bedienen. Sehen Sie
sich daher die Einträge in der Anmeldeinformationsverwaltung
von Windows 8 an und löschen Sie diese:
1. Klicken Sie mit der rechten Maustaste in die untere linke Bildschirmecke, um aus dem Mini-Startmenü die Systemsteuerung aufzurufen.
2. Stellen Sie Anzeige auf Große Symbole und wählen Sie dann
die Anmeldeinformationsverwaltung.
3. Wählen Sie Webanmeldeinformationen. Wird nun Es sind
keine Webkennwörter vorhanden angezeigt, sind keine Anmeldeinformationen gespeichert und Sie können die Prüfung
abbrechen.
4. Sind Anmeldeinformationen vorhanden, klicken Sie rechts
daneben auf das Kreissymbol mit dem Pfeil und erhalten nun
den Inhalt angezeigt.
5. Das Kennwort ist voreingestellt ausgeblendet, kann jedoch
über den Link Einblenden im Klartext angezeigt werden.
6. Möchten Sie das gespeicherte Kennwort löschen, klicken Sie
auf Entfernen.
7. Wiederholen Sie die Schritte 4 bis 6 für alle gespeicherten
Webanmeldungen.
Tipp
Wie Sie Ihre Passwörter unter
Windows 8, 8.1 und RT verwalten
Touchscreens: Mit MetroPass rufen
Sie Ihre KeePass-Passwörter
sekundenschnell per Fingertipp ab
Der Passwort-Manager KeePass wurde für den Desktop
entwickelt, nicht für die Bedienung mit den Fingern auf
einem Tablet mit Windows 8, 8.1 oder RT. Die Lösung ist
die kostenlose App „MetroPass“, sie kann Ihre vorhandene KeePass-Datenbank vom Desktop-PC als Client nutzen. Sie installieren MetroPass über den Windows Store.
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
3
4
Spezialreport für unknackbare Passwörter
Schutz vor Hackern
Wie Sie Passwörter im KeePass-Safe sicher verwalten
Die vielen benötigten, sicheren Passwörter lassen sich kaum alle merken und werden daher häufig am Arbeitsplatz
notiert, unverschlüsselt in einer Datei gespeichert oder der Passwort-Verwaltung eines Browsers anvertraut. Das ist
jedoch viel zu riskant, Ihre Notizen könnten Kollegen finden, die Daten Ihrer Festplatte könnten durch Spionage-Software ausgespäht werden. Um Ihre Passwörter zu verschlüsseln und zu verwalten empfehle ich Ihnen das Spezialtool
„KeePass“. Es ist ein sicherer Passwort-Manager und Daten-Safe.
KeePass ist als OpenSource-Programm vertrauenswürdig, denn
der Programmcode und damit die Funktionsweise sind für Jedermann einsehbar. Hintertüren der Geheimdienste gibt es hier also
nicht. Ihre Passwörter werden sicher verschlüsselt in einer Passwort-Datei abgespeichert.
KeePass installieren in 7 einfachen Schritten
1. Zur Installation von KeePass laden Sie die „Professional
Edition“ mit „Installer EXE for Windows“ von dieser Webseite
herunter und starten das Installationsprogramm: http://
keepass.info/download.html
Schritt für Schritt zu Ihrer sicheren PasswortDatenbank: So erfassen Sie die eigenen Passwörter
Sie legen nun eine Passwort-Datenbank an, die durch ein sicheres
Hauptpasswort (Hauptschlüssel) geschützt ist:
1. Öffnen Sie das Datei-Menü und wählen Sie Neu oder drücken
Sie S+n. Wählen Sie nun einen Speicherplatz für die neue
Datenbank auf Ihrer Festplatte aus.
2. Geben Sie hier ein
mindestens 12 Zeichen
langes Hauptpasswort
zweimal ein.
2. Rufen Sie KeePass auf, wählen Sie das
Menü View und dann Change Language,
um die deutsche Oberfläche einzurichten.
3. Im Fenster Select Language klicken Sie unten auf Get more
languages. Die KeePass-Webseite wird mit einer Übersicht
der verfügbaren Sprachen geöffnet.
4. Klicken Sie auf das Disketten-Symbol für Version 2.x hinter
German, um die deutsche Übersetzung für die Version 2.x
von KeePass herunterzuladen.
