Jeden Tag werden die Konten von Millionen von Benutzern kompromittiert. Passwortlisten werden im Dark Web gehandelt und Bösewichte nutzen automatisierte Prozesse, um mit ihnen viele Konten und Dienste durchzuprobieren, bis ein Datensatz dann mal passt. Ausgeklügelte Phishing-Angriffe versuchen, Sie dazu zu bringen, Ihr Passwort (oder die zum Zurücksetzen notwendigen Informationen) preiszugeben, indem sie sich als legitime Dienste oder Kundenbetreuung ausgeben. Die Bedrohung hat im Winter 20/21 eher noch zugenommen, denn immer mehr Leute arbeiten oder lernen zu Hause oder verbringen dort unfreiwillig viel Zeit. Betrüger kommen so öfter durch – und gerade mit den Themen Impfungen und Impftermin ist viel Schindluder zu treiben, nutzt man böswillig Hoffnungen und Ängste der Leute aus.
Die beste Verteidigung gegen diese Art von Angriffen ist aber leicht erklärt: Nutzen Sie für jedes einzelne Ihrer Kontent, ein anderes, starkes, schwer zu erratendes Passwort hat. Ein guter Passwortmanager wie 1Password, LastPass oder Dashlane ist eine Schlüsselkomponente bei der Verwaltung von Passworten. ( Apple bietet dafür aber auch Bordmittel an, Safari und den Schlüsselbund . Dabei weist Sie das System auch darauf hin, wenn Sie ein unsicheres oder gar bereits kompromittiertes Passwort benutzen – oder einfach nur das gleiche bei mehreren Diensten. Anm. d. Red. )
So gelangen Sie zu guten Passwörtern
Sie kennen das Dilemma: Passworte dürfen nicht leicht zu erraten sein und in Romanen oder Lexika stehen oder gar als Geburtsdatum in Ihrem Pass, man sollte sie sich aber auch merken können. Daher unser Tipp: Merken Sie sich kein Passwort. Merken Sie sich einen Algorithmus, mit dem Sie auf das Passwort kommen.
Nehmen Sie etwa Ihren Lieblingssong und verwenden Sie jeweils die ersten Buchstaben des ersten Satzes. Bei Deep Purples “Smoke on the Water” wäre das also: “We all came down to Montreaux, on the Lake Geneva shoreline”. Und somit: “WacdtMotLGs”. Drehen Sie Groß- und Kleinschreibung um, aus dem “to” machen Sie eine “2” und aus dem “o” eine “0”: wACD2m0TlgS. Schon hätten Sie ein sicheres Passwort – stünde es nicht hier. Aber Sie kennen bestimmt noch andere Songs.
Eine andere Methode: Merken Sie sich einen Satz, der in keinen Lyrics bekannter Lieder vorkommt. Etwa: “Einen schönen Algorithmus für Kennwörter lernte ich bei Macwelt.” Gleich umgedreht und nach ein paar Ersetzungen für Buchstaben ergibt das: “1Sa4kL!Bm” Auch recht sicher, würde es nicht hier stehen. Aber immer noch recht kurz, zehn bis zwölf Zeichen sollte ein Passwort mindestens haben. Aber Sie sollen es ja nicht auf mehreren Seiten verwenden, sondern nur dessen Algorithmus. Für den Login bei Macwelt Plus Digital könnten Sie Ihren Merksatz ja fortführen mit: “So verwende ich es bei Macwelt Plus Digital” und damit das Kennwort ergänzen mit: “sV!EBmpd”. Die letzten drei Buchstaben wären dann bei einem jedem Dienst anders und da Sie ja auch mehr als einen Merksatz memorieren können, sollte das für viele Fälle genügen. Denn auch wenn Passwortmanager inklusive der in Safari integrierten Technologie gut weiterhelfen und Sie dafür nur ein absolut sicheres und merkbares Masterpasswort benötigen – überall kommen Sie damit nicht weiter. Für Microsoft-Dienste wie Skype versagt etwa die automatische Generierung sicherer Passwörter in Safari und auch der Schlüsselbund hilft Ihnen nicht weiter. Und für iPhone, iPad und Mac benötigen Sie eben ein sicheres Passwort, das Sie sich noch merken können. Selbst sechs Ziffern, die Ihnen iOS und iPadOS als PIN-Option anbieten, sind besser als vier. Aber eben nicht das Geburtsdatum nehmen!
PINs für Bankkarten sind ein Sonderfall: Die verlangen eben nur vier Ziffern. Die können Sie bei den meisten Banken ändern, aber eben bitte nicht in 1111, damit Sie sich das besser merken können. Tipp für Freunde des rollenden Balls: Nehmen Sie jeweils zwei Ziffern und merken sich den Meister in jenen Jahren, für die diese Zahlen dann stehen. Die PIN 5954 würde etwa die Eselsbrücke “Eintracht Frankfurt – Hannover 96” ergeben, aber was machen Sie bei 0510? Der FC Bayern kommt noch weitere 28mal in dieser Liste vor und ob man immer gleich die Erfolge des Berliner TuFC Union und des Karlsruher FV aus dem vorigen Jahrhundert parat hat, lässt sich schwer abschätzen. pm
Gute Passwörter sind wichtig, aber nicht genug! Es vergeht kein Monat, ohne dass ein weiterer Bericht über Millionen potenziell gefährdeter Passwörter erscheint, und ein mit einem Virus infizierter Computer kann die Passwörter einfach abfangen, wenn Sie sie eingeben. Sie brauchen eine weitere Schutzebene. Sie brauchen die Zweifaktorauthentifizierung oder 2FA.
