Sicherheit

Können Apps das Passwort-Problem lösen? Und welche Apps bieten wirklich Sicherheit?

Neue Tipps zum sicheren Surfen – und zum sorgenfreien Umgang mit den eigenen Passwörtern.

Passwörter sind ein leidiges, aber notwendiges Übel. Sind sie zu simpel, könnte man auch gleich darauf verzichten. Sind sie zu kompliziert, schreibt man sie sich garantiert irgendwo auf. Viele Passwörter lassen sich im Umkreis eines halben Meters von der PC-Tastatur finden.

Zur Verwaltung von Passwörtern gibt es verschiedene Methoden. Das Problem: Wer vertraut einer App zur Verwaltung all seiner Zugangsdaten? Was, wenn die App selber von einem Datendieb programmiert worden ist, der durch eine Hintertür Zugang hat und meine diversen Eingaben sammelt, bis es etwas für ihn Lohnendes darunter hat?

Also doch das Passwort irgendwo aufschreiben? Wenn es denn schon sein muss, gibt es zumindest bessere und schlechtere Methoden.

Die weniger empfehlenswerten zuerst:

  • Ganz schlecht: Auf einen PostIt-Zettel am Monitor. Gesehen zum Beispiel kürzlich wieder bei einem befreundeten Manager. Auf die Frage, ob er sich dessen bewusst sei, dass nun alle Arbeitskollegen und das Putzpersonal sein Passwort kenne, entgegnete er: «Ja klar, aber niemand weiss, zu welchem Konto es passt.» Abgesehen davon, dass solche Leute meist das gleiche Passwort für alles nehmen (bis es nicht mehr passt, weil man manchmal periodisch erneuern muss): Ein Eindringling kann ja auch so lange probieren, bis er ein Konto findet, zu dem es passt – und sich von dort aus weiter vortasten.
  • Ein bisschen weniger schlecht: Eine Menge Passwörter auf einen Zettel schreiben und sich merken, das wievielteste davon das echte ist. Scheitert meist daran, dass man auch diesen Fakt vergisst.

Ein Passwort, das man jeden Tag verwendet, sollte sich nach kurzer Zeit im Gedächtnis festgesetzt haben (Tipp: Passwort nicht ausgerechnet einen Tag vor Ferienbeginn ändern).

Überall das gleiche Passwort? Nicht sehr empfehlenswert…

Aber was macht man mit Accounts, bei denen man die Logindaten nicht häufig braucht, weil sich Apps und Browser meist automatisch einloggen? Zum Beispiel Facebook, Twitter, E-Shopping oder Musikstreamin-Dienste?

Überall das gleiche nehmen? Nicht sehr sinnvoll. Wenn jemand in den Besitz dieses Kennworts kommt, dann kann er gleich flächendeckend Schaden anrichten.

Der Trick mit dem Buch

Dann halt doch aufschreiben? Und wenn ja, wohin? Die Versuchung ist gross, aber schreiben Sie die Geheimdaten nicht ins Adressbuch des Handys. Und keinesfalls ins Notizfeld Ihres eigenen Adresseintrags, weils grad so praktisch ist.

Sonst ergeht es Ihnen irgendwann mal wie jenem CEO, der blitzartig alle seine Zugangsdaten ändern musste, weil ihn seine Assistentin darauf hingewiesen hatte, dass er all seinen neuen Messebekanntschaften vom Handy aus nicht nur seine elektronische Visitenkarte gemailt hatte, sondern darin enthalten auch seine ganze Passwortsammlung.

Wenn schon aufschreiben, dann empfiehlt sich folgendes: Nehmen Sie ein unpopuläres Buch aus Ihrem Büchergestell, blättern Sie zu einer Seitenzahl, die Sie sich merken können, und schreiben Sie zwischen die Zeilen alle Passwörter sowie verklausuliert, für welchen Account sie gelten.

Apps, die weiterhelfen

Wie aber kommt man zu Passwörtern, die sich nicht erraten lassen? Erster Vorschlag: Man merkt sich einen Satz und nimmt dann von jedem Wort jeweils den Anfangsbuchstaben (noch cleverer: den zweiten Buchstaben).

Oder man führt sich gar nicht erst in Versuchung und lässt eine App das Passwort vorgeben.

«Aussprechbare-Passwörter-Generator 2» fürs iPhone könnte da, wie sein Name schon suggeriert, eine Kompromisslösung sein (gratis).

 

Für Android gibt es eine ähnliche App: «Password Generator» (ebenfalls gratis; in den Einstellungen «Pronounceable Password» ankreuzen).  

 

Bei Konten, die solches zulassen – zum Beispiel bei Gmail – lohnt sich auch die Verwendung der Zweiwegauthentisierung: Man gibt Benutzername und Passwort ein und bekommt dann eine individuelle Zahlenkombination als SMS aufs Handy geschickt, die man ebenfalls eingeben muss.

Dies sorgt dafür, dass ein Angreifer nicht nur etwas wissen, sondern auch etwas haben muss (das Handy). Etwas komfortabler wird diese «Bestätigung in zwei Schritten» bei Gmail (und den damit verbundenen YouTube- und anderen Konten), wenn man sich den «Google Authenticator» aufs Handy lädt, der den Code selber generiert (gratis; iOS und Android).

Wer auch im Ausland gerne über einen Schweizer Server surft, kann dies mit der Swisscom-App «Safe Connect» tun. Auch wenn man in einem öffentlichen W-LAN unterwegs ist, läuft die Kommunikation vom Handy oder Tablet aus über eine sichere, verschlüsselte Verbindung via Swisscom und erst von dort aus ins Internet. Ausserdem blockiert der Service den Zugriff auf bekannte gefährliche Webseiten. 30 Tage testen gratis, danach 29 Franken pro Jahr (iOS und Android).

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.