5. Kopieren Sie die Datei german.lngx aus der heruntergeladenen ZIP-Datei in den KeePass-Ordner. Sie finden diesen Ordner standardmäßig bei Windows XP, Vista, 7 oder 8 in den 32Bit-Versionen unter \Programme und bei Windows 64 Bit
unter \Programme (x86).
6. Schließen Sie das Fenster Select Language von KeePass mit
einem Klick auf Close und öffnen Sie es erneut mit View und
Change Language.
7. Klicken Sie auf die neu angezeigte Sprache German. Sie erhalten eine Mitteilung in englischer Sprache, dass die ausgewählte
Sprache aktiviert wurde und KeePass neu gestartet werden
muss. Klicken Sie auf Ja.
Die deutsche Oberfläche von KeePass ist nun eingerichtet
Der Balken Geschätzte Qualität gibt Ihnen über seine Länge und
Farbe an, wie sicher Ihr Hauptpasswort ist
3. Sobald Sie auf OK klicken, wird die Passwort-Datenbank erstellt und das Fenster für die Datenbank-Einstellungen angezeigt.
4. Geben Sie der Datenbank einen Namen, fügen Sie eine Beschreibung hinzu und nehmen Sie wahlweise Einstellungen in
den Registern Sicherheit, Kompression, Papierkorb und Erweitert vor. Sobald Sie die Einstellungen mit OK bestätigt
haben, ist die neue Datenbank zur Eingabe Ihrer Passwörter
bereit.
5. Es stehen Ihnen bereits etliche Gruppen zum Sortieren Ihrer
Passwörter zur Verfügung: Allgemein, Windows, Netzwerk,
Internet, eMail und Homebanking. Wählen Sie die gewünschte Gruppe aus.
6. Zum Anlegen eines neuen Passworts wählen Sie Bearbeiten
und Eintrag hinzufügen oder drücken S+i. Der Passwort-Eintrag wird in der gerade ausgewählten Gruppe angelegt.
7. Geben Sie eine Bezeichnung für den Passwort-Eintrag ein.
8. Tragen Sie Ihren Benutzernamen für die betreffende Anmeldung ein.
9. KeePass schlägt Ihnen ein starkes Passwort vor, das Sie für das
Konto verwenden können. Sofern das betreffende Konto
schon angelegt ist, müssen Sie das dort vergebene Passwort
entsprechend ändern. Das erfordert zwar etwas Zeitaufwand,
dafür erhöhen Sie aber die Sicherheit der Konten erheblich.
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
Ihr PC-Sicherheits-Berater
10. Klicken Sie hier, um das
eingegebene Passwort
im Klartext zu sehen.
1. Markieren Sie den entsprechenden Passwort-Eintrag in KeePass und klicken Sie auf Bearbeiten.
2. Bringen Sie das Register Auto-Type in den Vordergrund.
3. Damit Auto-Type funktioniert, setzen Sie
einen Haken bei dieser Option.
11. Welcher Algorithmus zum
Berechnen sicherer Passwörter verwendet werden
soll, stellen Sie über dieses Schlüssel-Symbol ein.
12. Durch die Eingabe eines Gültigkeitsdatums erhöhen Sie
die Sicherheit. KeePass weist
Sie dann nach Ablauf darauf
hin, dass Sie ein neues Passwort vergeben sollen.
Hier tragen Sie die neuen Passwörter in die Datenbank ein
Wie Sie sich mit KeePass anmelden, ohne dass
Keylogger und Trojaner davon etwas mitbekommen
Legen Sie für alle Ihre Konten einen Passwort-Eintrag an. Anschließend haben Sie bei Bedarf immer blitzschnell das benötigte
Passwort zur Hand. Die Eingabe Ihrer Nutzerdaten auf Webseiten
nehmen Sie ab sofort per Mausklick vor. So sind Sie sicher vor
den Tastaturscannern der Hacker:
1. Öffnen Sie die betreffende Webseite mit dem Online-Konto,
zum Beispiel www.ebay.de. Dort wählen Sie die Anmeldung
mit den Feldern für Benutzername und Passwort.
2. Markieren Sie in der KeePass-Datenbank den Eintrag für Ihr
eBay-Konto und drücken Sie S+b zum Kopieren des Benutzernamens in die Zwischenablage. Hinweis: S+b ist
eine KeePass-spezifische Kopierweise für den Benutzernamen.
