{"id":4869,"date":"2021-09-22T16:19:38","date_gmt":"2021-09-22T14:19:38","guid":{"rendered":"https:\/\/www.bastel-bastel.de\/blog\/?p=4869"},"modified":"2021-09-23T14:58:39","modified_gmt":"2021-09-23T12:58:39","slug":"passwoerter-die-vergessenen-helden","status":"publish","type":"post","link":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/2021\/09\/22\/passwoerter-die-vergessenen-helden\/","title":{"rendered":"Passw\u00f6rter – die vergessenen Helden!"},"content":{"rendered":"\n
\"\"<\/a><\/figure>\n\n\n\n

Jeder, der irgendwo und irgendwie schon einmal mit IT etwas zu tun hatte, kam dabei auch ziemlich sicher irgendwann mit Passw\u00f6rtern in Ber\u00fchrung und genau darum geht es – um Passw\u00f6rter und Sicherheit!<\/p>\n\n\n\n

In diesem Blogbeitrag will ich Euch ein bisschen etwas \u00fcber Passw\u00f6rter erz\u00e4hlen…<\/p>\n\n\n\n

Passw\u00f6rter, Schl\u00fcssel und sonstige Zugangsbeschr\u00e4nkungen.<\/strong><\/p>\n\n\n\n

Ganz allgemein ist zu sagen, dass der Mensch an sich B\u00d6SE ist!
Deswegen gibt es schon seit Anbeginn der Menschheit einerseits Versuche, Zug\u00e4nge zu Dingen zu beschr\u00e4nken und anderseits Versuche, diese Beschr\u00e4nkungen zu umgehen.<\/p>\n\n\n\n\n\n\n\n\"\"\n\n\n\n

Adam und Eva<\/strong>
Ich will jetzt nicht bei Adam und Eva anfangen, als die Schlange die Frau mit dem Zugangstoken zur Allwissenheit \u00fcberlistete und diese dann damit ihren Mann ins Ungl\u00fcck st\u00fcrzte.
Die Geschichte ist allgemein bekannt und wie es ausging wissen wir.
Einmal nicht auf die Credentials aufgepasst und zack – die ganze Menschheit im Eimer.

Man k\u00f6nnte sagen: Mein Gott, wieso l\u00e4sst Du Deine Passw\u00f6rter auch \u00fcberall herumliegen?
Ein Apfel als Zugangsbarriere zu einem geschlossenen Informationssystem?
Da muss doch etwas faul sein!
So etwas soll es aber auch heute noch geben, daher aufpassen, wenn der Apfel angebissen ist!

In der heutigen urbanen Gesellschaft stehen die Wissenskisten aber meistens in Geb\u00e4uden und die W\u00fcrmer und Trojaner kommen durchs offene Fenster.<\/strong>


Gut, \u00fcber die Zeit gab es dann Schl\u00fcssel und mechanische Zugangsbeschr\u00e4nkungen und mit ausreichend leistungsf\u00e4higen Computern wollte der Mensch auch diese wirksam gegen unliebsame Besucher sch\u00fctzen.
„Pass – words“ sind geheime Zugangsw\u00f6rter und die gab es schon ganz fr\u00fch – Geheimworte zur Zugangsbeschr\u00e4nkung – ohne das geheime Wort kommst Du nicht in unsere H\u00f6hle!

War das Password nicht gut genug gew\u00e4hlt, dann sa\u00dfen eben bald andere in Deiner H\u00f6hle.
Oder sp\u00e4ter bei den R\u00f6mern und im Mittelalter wurde der C\u00e4sar kurz mal gemeuchelt, weil irgendwer das geheime Passwort verraten hatte, mit dem man an den Wachen vorbeikam.

Bei den Griechen war es das Trojanische Pferd, aber das ist ein anderes Kapitel!
Angeblich ging das ohne Passwort, da wurde gleich das ganze Sicherheitssystem ausgehebelt.
Analog am PC heute: klick nicht auf jeden Mist! Pferde sind nicht mehr so aktuell, aber Katzenbilder tun es meistens genauso!<\/em>
Stecke keine fremden USB-Sticks an Deinen Computer!
<\/em>
Als ich ungef\u00e4hr 1982 mit der IT angefangen habe, besa\u00dfen die meisten pers\u00f6nliche Computer noch ein Schloss. Zwar meistens recht primitiv, aber immerhin: ein Schloss versperrte den Zugang!
Irgendwann wanderte der Schutz von der Hardware in die Software und manifestierte sich in sogenannten Passw\u00f6rtern. Und darum geht es hier:<\/p>\n\n\n\n

W\u00e4hle weise!<\/strong>
F\u00fcr den Zugang zu Deinem PC solltest Du ein Passwort einrichten. Moderne Systeme lassen sich gar nicht mehr ohne Passwort installieren (das kann man zwar meistens irgendwie umgehen, sollte man aber nicht!).

