Hinweise für das Benutzerpasswort

Hier finden Sie einige Tipps für das bequeme und sichere Arbeiten mit Ihren Passwörtern.
Vergessen Sie die Regeln, die Ihnen vorschreiben wie viele und welche Zeichen Ihr Passwort enthalten muss und wie oft Sie es ändern müssen. Sie sind längst überholt und nachweislich kontraproduktiv.

 

 

Verwenden Sie einen Passwort-Manager

Lernen Sie mit einem Passwort-Manager zu arbeiten und Sie werden sich nie wieder Passwörter merken müssen. Es handelt sich um eine sehr bequeme und sichere Methode für die Aufbewahrung all Ihrer Passwörter, an die Sie sich schnell gewöhnen können. Wichtige Grundsätze für die Erstellung von Passwörtern werden dabei automatisch eingehalten. 

Es muss sich natürlich um einen vertrauenswürdigen Passwort-Manager handeln, achten Sie auf den Ruf des Anbieters. Unserer Erfahrung nach sind folgende Passwort-Manager zu empfehlen: 1password.com, lastpass.com oder keepass.info

Sie müssten sich dann nur ein einziges, sicheres Passwort merken, mit dem Sie Ihren Passwort-Manager schützen. Die benötigten Passwörter werden anschließend bei Bedarf automatisch auf bestimmten Webseiten oder Mobil-Anwendungen ausgefüllt. Wenn Sie wünschen, können Sie Ihre Passwörter auf allen verwendeten Endgeräten synchronisiert verwalten (Computer, Telefon, Tablet). 

Es ist verständlich, dass nicht jeder das nötige Vertrauen aufbringen kann, um seine gesamten Passwörter an einer Stelle aufzubewahren. Ziehen Sie dennoch folgende Argumente in Erwägung:

  • Die erwähnten Passwort-Manager schützen den Zugriff auf Ihre verschlüsselte Brieftasche nicht nur mit einem Hauptpasswort, sondern auch noch dadurch, dass die Passwörter nur auf den von Ihnen bestimmten Geräten gespeichert werden (1password.com oder keepass.info). Sie können den Zugriff auf Ihre Brieftasche auch durch eine mehrschrittige Überprüfung schützen (lastpass.com).
  • Der Passwort-Manager kontrolliert für Sie die URL-Adresse, auf der Sie das Passwort eingeben und schützt Sie effektiv gegen das sogenannte Phishing.
  • Bereits jetzt haben Sie einen Account und ein Passwort, über den man auf die meisten Ihrer Accounts zugreifen kann. Dies ist Ihr E-Mail-Postfach und das dazugehörige Passwort. Über dieses E-Mail-Postfach können Passwörter der meisten Internet-Dienste zurückgesetzt werden. Schützen Sie deshalb den Zugriff auf Ihr E-Mail-Postfach doppelt so gut auch, wenn Sie keinen Passwort-Manager verwenden.
  • Auch wenn der Passwort-Manager wie jede andere Anwendung seine Fehler haben kann, kommt es nicht darauf an, wenn ihn ein seriöses und vertrauenswürdiges Unternehmen betreibt und die auftretenden Fehler umgehend behebt. Der Passwort-Manager muss nicht perfekt sein. Es genügt vollkommen, wenn er die Verwaltung von Passwörtern wesentlich sicherer und bequemer macht. Es ist nämlich prinzipiell sicherer und bequemer generierte, unikale Passwörter zu verwenden, die man leicht zu Verfügung haben kann und auch nicht abschreiben muss, als gemerkte Passwörter einzugeben, die man womöglich bei mehreren Internet-Diensten verwendet oder irgendwo (auch offline) in einfachen Textdateien aufbewahrt.

 

Verwenden Sie für jeden Internet-Dienst ein einmaliges Passwort

Am häufigsten kommt es zum Missbrauch der Passwörter gerade dadurch, dass man bei mehreren Internet-Diensten das gleiche oder ein ähnliches Passwort verwendet.

Da das Passwort üblicherweise mit Ihrer E-Mail-Adresse gespeichert wird, ist es keine gute Wahl, dasselbe Passwort für Ihre anderen Internet-Dienste zu verwenden. Über das Postfach kann man das Passwort fast jeden Accounts, den Sie verwenden, zurücksetzen.

Sie können nie wissen wie der Betreiber des jeweiligen Internet-Dienstes mit Ihrem Passwort umgeht (ob er es z.B. richtig aufbewahrt - verschlüsselt oder in lesbarer Form) und wer alles darauf zugreifen kann (z.B. ein Teilzeit-Jobber, der für den Betreiber arbeitet u.ä.).