3. Klicken Sie auf der geöffneten eBay-Webseite in das Feld für
den Benutzernamen und fügen Sie diesen mit S+v ein.
4. Wechseln Sie wieder zurück in KeePass und kopieren Sie das
Passwort – diesmal mit S+c. Auf der ebay-Webseite fügen
Sie das Passwort mit S+v ein.
5. Drücken Sie die Eingabetaste oder klicken Sie die Schaltfläche
für die Anmeldung an. Das ist bei eBay zum Beispiel Einloggen. Durch diese Vorgehensweise verhindern Sie, das Ihre Anmeldedaten von Tastaturspionen mitgelesen werden.
4. Die automatische Eingabe programmieren Sie bei Bedarf durch
die Eingabe entsprechender Platzhalter wie {USERNAME} für den
Benutzernamen, {TAB} für die Tabulatortaste, {PASSWORT} für
das Passwort und {ENTER} für die Eingabetaste.
5. Aktivieren Sie die Option Zwei-Kanal Auto-Type Verschleierung, damit die Eingabe über die Zwischenablage erfolgt. Sie
tricksen damit Keylogger aus, also Schadprogramme, die den
Tastaturspeicher auslesen, um Sie auszuspionieren. Der Schutz
hilft auch vor Trojanern und Hackern, die Ihren PC ausspähen.
Albtraum für Hacker: Wie Sie mit KeePass sichere
Passwörter für die Ewigkeit generieren
Haben Sie den 5-Minuten-Selbsttest auf Seite 2 gemacht, dann
wissen Sie, wie schwer es ist, manuell wirklich sichere Passwörter
zu finden. KeePass kann Ihnen hier helfen und sichere Passwörter vorschlagen:
1. Rufen Sie über Extras und Passwort generieren den Passwort-Generator auf.
2. Stellen Sie die gewünschte Passwort-Länge ein; nicht jede
Webseite akzeptiert die voreingestellten 20 Zeichen.
3. Aktivieren Sie bei Bedarf weitere Optionen wie Sonderzeichen oder Klammern.
4. Klicken Sie auf Generieren und KeePass erzeugt eine Liste von
Passwörtern zur Auswahl. ●
Sparen Sie Zeit mit der Passwort-Automatik
Alternativ können Sie die Passwort-Automatik von KeePass verwenden. Damit werden Benutzername, Passwort und die Eingabetaste automatisch im Anmeldeformular der Webseite eingetragen.
Die Automatik wird über den Eintrag Auto-Type aus dem Kontextmenü aufgerufen. Es lässt sich dafür in jedem Passwort-Eintrag eine passende automatische Eingabe festlegen. Dazu nehmen
Sie im betreffenden Konto diese Einstellungen vor:
Praxis-Tipp
Auf allzu „exotische“ Passwörter mit
Sonderzeichen reagieren einige Online-Dienste „allergisch“. Das Passwort wird erst gar nicht akzeptiert – oder
schlimmer – alles scheint in Ordnung, aber hinterher
klappt die Anmeldung nicht und der Support findet trotzdem keinen Fehler. Weisen Sie in solchen Fällen darauf
hin, dass Sie auch Sonderzeichen in Ihren Passwörtern
verwenden und auch längere Passwörter als 6 bis 8 Zeichen, das erleichtert dort die Fehlersuche.
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
5
6
Spezialreport für unknackbare Passwörter
Sichere Online-Konten
Doppelt geprüft schützt besser: So aktivieren Sie
die sichere „Zwei-Faktor-Authentifizierung“
Der Schutz Ihres Kontos bei einem Online-Dienst ist nicht nur von der Qualität Ihres Passwortes abhängig. Immer wieder gelingt es Kriminellen, die Server der Anbieter zu hacken oder über Insider an Millionen von Passwörtern zu gelangen. In einem solchen Fall schützt Sie dann nur eine zusätzliche Zugangsprüfung. Eine solche „Zwei-Faktor-Authentifizierung“ bieten mittlerweile immer mehr führenden Online-Anbieter an wie Evernote, Facebook, Google, LinkedIn, Microsoft und Twitter. Sie sollten diese Angebote annehmen und den besseren Schutz umgehend aktivieren.