Du solltest Dein Passwort klug w\u00e4hlen und nicht „Passwort“, „123456“ oder \u00e4hnliches.
Auch solltest Du Dein Passwort niemandem verraten. Passw\u00f6rter sind nun mal geheim und sollen es bleiben!
Nutze Gro\u00df- und Kleinbuchstaben. Gerne darf Dein Passwort auch Zahlen und Sonderzeichen enthalten.
Aber Achtung – manche Systeme sind empfindlich f\u00fcr manche Zeichen. Umlaute beispielsweise oder Prozentzeichen, Leerzeichen, Querstrich, Kommata und Dollarzeichen, werden auch heute noch von manchen Ger\u00e4ten falsch interpretiert.
Als ich mich noch in 2021 bei einer gro\u00dfen Telekomfirma angemeldet habe, wurde zwar mein Passwort akzeptiert, aber beim Anmelden ging nichts mehr. Denn dummerweise akzeptierte die Registrierung mehr Zeichen, als sp\u00e4ter das Anmeldefeld. Ein Fall inkonsistenter Programmierung. Das war nat\u00fcrlich etwas ungeschickt. Der „Schlumpf$“ wurde zwar beim Registrieren akzeptiert, wurde aber bei der Anmeldung abgelehnt.
Die Ursache liegt in der Entwicklung der Computer. Fr\u00fcher gab es einige Zeichen, die verboten waren, da sie f\u00fcr Systemfunktionen reserviert waren. Heutzutage sind solche Zeichen bei Hackern immer noch sehr beliebt, weil viele Systeme immer noch sensibel darauf reagieren.

Fehlendes Sicherheitsbewusstsein<\/strong>

(Das Folgende ist eine vereinfachte Darstellung eines komplexeren Problems):<\/em>
Als ich vor einigen Jahren in einer Firma die IT betreut habe, arbeiteten alle mit demselben Benutzernamen. Man hatte ja nichts zu verbergen. Es gab nur einen Benutzer im Netz.

Das war nicht besonders schlau und ich wollte das \u00e4ndern. Nach langen Diskussionen hatte ich mich durchgesetzt. Jeder bekam einen eigenen Benutzernamen + Passwort.
Eine Woche sp\u00e4ter musste ich dann feststellen, dass die Leute mit den Passw\u00f6rtern der Kollegen angemeldet waren. Auf meine Frage, was das soll, hie\u00df es: „Ich dachte, an dem PC geht das nur mit dem Benutzernamen des Kollegen“, „Die Kollegin ist im Urlaub und ich arbeite an ihrem PC weiter“, „Der PC wird nie ausgeschaltet und da war noch der Kollege angemeldet“, „Ich habe mein eigenes Passwort vergessen“, usw.
Neue Kollegen bekamen einfach den Namen+Passwort eines anderen Mitarbeiters.

Die Passw\u00f6rter waren zwangsweise auf einer Liste beim Chef hinterlegt.
Offensichtlich konnte ich das Problem nicht gut genug erkl\u00e4ren.
Anst\u00e4ndige Schulungen f\u00fcr die IT waren der Firma aber zu teuer.
Ein Sicherheitsbewusstsein gab es damals nicht (das ist aber auch schon ein paar Jahre her).

Fr\u00fcher wurde \u00fcbrigens in vielen Firmen so gearbeitet.
Es gab die User „Buchhaltung“ und „Sekretariat“, mehr brauchte man nicht. Vielleicht noch den „Chef“, der gleichzeitig Administrator war, obwohl er keinerlei Ahnung von Computern hatte.
Das waren spannende Zeiten und oft war es sehr m\u00fchsam, solche Dinge zu korrigieren.
Ein Bewusstsein f\u00fcr die Folgen dieser sorglosen EDV-Nutzung war nicht vorhanden (und ist auch heute nur wenig verbreitet!)

