"12345" ist wirklich schlecht: Ihr ultimativer Leitfaden zur Passwortsicherheit

Wir haben Sie immer wieder darauf hingewiesen, dass die einzige sichere Möglichkeit zum Speichern und Verwenden von Kennwörtern darin besteht, sich auf einen Kennwortmanager zu verlassen, aber einige von Ihnen hören nicht zu. In einer PCMag-Umfrage zu Passwörtern gaben nur 24 Prozent an, einen Passwort-Manager zu verwenden. Was macht der Rest von euch? Verwenden Sie einfache Passwörter wie Passwort oder 12345678? Ein komplexes Passwort auswendig lernen und überall verwenden? Hören Sie, es ist keine Kleinigkeit, sich um die Passwortsicherheit zu kümmern. Angesichts des enormen Risikos, das in der jüngsten Sicherheitsverletzung Nr. 1, die 773 Millionen gehackte E-Mail-Adressen enthüllte, deutlich wurde, müssen Sie alles tun, um Ihre Passwörter aufzubewahren sicher.

Selbst wenn Sie den besten Passwort-Manager verwenden, garantiert dies nicht die Sicherheit Ihrer Konten - nicht, wenn Sie den Passwort-Manager verwenden, um sich dieselben alten, müden Passwörter zu merken. Sie müssen sich in die Gräben begeben und die falschen Passwörter gegen neue, stärkere Passwörter austauschen.

Die oben erwähnte Umfrage ergab, dass 35 Prozent der PCMag-Leser ihre Passwörter niemals ändern, es sei denn, sie werden aufgrund einer Verletzung dazu gezwungen. Im Allgemeinen ist das keine so schlechte Sache. Das National Institute of Standards and Technology empfiehlt nicht mehr, die Passwörter alle 90 Tage zu ändern. NIST empfiehlt nun, lange Passphrasen wie "Correct-Horse-Battery-Staple" zu verwenden und nur bei Bedarf zu ändern. Wenn Sie jedoch schreckliche Passwörter verwenden, bedeutet "wenn nötig" dies jetzt .

Was macht ein falsches Passwort aus? Wir werden uns einige der Attribute von schrecklichen Passwörtern ansehen und Ihnen dann einige Hinweise geben, wie Passwörter richtig gehandhabt werden.

Raus aus dem Wörterbuch

Alle paar Monate veröffentlicht eine Nachrichtenagentur oder eine andere eine Liste der schlechtesten Passwörter. Wir sehen viele einfach zu tippende Optionen, wie 123456 und 12345678 und QWERTY. Einfach für dich? Sicher. Aber auch leicht für Hacker zu knacken. Andere gebräuchliche (und schlechte) Passwörter bestehen aus einfachen Wörterbuchwörtern. Wir haben Baseball, Affen und Starwars in der Liste der schlechtesten Passwörter gesehen. Auch diese sind leicht zu knacken.

Einige sichere Websites werden nach einer festgelegten Anzahl falscher Kennwortversuche gesperrt, viele jedoch nicht. Für diejenigen, die keine falsche Sperre haben, können Hacker eine Liste von E-Mail-Adressen mit einer Liste gängiger Kennwörter durchgehen und einen automatisierten Prozess einrichten, um Kombinationen so lange zu versuchen, bis sie eingehen.

Auf einer ordnungsgemäß gesicherten Website wird Ihr Passwort nirgendwo gespeichert. Stattdessen wird das Kennwort über einen Hashing-Algorithmus ausgeführt, eine Art Einwegverschlüsselung. Dieselbe Eingabe erzeugt immer dieselbe Ausgabe, aber es gibt keine Möglichkeit, aus dem resultierenden Hash das ursprüngliche Kennwort wiederherzustellen. Wenn das Kennwort, das Sie eingeben, mit demselben Wert hascht, der gespeichert ist, erhalten Sie Zugriff. Selbst wenn Hacker die Benutzerdaten der Site erfassen, erhalten sie keine Passwörter, sondern nur Hashes.

Intelligente Hacker können schwache Passwörter auch dann knacken, wenn sie gehasht werden, wenn sie wissen, welche Hashing-Funktion die Site verwendet. Sie beginnen damit, ein riesiges Wörterbuch mit allgemeinen Passwörtern über die Hashing-Funktion zu erstellen. Dann suchen sie in den erfassten Daten nach den resultierenden Hashes. Jede Übereinstimmung ist ein geknacktes Passwort. Websites mit der allerbesten Sicherheit verbessern die Hash-Funktion durch eine Technik namens Salting, die diese Art von tabellenbasiertem Cracken unmöglich macht. Aber warum das Risiko eingehen? Bleiben Sie einfach aus dem Wörterbuch.

Denke anders

Eine Freundin hat mir einmal ihr perfektes Passwort mitgeteilt: 1qaz2wsx3edc4rfv. Sie konnte es "tippen", indem sie nur einen Finger über vier schräge Spalten der Tastatur fuhr. Es war so perfekt, dass sie es überall benutzte. Und das war ein großer Fehler.

Kaum eine Woche vergeht, ohne dass es bei einem Unternehmen oder einer Website zu einer Sicherheitsverletzung kommt, die Tausende oder Millionen von Benutzernamen und Passwörtern preisgibt. Intelligente Opfer ändern ihre Passwörter sofort. Diejenigen, die das Problem ignorieren, werden möglicherweise von ihren eigenen Konten gesperrt, nachdem die Hacker das Passwort zurückgesetzt haben.