Die „Zwei-Faktor-Authentifizierung“ oder „Prüfung in zwei
Schritten“ erhöht die Sicherheit Ihrer sensiblen Daten vor Hackerangriffen beträchtlich. Dieser zusätzliche Zugangsschutz
wird derzeit von folgenden bekannten Online-Diensten angeboten: Dropbox, Evernote, Facebook, Gmail, LinkedIn, Office364,
Outlook.com, SkyDrive, Skype, Windows Live, YouTube und
Xbox Live. Die zusätzliche Sicherheit: Nach Eingabe des Kennworts wird noch ein Sicherheitscode abgefragt, der zuvor per
SMS an Ihr Mobiltelefon, per verknüpfter E-Mail-Adresse an Sie
gesendet oder per Sprachanruf übermittelt wird.
Sicherheits-Hinweis: Der Empfang des Sicherheitscodes per
E-Mail ist nicht zu empfehlen. E-Mails können auf dem Weg
zu Ihnen und auf Ihrem Rechner durch Schadprogramme gelesen werden. Da es für Android-Smartphones eine Vielzahl
von Schadprogrammen gibt, sollten Sie hier keine Textnachricht oder E-Mail wählen, sondern nur einen Anruf oder eine
SMS nutzen. Derzeit als sicher gilt nur das iPhone von Apple,
gefolgt von Smartphones mit Windows Phone als Betriebssystem.
gle-Konten wie Gmail, Google+, Google Drive, Google Play und
YouTube. Den Zugangscode erhalten Sie wahlweise per App, SMS
oder Sprachanruf. So richten Sie den von Google als „Bestätigung
in zwei Schritten“ bezeichneten Dienst ein:
1. Melden Sie sich bei Ihrem Google-Konto an.
2. Klicken Sie oben rechts auf Ihren Benutzernamen und auf
Konto.
3. Wählen Sie links Sicherheit.
4. Klicken Sie rechts neben Bestätigung in zwei Schritten auf
Bearbeiten.
Die Online-Dienste informieren Sie bei
Einbruchsversuchen
Gelangt jemand widerrechtlich in den Besitz Ihres Kennworts
und will sich darüber anmelden, erhalten Sie bei aktivierter ZweiFaktor-Authentifizierung eine Meldung mit dem Zugangscode
und sind dadurch gewarnt. Der Hacker bleibt draußen, sofern er
nicht im Besitz Ihres Mobiltelefons ist oder durch ein Schadprogramm auf Ihrem PC oder Smartphone den Sicherheitscode erhalten hat.
Wie Sie die Zwei-Faktor-Authentifizierung einrichten, zeige ich
Ihnen hier am Beispiel von Google. Sie schützen damit alle Goo-
IMPRESSUM
Ihr PC-Sicherheits-Berater, ISSN 2196-9299
Fachverlag für Computerwissen, ein Verlagsbereich
der VNR Verlag für die Deutsche Wirtschaft AG
Vorstand: Helmut Graf
Chefredakteur: Michael-Alexander Beisecker (v.i.S.d.P.),
Oberhausen
Gutachter: Rudolf Ring, Mülheim a. d. Ruhr
Produktmanager: Daniel Gäb, Bonn
Herstellungsleitung: Dipl.-Ing. Monika Graf, Bonn
Herstellung: Sebastian Gerber, Bonn
5. Starten Sie die Einrichtung und folgen
Sie dem Assistenten.
Der Assistent führt Sie durch die Einrichtung des Zusatzschutzes
Weitere Informationen zur Sicherheit Ihres Google-Kontos
finden Sie auf der Webseite https://www.google.com/intl/de/
landing/2step/
Satz: Vladimir Pospischil, Stadtbergen
Druck und Belichtung:
Zimmermann Druck + Verlag GmbH, Balve
Adresse: Verlag für die Deutsche Wirtschaft AG,
Theodor-Heuss-Str. 2-4, 53177 Bonn
Telefon: 0228/9550190, Fax: 0228/3696480
Auszubildende, Studenten, Trainees und Volontäre erhalten
gegen Nachweis 25 % Rabatt.