Ich vermute, dass auch in 2021 oft noch so gearbeitet wird.

Dann sollte allerdings zumindest ein gutes Konzept f\u00fcr die Datensicherung vorhanden sein.<\/strong><\/a>
Fr\u00fcher habe ich mich sehr oft dar\u00fcber ge\u00e4rgert, heute kann ich mich zur\u00fccklehnen und ganz ehrlich – bei den ganzen News \u00fcber IT-Probleme in allen m\u00f6glichen Bereichen der Gesellschaft, kann ich nur m\u00fcde l\u00e4cheln – das war und ist alles zu erwarten. Und es wird vermutlich noch viel heftiger werden!

Alternativ habe ich ein Konzept entwickelt, das ich gerne kostenlos zur Verf\u00fcgung stelle:<\/p>\n\n\n\n

\"eine<\/a>
Eine T\u00fcte Mitleid!<\/figcaption><\/figure>\n\n\n\n


Verwende Passw\u00f6rter!<\/strong>
Auch wenn Du es f\u00fcr unn\u00f6tig h\u00e4ltst – verwende Passw\u00f6rter!
Irgendwann wird irgendwo ein Problem auftauchen, vor dem Dich ein Passwort gesch\u00fctzt h\u00e4tte. Nachtr\u00e4glich Zugangsdaten zu \u00e4ndern ist meistens schwieriger, als gleich richtig anzufangen!<\/p>\n\n\n\n

Verwende lange und kreative Passw\u00f6rter!<\/strong><\/p>\n\n\n\n

Einfache Passw\u00f6rter k\u00f6nnen leicht erraten oder durch Ausprobieren herausgefunden werden. Nutze daher lange Passw\u00f6rter. 8 Zeichen oder mehr sind gut! Aber vermeide zu einfache Zeichenfolgen. „Passwort“ oder „Passwort123“ sind tabu. Genauso wenig sollte „123456“ verwendet werden und auch „qwertz“ ist doof – falls Du es nicht erkennst – das ist einfach eine Reihe in Deiner Tastatur.
Sei kreativ. Kryptische Zeichenfolgen sind schwierig, einfache Worte leicht zu erraten. Nutze mehrere Worte und verschachtle sie, mische Zahlen dazwischen, baue Dir Eselsbr\u00fccken.
Beispiel: Max und Susi haben 2020 geheiratet, dann ist Max2020 oder Susi20 schlecht, aber MS2au0xs2i0 gut. Erkennst Du die Regel dahinter? Schwer zu merken, aber einfach zusammenzust\u00fcckeln. Vermische noch grOSS- und kLeinbUChstaben, f\u00fcge Sonderzeichen ein – fertig ist das sichere Passwort.<\/p>\n\n\n\n

Immer nur ein Passwort!<\/strong><\/p>\n\n\n\n

Verwende ein Passwort nicht f\u00fcr mehrere Dienste!<\/em><\/strong>
Bist Du in Foren oder auf verschiedenen Webseiten unterwegs? Nutze f\u00fcr jede Seite ein anderes Passwort. Idealerweise auch einen anderen Benutzernamen und wenn es geht – unterschiedliche Mail-Adressen. Denn wenn ein Forum oder Dienst gehackt wurde und Dein Benutzername+Passwort irgendwo auftaucht, dann kannst Du sicher sein, dass die Kombination fr\u00fcher oder sp\u00e4ter auch anderswo ausprobiert wird.<\/p>\n\n\n\n

Passwortmanager sind gut!<\/strong><\/p>\n\n\n\n

Kein Mensch kann sich alle Passw\u00f6rter merken, aber deswegen \u00fcberall das gleiche Passwort zu verwenden ist keine Alternative! Nutze Programme zur Passwortverwaltung – Passwortmanager!
Passw\u00f6rte sollten lang sein, komplex und immer unterschiedlich. Einfache Passw\u00f6rter zu verwenden ist keine Alternative, daher empfehle ich einen Passwortmanager.
Ich nutze KeePassXC. Das ist so ein Passwortmanager. Es gibt viele verschiedene Programme f\u00fcr diesen Zweck. Pr\u00fcfe die Bewertungen der Programme und teste sie einfach aus. KeePassXC ist OpenSource und l\u00e4uft auch unter Linux.
F\u00fcr einen Passwortmanager ben\u00f6tigst Du nur eine Kombination aus Zugangsdaten, den Hauptschl\u00fcssel. Damit werden alle Deine Passw\u00f6rter in einer geheimen Datenbank verschl\u00fcsselt und geheim abgelegt.
Dein Passwort f\u00fcr den Passwortmanager sollte deswegen gut gew\u00e4hlt sein und vergiss nicht, ein regelm\u00e4\u00dfiges Backup anzufertigen.
Der Passwortmanager speichert Deine Passw\u00f6rter und gibt sie Dir auf Wunsch frei oder loggt Dich automatisch bei Diensten und Webseiten ein.