Darüberhinaus kommt es trotz Einhaltung von Sicherheitsvorschriften immer wieder zum Diebstahl und Veröffentlichungen von Passwörtern aus öffentlichen Internet-Diensten, die täglich den Cyber-Angriffen ausgesetzt sind.

Da es zu solchen Fällen regelmäßig kommt ist es prinzipiell wichtig, dass von einer eventuellen Passwort-Entwendung nur ein Internet-Dienst betroffen ist und, dass dadurch keine weiteren Web-Accounts gefährdet werden.

Wenn Sie bei ACTIVE 24 dasselbe Passwort wie z.B. bei Ihrem Online-Shop einstellen, könnte hier die Passwort-Entwendung Ihre Domain oder Ihre E-Mail-Postfächer, die Sie bei uns betreuen, ernshaft gefährden

Da es selbstverständlich kaum möglich ist dutzende einzigartige Passwörter zu merken, empfehlen wir Ihnen einen vertrauenswürdigen Passwort-Manager zu verwenden.

TIPP: Über den Service haveibeenpwned.com überprüfen Sie, ob das Passwort Ihres E-Mail-Postfachs entwendet wurde und im Internet kursiert. Sie können sich hier zusätzlich registrieren, um benachrichtigt zu werden, falls Ihr Passwort einmal gestohlen wird.

 

Denken Sie keine Passwörter aus, sondern generieren Sie sie

Natürlich gilt weiterhin, dass Sie die einfachen Passwörter, die bekannte Wörter, Namen, Zahlen-und Zeichenfolge und Geburtsdaten enthalten oder solche, die aus dem Kontext Ihrer Webseiten erraten werden können, vermeiden müssen.

Über einen Passwort-Manager können Sie Ihre Passwörter automatisch generieren und müssen auch keine Angst vor langen Passwörtern haben (üblich sind mehr als 20 Zeichen). Das Passwort müssen Sie weder kennen noch abschreiben.

Wie lang und komplex das Passwort sein muss, können Sie unter Berücksichtigung der Anforderung des jeweiligen Internet-Dienstes einfach auswählen.

Entscheiden Sie sich trotzdem gegen einen Passwort-Manager, bedenken Sie, dass es viel mehr darauf ankommt wie lang das Passwort ist, als auf seine Zeichenkombination.

Verwenden Sie dann zumindest solche Passwörter, die aus mehreren, längeren und unzusammenhängenden Wörtern bestehen, idealerweise einschließlich der Sonderzeichen und kreativer SchReiBweIsE.

Hinweis: Wenn Ihnen ein Passwort direkt vom jeweiligen Internet-Dienst zugeteilt wird, ändern Sie es so schnell wie möglich.


Bevor Sie das Passwort mit jemandem teilen, überprüfen Sie seine Identität

Es kommt immer wieder vor, dass Sie Ihre Zugangsdaten mit jemandem teilen müssen, z.B. mit Ihrem Webmaster, dem Sie vertrauen. Auf der anderen Seite werden Accounts gerade durch das Entlocken der Passwörter gestohlen.

Ein Passwort zu entlocken kann viel einfacher sein, als die technischen Hindernisse eines abgesicherten Systems zu übergehen. 

Um die Zugangsdaten zu entlocken, geben sich die Betrüger als technische Betreuer aus und erwecken das Gefühl der Dringlichkeit.

Heutzutage werden die Zugangsdaten auch gerne über die sozialen Netzwerke entlockt, wenn Ihnen z.B. jemand schreibt, den Sie auf den ersten Blick kennen (derselbe Name, dasselbe Foto u.ä.), in Wirklichkeit handelt es sich aber um ein gefälschtes Profil.

TIPP: Wenn Sie über ein Formular oder von einer Person aufgefordert werden Ihr Passwort preiszugeben, passen Sie gut auf. Überprüfen Sie in aller Ruhe, ob Sie tatsächlich mit der Person kommunizieren, die sie zu sein scheint - kontrollieren Sie die URL-Adresse, E-Mail-Adresse, Facebook-Profil oder fragen Sie auch per Telefon nach.

Wenn Sie dem Fragesteller vertrauen, wählen Sie eine geeignete Methode, um ihm das Passwort zu übergeben. Verwenden Sie am besten einen anderen Kommunikationskanal, nicht den der Anfrage, z.B. eine SMS-Nachricht, wenn Sie per E-Mail gefragt wurden.  

Geben Sie das Passwort nicht weiter, wenn Sie es bei mehreren Internet-Diensten verwenden! Denken Sie daran, dass der technische Support Sie nie um Ihre Zugangsdaten bitten sollte, dies wäre unnötig.

Geben Sie nur unikale Passwörter weiter und löschen Sie die E-Mail bzw. SMS gleich nach der Übergabe.


 

Bei Verdacht auf Entwendung, ändern Sie Ihr Passwort sofort.