Eingetragen: Amtsgericht Bonn HRB 8165
Die Beiträge in „Ihr PC-Sicherheits-Berater“ wurden mit
Sorgfalt recherchiert und überprüft. Sie basieren jedoch
auf der Richtigkeit uns erteilter Auskünfte und unterliegen
Veränderungen. Daher ist eine Haftung, auch für telefonische Auskünfte, ausgeschlossen. Vervielfältigungen jeder
Art sind nur mit Genehmigung des Verlags gestattet.
Copyright 2013 by VNR Verlag für die Deutsche Wirtschaft
AG; Bonn, Warschau, Bukarest, Moskau, London,
Manchester, Madrid, Johannesburg, Paris
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
Ihr PC-Sicherheits-Berater
Ihre Leserfragen
Ausgesperrt
Ich habe mein Passwort
vergessen, was jetzt?
Frage: „Meine E-Mails verwalte ich mit Microsoft Outlook in einer
PST-Datei, die ich zur Sicherheit mit einem Passwort geschützt
habe. Jetzt komme ich nicht mehr an meine E-Mails heran, weil ich
das Passwort vergessen habe. Was kann ich da tun?“, fragte Eduard
Müller per E-Mail an [email protected].
Antwort: In solchen Fällen hilft Ihnen das Tool „PstPassword“,
das für Sie das vergessene Passwort wiederfindet oder ein anderes
Passwort errechnet, das ebenfalls funktioniert. Aufgrund des von
Outlook verwendeten Algorithmus passen nämlich mehrere
Passwörter. Sie werden sich wundern, wie schnell sich Ihr Outlook-Passwort „knacken“ lässt, da die Verschlüsselungsstärke gering ist – wahrscheinlich ein Zugeständnis an die „Geschäftsfreunde“ von Microsoft bei der NSA, schließlich möchten die Geheimdienste ja eine lückenlose Kontaktübersicht bei ihrem
PRISM-Projekt.
Installation und Anwendung von PstPassword
PstPassword lässt sich mit Dateien der Versionen Outlook 97,
2000, XP, 2003 und 2007 einsetzen, auch wenn die entsprechenden Outlook-Versionen nicht installiert sind. Das Programm laden Sie von dieser Adresse herunter: www.nirsoft.
net/utils/pst_password.html. Eine Installation des Tools ist
nicht erforderlich, starten Sie einfach die ausführbare Datei
pstpassword.exe.
Nach kurzer Zeit listet PstPasswort die Passwörter aus den gefundenen Outlook-Dateien auf – auch „sichere“ Passwörter!
Die Anwendung des Tools ist einfach, da das Programm selbsttätig auf Ihrem Rechner nach Outlook-Datenbanken sucht und anschließend jeweils drei Passwort-Lösungen zu jeder Datenbank
anbietet, die PstPassword Ihnen übersichtlich in einer Liste präsentiert. Beachten Sie die gesetzlichen Regelungen, die das Hacken fremder Daten unter Strafe stellen
Mobile Anwendung
Gibt es KeePass auch für
Smartphones?
Frage: „Auf meinem PC verwende ich KeePass zum Verwalten
meiner Passwörter. Unterwegs brauche ich nur wenige davon, aber
da ich sichere Passwörter verwende, sind die schwer einzugeben
und ebenso schwer zu merken. Gibt es denn kein KeePass für mein
Handy?“, fragte Peter Gerstenmeier.
Antwort: KeePass selbst gibt es nur für Windows, aber trotzdem
lassen sich Ihre sicheren Passwörter auch unterwegs mitnehmen
– und zwar unabhängig vom Betriebssystem Ihres Smartphones
oder auch Tablets. Denn es gibt KeePass-kompatible Apps für
Android, Blackberry, iOS (iPhone/iPad) und Windows Phone 7/8
sowie Java-Apps für andere Smartphones, beispielsweise mit dem
Symbian-OS. Eine Übersicht von 18 solcher Apps finden Sie auf
der Webseite http://keepass.info/download.html unter der
Überschrift Contributed/Unofficial KeePass Ports.
Datenaustausch der KeePass-Datenbank
per Dropbox
Für iPhone und iPad ist die App „MiniKeePass“ empfehlenswert,
die Ihre KeePass-Datei aus dem Online-Speicher von Dropbox
importieren kann. Da die KeePass-Datenbank verschlüsselt ist, ist
diese Vorgehensweise unbedenklich. So gehen Sie zum Datenaustausch mit MiniKeePass vor:
1. Sofern Sie noch kein Dropbox-Konto haben, melden Sie sich
über den Link https://www.dropbox.com/ an und speichern
dann im Dropbox-Ordner Ihre KeePass-Datenbank.