Du kannst bei manchen Passwortmanagern auch die Datenbank auf einem Netzlaufwerk speichern oder f\u00fcr ganz mutige – in einer Cloud ablegen. Da die Datenbank verschl\u00fcsselt ist, kann normalerweise trotzdem niemand darauf zugreifen – normalerweise!
Ich empfehle trotzdem, die Passwortdatenbank nicht frei herumliegen zu lassen!
Damit kannst Du die Passwort-Datenbank auf mehreren Ger\u00e4ten synchronisieren.

Die in den Browsern integrierten Passwortmanager w\u00fcrde ich nicht empfehlen.
Da liegen die Passw\u00f6rter bei Microsoft, Mozilla oder anderen Anbietern, die Du nicht kennst und die teilweise US-Recht unterliegen! Niemand kann garantieren, dass Deine Daten dort sicher sind.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Nutze 2FA – Zwei-Faktor-Authentisierung!<\/strong><\/p>\n\n\n\n

Wenn es geht und ein Dienst das anbietet, dann nutze die Zwei-Faktor-Authentisierung!
Dabei werden einfach 2 verschiedene Komponenten zur Zugangskontrolle kombiniert.
In Spielfilmen sieht man oft den Augenscan (Iris) + Code-Eingabe am Zahlenfeld. Oder Scan der Handlinien oder Fingerabdr\u00fccke + Schl\u00fcssel. Es geht darum, 2 verschiedene Faktoren zu verwenden.
Wenn jemand Dein Passwort erraten hat, fehlt ihm trotzdem der andere Faktor. Falls er Deinen Schl\u00fcssel gestohlen hat, kommt er nicht weiter. Hat er aber beide Faktoren gestohlen, nun ja – shit happens!

Schneidet Dir jemand den Daumen f\u00fcr den Fingerabdruck-Scan ab oder reisst Dir den Augapfel f\u00fcr den Irisscan aus, dann hast Du sowieso andere Probleme.<\/p>\n\n\n\n

Wichtig dabei: Die Faktoren m\u00fcssen unterschiedlicher Art sein. Also nicht 2 Passw\u00f6rter oder 2 Pins, sondern Passwort + Schl\u00fcssel oder Pin und Scan (Auge, Fingerabdruck).

Bei 2FA werden 3 Arten unterschieden: Besitz, Wissen und Biometrie.<\/strong><\/p>\n\n\n\n

Besitz<\/em><\/strong> ist beispielsweise ein Schl\u00fcssel, eine Chipkarte, ein Sicherheitstoken, eine APP f\u00fcr Einmal-Kennworte (OTP)
Wissen<\/em><\/strong> ist ein Passwort, eine Pin oder eine Transaktionsnummer.
Biometrie<\/em><\/strong> kann ein Fingerabdruck, ein Augenscan-Muster, eine Stimme oder \u00e4hnliche sein, das f\u00fcr jeden Menschen unterschiedlich ist.
Es sollten immer 2 Faktoren aus den 3 unterschiedlichen Bereichen verwendet werden!<\/p>\n\n\n\n

Vertraue Niemandem!<\/strong>
Egal, ob Du Dich f\u00fcr Passw\u00f6rter, Apps, Hardware-Tokens oder Schl\u00fcssel entscheidest, vertraue NIEMANDEM! Und ich meine wirklich NIEMANDEM!<\/p>\n\n\n\n

<\/p>\n\n\n\n

Passwortwechsel? Nicht n\u00f6tig! Oder doch?<\/strong><\/p>\n\n\n\n

Manche Menschen meinen, man sollte seine Passw\u00f6rter regelm\u00e4\u00dfig wechseln.
W\u00e4hrend das bei Unterw\u00e4sche durchaus sinnvoll ist, braucht man das bei Passw\u00f6rtern nicht unbedingt zu tun. Schaden kann es aber nicht, man sollte es aber richtig machen!