Falls Sie das Passwort auf einem unsicheren Computer verwendet, über einen unsicheren Kommunikationskanal gesendet oder in ein verdächtiges Formular eingegeben haben (auch ein Profi kann auf das Phishing hereinfallen) oder falls Sie keinen Grund mehr haben, Ihr Passwort mit jemandem anders zu teilen, ändern Sie es ohne unnötigen Verzug! 

Ein neues, sicheres Passwort mit einem Passwort-Manager zu generieren dauert nur einen Augenblick und Sie müssen sich auch nichts Neues merken.


 

Aktivieren Sie die mehrschrittige Anmelde-Überprüfung

Falls es Ihr Internet-Dienst ermöglicht, aktivieren Sie die mehrschrittige Überprüfung bei der Anmeldung (sog. Zwei-Faktor-Authentifizierung). Öfters geht es um einmalige Zahlencodes oder Authentifizierungsnachrichten, die über Mobilanwendungen generiert werden.

Wenn Sie bei ACTIVE 24 eine wichtige Domain registrieren oder eine weitere Dienstleistung betreiben, an der Ihnen viel liegt, empfehlen wir Ihnen ausdrücklich die mehrschrittige Anmelde-Überprüfung bei Ihrem Account zu aktivieren.

In jedem Fall schützen Sie dadurch Ihren Passwort-Manager, welcher Ihre Passwörter online aufbewahrt (z.B.lastpass.com) oder Ihre Anwendungen für die Daten-Synchronisation, die Sie für die Aufbewahrung Ihrer Dateien mit verschlüsselten Passwörtern verwenden (z.B. dropbox.com).


 

Wie werden Passwörter bei ACTIVE 24 geschützt?


Passwörter gehören zu Ihren persönlichen Daten. Aus Schutzgründen werden sie deshalb niemals in lesbarer Form aufbewahrt, damit kein Unbefugter darauf zugreifen kann, einschließlich unserer Mitarbeiter (sie brauchen sie nicht zu kennen). Wenn Sie Ihr aktuelles Passwort vergessen, können wir es nicht mehr entschlüsseln und Sie werden sich über das Kundencenter ein komplett neues Passwort einstellen müssen. Um die Wahrscheinlichkeit eines Missbrauchs zu verringern ist der Link zur Generierung eines neuen Passwort, den Sie an Ihre autorisierte Kontakt-E-Mail beim Account anfordern können, zeitlich begrenzt gültig.

Beim Speichern von Passwörtern verwenden wir Einweg-Hashfunktionen. Beim Passwort für Ihren Kundenaccount handelt es sich um die bcrypt-Funktion mit dem Kostenfaktor 12, die einen starken Schutz gegen die sogenannten Brute-Force-Angriffe bietet. Alle Passwörter der Kundenaccounts, die zuvor in einem anderen Format gespeichert wurden, sind ebenfalls über bcrypt gehasht. Die Datenbank mit den auf diese Weise gespeicherten Passwörtern, würde einem eventuellen Angreifer, der sich darauf Zugriff verschafft nichts nützen, da er diese Passwörter nicht entschlüsseln könnte, sofern sie nicht im lesbaren Format vorliegen (123456, Passwort u.ä.). Die Einstellung trivialer Passwörter wird von unseren Systemen generell verhindert. Es wird auch nicht erlaubt, ein Passwort festzulegen, von dem wir wissen, dass es zuvor an die Öffentlichkeit gelangt ist und in der öffentlichen Datenbank entwendeter Passwörter figuriert. Ihr Passwort wird mit diesem Dienst nie geteilt - die Überprüfung erfolgt über das sogenannte K-Anonymity-Protokoll. Ein Passwort muss mindestens 12 Zeichen enthalten, dessen Stärke wird beim Einrichten visuell angezeigt.

Wir werden Sie niemals auffordern, Ihr Passwort regelmäßig zu ändern, da wir wissen, dass es nicht nur lästig, sondern paradoxerweise auch die Sicherheit verringert. Sollte jemand versuchen, Ihr Passwort aus der Ferne zu erraten, stößt er auf das sogenannte Rate limit, das die Anmeldung nach mehreren erfolglosen Versuchen verweigert. In einem solchen Fall erhalten Sie umgehend eine Warnmeldung mit den verfügbaren Informationen über den Angreifer und weiteren Vorgehenshinweisen. 

Bei anderen Passwortarten wie z.B. für FTP-Accounts, Postfächer, Datenbanken usw., werden je nach Möglichkeiten der Back-End-Plattformen unterschiedliche Typen von Hash-Funktionen verwendet.

Wo immer es möglich und zweckdienlich ist, gehen wir zu langsameren Hash-Funktionen über, die gegen Brute-Force-Angriffe resistent sind.