2. Installieren Sie die kostenlose App „MiniKeePass“ auf Ihrem
iPhone oder iPad: http://bit.ly/SVtwDY.
3. Starten Sie die App und nehmen Sie über das Zahnrad-Symbol
Ihre Sicherheitseinstellungen vor, darunter die PIN-Eingabe
und das Löschen der Datenbank nach mehreren falschen Versuchen.
4. Installieren Sie die kostenlose Dropbox-App über den Apple
Store, öffnen Sie über die App Ihren Online-Speicher und tippen Sie die KeePass-Schlüsseldatei an. Sie erhalten die Meldung „Anzeige der Datei nicht möglich“.
5. Klicken Sie rechts unten in der Ecke auf das Ablage-Symbol
und wählen Sie aus den angezeigten Apps das Symbol für MiniKeePass.
6. Jetzt wählen Sie noch die KeePass-Datenbank in MiniKeePass
aus und geben Ihr Master-Passwort für die Datenbank ein. Die
Passwort-Datenbank steht Ihnen nun auf Ihrem iPhone/iPad
zur Verfügung.
7. Wählen Sie wie auf dem PC die gewünschte Gruppe und das
gerade benötigte Passwort aus.
Geht das nicht auch ohne Online-Speicher?
Stört Sie der Online-Speicher, können Sie mit der App Ihrer
Wahl auch eine neue KeePass-Datenbank auf dem Smartphone
bzw. Tablet anlegen und alle dort benötigten Passwörter noch
einmal eingeben. Eine zeitraubende Doppeleingabe lässt sich vermeiden, indem Sie die KeePass-Datenbank per USB-Kabel vom
PC zum Mobilgerät übertragen. Bei iPhone/iPad geschieht das
mit Hilfe des Apple-Programms iTunes, bei Android-Geräten
können Sie direkt per USB-Kabel auf den internen Speicher
schreiben oder per Adapter Daten auch mit einem USB-Stick
übertragen. Bei praktisch allen Mobile-Betriebssystemen kann
die Übertragung auch mit einem WiFi-Tool über die WLAN-Verbindung vorgenommen werden.
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage
7
8
Spezialreport für unknackbare Passwörter
Sicherheitsprüfung
Checkliste: Machen auch Sie diese Passwort-Fehler?
Trotz aller möglichen Angriffe und Gefahren bieten sichere Passwörter immer noch den besten Schutz und sollten
daher konsequent und ausnahmslos eingesetzt werden. Die nachfolgende Checkliste hilft Ihnen dabei, Sicherheitslücken bei Ihren Passwörtern sofort zu erkennen.
Die in diesem Spezialreport vorgestellten Tools wie der „Password Security Scanner“ oder der Passwortgenerator sind eine
wertvolle Hilfe, unsichere Passwörter zu finden und bei der Neuanlage zu vermeiden. Im Endeffekt sind es jedoch immer Sie, die
eine Entscheidung darüber zu fällen und zu verantworten haben,
ob ein Passwort sicher ist oder nicht. Dabei können auch Faktoren eine Rolle spielen, die ein Passwort-Tool nicht erkennen
kann. Die folgende Checkliste deckt auch solche Sicherheitslücken auf und sollte von Ihnen auf jedes alte und neue Passwort
angewendet werden.
Vermeiden Sie diese Passwort-Fehler:
Hat Ihr Passwort weniger als 12 Zeichen?
¨ Ja; verwenden Sie ein längeres Passwort. ¨ Nein.
Enthält Ihr Passwort nur Groß- oder nur Kleinbuchstaben?
¨ Ja; ändern Sie das Passwort und verwenden Sie sowohl Großals auch Kleinbuchstaben. ¨ Nein.
Fehlen bei Ihrem Passwort Ziffern?
¨ Ja; ergänzen Sie Ihr Passwort um Ziffern. ¨ Nein.
Fehlen bei Ihrem Passwort Sonderzeichen?
¨ Ja; ergänzen Sie die Sonderzeichen. ¨ Nein.
Ist das Verhältnis von Groß- und Kleinbuchstaben, Ziffern
und Sonderzeichen unausgewogen?