Diese Hacker wissen, dass allzu viele Menschen ihre Passwörter recyceln. Sobald sie ein funktionierendes Paar aus Benutzername und Passwort gefunden haben, versuchen sie es auf anderen Sites mit denselben Anmeldeinformationen. Möglicherweise sind Sie nicht so besorgt, den Zugriff auf Ihr Club Penguin-Konto zu verlieren, aber wenn Sie dasselbe Login auf der Website Ihrer Bank verwendet haben, haben Sie große Probleme.

Es wird schlimmer. Wenn jemand anderes die Kontrolle über Ihr E-Mail-Konto erhält, kann er Sie zuerst durch Ändern des Passworts sperren. Anschließend können sie in Ihre anderen Konten einbrechen, indem ein Link zum Zurücksetzen des Passworts per E-Mail an dieses Konto gesendet wird. Schon besorgt?

Werde nicht persönlich

Die Verwendung persönlicher Daten als Grundlage für Ihre Passwörter ist furchtbar verlockend, aber eine schlechte Idee. Die Chancen stehen gut, dass der Name Ihres Hundes in den Wörterbüchern erscheint, die Hacker für Brute-Force-Angriffe verwenden. Andere Möglichkeiten, wie die Initialen und das Geburtsdatum eines Familienmitglieds, werden wahrscheinlich nicht zu Brute-Force-Angriffen, aber wenn jemand Ihr Konto speziell hacken möchte, können diese persönlichen Daten einen Versuch-und-Irrtum-Rätselangriff auslösen.

Denken Sie keine Minute lang daran, dass Ihre persönlichen Daten privat sind. Es gibt Dutzende von Websites, auf denen Personen nach Details suchen können: Adresse, Geburtsdatum, Familienstand und mehr. Ihre Social-Media-Posts können eine weitere Quelle für persönliche Informationen sein, insbesondere wenn Sie Ihre Konten nicht ordnungsgemäß gesichert haben. Ein entschlossener Hacker (oder ein neugieriger Nachbar) kann wahrscheinlich jedes Passwort erraten, das Sie basierend auf Ihren eigenen Daten erstellen.

Schließen Sie die Hintertür

Wenn Sie keinen Passwort-Manager verwenden, haben Sie sicherlich das Passwort für eine Site vergessen. Es ist allzu häufig, weshalb praktisch jede Anmeldeseite ein "Passwort vergessen?" Enthält. Verknüpfung. Auf einigen Websites wird ein Link zum Zurücksetzen an Ihre E-Mail-Adresse gesendet, auf anderen können Sie das Kennwort zurücksetzen, nachdem Sie Ihre Sicherheitsfragen beantwortet haben. Und das öffnet jedem eine Hintertür, der sein Konto hacken möchte.

Die meisten Websites bieten miserable Möglichkeiten für Sicherheitsfragen. Wie lautet der Mädchenname Ihrer Mutter? Wo bist du zur High School gegangen? Was war dein erster Job? Wie bereits erwähnt, ist Ihr persönliches Leben ein offenes Buch für alle, die mit dem Internet vertraut sind. Ignorieren Sie nach Möglichkeit die voreingestellten Fragen. Erstellen Sie Ihre eigene Frage mit einer einzigartigen Antwort, an die Sie sich immer erinnern werden, die aber niemand anderes erraten konnte.

Es ist schwieriger, wenn Sie auf der Website keine eigenen Fragen definieren können. In diesem Fall ist es am besten, eine unvergessliche Antwort zu verwenden, die eine totale Lüge ist. Der Mädchenname meiner Mutter ist Obama. Ich ging in der kommunistischen Märtyrer-Schule zur Schule. Für meinen ersten Job war ich ein Löwenbändiger. Es besteht ein gewisses Risiko, da Sie möglicherweise vergessen, welche Lüge Sie gewählt haben. Ich würde vorschlagen, diese seltsamen Antworten als sichere Notizen in Ihrem Passwort-Manager zu speichern… aber wenn Sie einen Passwort-Manager verwenden, hätte er sich das Passwort für Sie merken können.

Was tun, wenn es Ihnen wichtig ist?

Ich hoffe, ich habe Sie davon überzeugt, dass die Verwendung gängiger Kennwörter eine schlechte Idee ist, da Kennwörter aus persönlichen Informationen erstellt werden. Und selbst das beste starke, zufällige Passwort wird zur Pflicht, wenn Sie es überall verwenden. Wenn Sie bereit sind, Maßnahmen zu ergreifen, finden Sie hier einige Ansatzpunkte:

• Verwenden Sie einen Passwort-Manager.
• Wechseln Sie zu einem besseren Passwort-Manager.
• Erinnern Sie sich an ein wahnsinnig sicheres Master-Passwort für Ihren Passwort-Manager.
• Nutzen Sie einen Generator für zufällige Passwörter, um Ihre alten, falschen Passwörter zu aktualisieren.
• Sie können sogar Ihren eigenen Zufallskennwortgenerator in Excel erstellen.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung, sofern verfügbar.

Wenn sich eine sichere Site nicht um die Sicherheit kümmert, können Sie trotzdem die Anmeldeinformationen dieser Site aufgrund einer Datenverletzung verlieren. Indem Sie jedoch alle Ihre Passwörter lang, sicher und eindeutig machen, haben Sie alles getan, um Ihre Online-Konten zu schützen.

Und hey! Nun, da Sie sicherheitstechnisch auf dem Laufenden sind, sollten Sie ein virtuelles privates Netzwerk oder VPN hinzufügen. Die Verwendung sicherer Kennwörter für sichere Websites bedeutet, dass andere Benutzer nicht in Ihre Konten eindringen können. Das Hinzufügen eines VPN bedeutet, dass niemand Ihre Verbindung zu diesen sicheren Sites abfangen kann.