Wechselt man sein Passwort, dann gilt das gleiche, wie bei Unterhosen: Nur frische Passw\u00f6rter sind gut!
Wenn Du also 3 Passw\u00f6rter hast und die nur durchwechselst, dann kannst Du es gleich sein lassen.

Der Passwortwechsel ist in genau 2 F\u00e4llen sinnvoll:<\/strong>
1. Du wurdest gehackt oder ausgesp\u00e4ht – dann ist Dein System sowieso kompromittiert und Du solltest ALLES neu machen und austauschen.

2. Der Diensteanbieter, f\u00fcr den Du das Passwort nutzt, wurde gehackt und Deine Zugangsdaten kursieren jetzt im Internet. Das kann man manchmal erkennen, wenn man auf einmal ganz viele Werbemails bekommt. Dann wei\u00dft Du, dass Deine Mail in einem Verteiler gelandet ist. Allerdings gibt es daf\u00fcr auch weitere Ursachen, wie z.B. die Verwendung Deiner Mail im Freundeskreis in einer CC:-Liste, wenn in der Verteilergruppe irgendein PC infiziert ist oder \u00e4hnliches.

Da Du oft nicht wei\u00dft, ob Du oder Dein Diensteanbieter gehackt wurde, kann der Passwortwechsel ab und an also durchaus sinnvoll sein.
Manche Anbieter fordern auch von sich aus, dass man regelm\u00e4\u00dfig sein Passwort \u00e4ndert.

Niemand kann sich alles merken!<\/strong>
Damit man trotzdem sichere Passw\u00f6rter verwenden kann, verwende einen Passwortmanager!


Passw\u00f6rter niemals aufschreiben!<\/strong>
Es sei denn, Du kannst den Aufschrieb in einen Tresor legen, zu dem nur Du Zugang hast.
\u00dcberlege immer, wie sicher Du Deine Passw\u00f6rter ben\u00f6tigst und wie sicher Du sie ablegen kannst.
100% Sicherheit gibt es \u00fcbrigens nicht!

Wenn Du stirbst!<\/strong><\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n


Keiner will freiwillig abtreten, aber falls Du Passw\u00f6rter zu Zug\u00e4ngen hast, die auch f\u00fcr andere wichtig sind (Bank, Versicherung, etc.), dann \u00fcberlege Dir ein Sicherungskonzept f\u00fcr Deine Angeh\u00f6rigen!
In diesem Fall gilt die obige Regel „vertraue niemandem“ nat\u00fcrlich nicht!
Sterben geht ganz pl\u00f6tzlich, da bleibt keine Zeit zum Reagieren – daher vorher ein Konzept erarbeiten.
Nimm Deinen Lebens-\/Ehepartner als „Backupmedium“

Kleine Anekdote zu aufgeschriebenen Passw\u00f6rtern:<\/strong>
Vor einigen Jahren wurde ich mal zu einem Kunden gerufen. Er wusste sein Passwort nicht mehr.
Vor Ort hat er mir dann erz\u00e4hlt, dass er das Passwort auf den Wandkalender geschrieben hatte.
Sehr pfiffig und er hatte sich sogar die M\u00fche gemacht, das Passwort \u00fcber die gesamte Kalenderfl\u00e4che zu verstreuen.
Nur leider hing nach den Weihnachtsferien ein neuer Kalender an der Wand und der alte war bereits entsorgt worden.

So, und jetzt drehe Deine Tastatur um und radiere das Passwort weg, das Du mit Bleistift von hinten draufgeschrieben hast! \ud83d\ude42

<\/p>\n","protected":false},"excerpt":{"rendered":"

Jeder, der irgendwo und irgendwie schon einmal mit IT etwas zu tun hatte, kam dabei auch ziemlich sicher irgendwann mit<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[27],"tags":[286,283,285,284,227],"class_list":["post-4869","post","type-post","status-publish","format-standard","hentry","category-computertechnik","tag-2fa","tag-passwort","tag-passwortmanager","tag-sicherheit","tag-verschluesselung"],"_links":{"self":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/4869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=4869"}],"version-history":[{"count":1,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/4869\/revisions"}],"predecessor-version":[{"id":4916,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/4869\/revisions\/4916"}],"wp:attachment":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=4869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=4869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=4869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}