¨ Ja; ergänzen Sie die fehlenden Passwort-Bestandteile.
¨ Nein.
Enthält das Passwort einen bekannten Namen oder Begriff?
¨ Ja; verwenden Sie ein Passwort mit zufällig gewählten Zeichen. ¨ Nein.
Enthält das Passwort ein Geburtsdatum oder ein anderes
Datum?
¨ Ja; verwenden Sie ein Passwort mit zufällig gewählten Zeichen. ¨ Nein.
Bewertet Ihr Onlinedienst Ihr Passwort bei der Eingabe als
„schwach“?
¨ Ja; verwenden Sie ein längeres Passwort oder optimieren Sie
die Zeichen darin so, dass das Passwort als sehr stark bewertet
wird. ¨ Nein.
Ist das Passwort aus den Anfangsbuchstaben eines berühmten
Zitats oder eines Satzes zusammengesetzt?
¨ Ja; verwenden Sie ein Passwort mit zufällig gewählten Zeichen. ¨ Nein.
Haben Sie das Passwort irgendwann schon einmal verwendet
oder wird das Passwort auf Ihrer Arbeitsstelle mehrfach verwendet?
¨ Ja; verwenden Sie ein anderes Passwort, auch sichere Passwörter sollten kein zweites Mal verwendet werden. ¨ Nein.
Nutzen Sie das Passwort schon länger als einen Monat?
¨ Ja; ändern Sie das Passwort. ¨ Nein.
Wurde der betreffende Internet-Dienst in letzter Zeit gehackt?
¨ Ja; ändern Sie das Passwort oder wechseln Sie noch besser den
Dienst. ¨ Nein.
Wie merken Sie sich das Passwort?
Empfehlenswerte Verhaltensweisen:
¨ Ich habe ein Super-Gedächtnis und kann mir auch Dutzende
von sicheren Passwörtern merken, ohne diese auszudrucken oder
abzuspeichern.
¨ Die Liste mit meinen Passwörtern ist sicher verschlüsselt abgespeichert.
¨ Zur Verwaltung meiner Passwörter verwende ich ein sicheres
und vertrauenswürdiges Tool wie KeePass. Ich sichere meine
Daten inklusive meiner verschlüsselten Passwort-Datei regelmäßig.
¨ Die Liste mit meinen Passwörtern habe ich ausgedruckt und
in meinen Tresor/an einen sicheren Ort gelegt.
Unsichere Verhaltensweisen:
¨ Die Datei mit der Liste der Passwörter ist unverschlüsselt auf
meinem PC gespeichert. Mein Tipp: Legen Sie die Liste an einen
sicheren Ort wie in einen Tresor oder verwalten Sie die Passwörter mit KeePass oder einem anderen, sicheren Passwort-Manager.
¨ Alle E-Mails mit meinen Passwörtern sind unverschlüsselt
auf meinem PC gespeichert. Mein Tipp: Erfassen Sie die Passwörter in einem Passwort-Manager oder schreiben Sie sich diese
in einer Liste auf, die Sie dann an einen sicheren Ort wie zum Beispiel in einen Tresor legen. Nachdem Sie sicher sind, dass alle
Passwörter für Sie auch anderweitig zugänglich sind, löschen Sie
die E-Mails mit den Passwörtern im Klartext aus Ihrem E-MailProgramm und auch vom Server bei Ihrem E-Mail-Provider. Insbesondere dort stellen sie eine große Gefahr dar, wenn Ihr EMail-Konto gehackt wird oder die Daten bei einem amerikanischen Unternehmen gespeichert sind. Denn dieses gewährt den
US-Geheimdiensten darauf Zugriff.
¨ An meinem Arbeitsplatz habe ich eine Liste mit meinen Passwörtern oder die Passwörter kleben gut sichtbar mit einem gelben Haftzettel am Bildschirm oder unter der Tastatur. Mein Tipp:
Legen Sie die Passwort-Liste an einen sicheren Ort wie zum Beispiel in einen Tresor.
¨ Das eine Passwort, das ich seit Jahren für alles verwende,
kann ich mir gut merken. Mein Tipp: Vergeben Sie für jeden Zugang ein eigenes, sicheres Passwort.
E-Mail-Hilfe: [email protected] | Passwort: Datenspionage