Wir haben hier erklärt, wie Sie 2FA in Ihrem Apple-Account aktivieren können , aber was ist mit all Ihren anderen Accounts? Diese sollten mit ebenso viel Sorgfalt geschützt werden. Darum geht es und so setzen Sie es ein:
Was ist 2FA?
Die Zweifaktorauthentifizierung ist eine Möglichkeit, zu beweisen, dass Sie tatsächlich der Eigentümer eines bestimmten Kontos sind, indem Sie zwei “Faktoren” als Beweismittel zur Verfügung stellen. Der eine Faktor ist ein Stück Wissen – Ihr Passwort oder Ihre PIN, zum Beispiel. Ein weiterer Faktor kann der Besitz eines bestimmten Objekts sein – ein Smartphone, das an eine bestimmte Nummer gesendete Texte empfängt, ein USB-Schlüsselanhänger oder der Zugang zu einer E-Mail-Adresse. Ein weiterer Faktor kann ein biometrisches Merkmal sein – etwas, das Ihnen inhärent ist, wie Ihr Fingerabdruck oder die Netzhaut.
Mit anderen Worten: 2FA sichert Ihr Konto, indem Sie etwas, das Sie kennen (Ihr Passwort oder Ihre PIN), zusammen mit etwas, das Sie besitzen (Ihr Smartphone, Ihr Fingerabdruck oder ein physischer Schlüssel) oder etwas, das Sie sind (Ihr Fingerabdruck oder ein detaillierter Gesichtsscan), zur Verfügung stellen.
Denken Sie an die Eingangstür zu Ihrem Haus. Wenn Sie sie nur mit einem Schlüssel öffnen können, ist das eine Ein-Faktor-Authentifizierung; Sie müssen nur dieses spezielle Objekt besitzen. Wenn Sie Ihre Tür sowohl mit einem physischen Schlüssel als auch mit einer vierstelligen PIN in ein elektronisches Schloss öffnen müssten, wäre das eine Zweifaktorauthentifizierung.
Einige Unternehmen nennen diese Art von Sicherheit MFA (Multi-Faktor-Authentifizierung) oder zweistufige Verifizierung. Diese Begriffe unterscheiden sich zwar ein wenig von 2FA, aber für die meisten Verbraucheranwendungen bedeuten sie im Wesentlichen dasselbe.
SMS, E-Mail oder Anwendung?
Die überwiegende Mehrheit der 2FA-Methoden für die Arten von alltäglichen Konten, die Verbraucher haben, ist Ihr normales Passwort oder Ihr PIN, zusammen mit einer von drei anderen Methoden des Nachweises:
E-Mail: Wenn Sie versuchen, sich einzuloggen, sendet der Dienst eine E-Mail an die Ihrem Konto bereits zugeordnete E-Mail-Adresse, die einen kurzen Code enthält. Der Code ist nur für eine begrenzte Zeit verwendbar. Sie überprüfen Ihre E-Mail, geben den Code ein und erhalten Zugang zu Ihrem Konto.
Textnachricht: Der Dienst sendet eine SMS-Textnachricht mit einem Code (in der Regel eine sechsstellige Nummer) an die Telefonnummer, die er für Sie gespeichert hat. Der Code ist nur einige Minuten lang gültig.
TOTP-Anwendung: Eine spezielle Anwendung auf Ihrem Smartphone generiert ein TOTP (Time-based One Time Password) auf der Grundlage einer einzigartigen geheimen Zeichenfolge, die mit dem Dienst geteilt wird. Das Passwort (normalerweise eine Zeichenfolge von sechs Zahlen) ist nur 30 Sekunden bis zu einer Minute gültig, danach wird ein weiterer Code generiert.
Von diesen Methoden ist der TOTP-App-Ansatz am besten geeignet. Eine einzige gute 2FA-Code-App kann für viele Dienste gleichzeitig verwendet werden und sie ist sicherer als Codes, die per E-Mail (wenn Ihr E-Mail-Login gehackt wurde, sind Sie in Schwierigkeiten!) oder per SMS (ein Prozess namens SIM-Jacking kann es Betrügern ermöglichen, Ihre Telefonnummer auf eine neue SIM-Karte zu übertragen und Ihre Textnachrichten abzufangen) gesendet werden.
TOTP-Apps sind nicht so bequem wie Textnachrichten. Sie müssen eine Anwendung auf Ihr Smartphone laden, sie öffnen und nach Codes suchen, wenn Sie sich von einem neuen Computer, Browser oder Gerät aus einloggen. Aber es ist die beste Mischung aus Bequemlichkeit, Allgegenwart und Sicherheit, also ist es die Methode, die wir empfehlen. Unsere bevorzugte TOTP-Anwendung ist Authy, aber Sie sollten sich auch LastPass Authenticator, Microsoft Authenticator und Google Authenticator ansehen.
Für das Online-Banking sollten Sie von Ihrem Kreditinstitut eine App für derartige Einmalpassworte erhalten haben, das sogenannte Push-TAN-Verfahren ist wegen der beschriebenen Sicherheitsmängel von SMS stets zu bevorzugen. Leider bieten einige Websites und Dienste – und sogar Banken! – nur 2FA per E-Mail oder SMS an. Wenn das der Fall ist, nehmen Sie, was Sie bekommen können! Es ist immer noch viel sicherer, als 2FA überhaupt nicht zu aktivieren.
Was ist mit Hardware-Schlüsseln?
Ein Hardware-Sicherheitsschlüssel ist wahrscheinlich das sicherste Mittel, um Ihr Konto zu sperren. Jemand müsste den Hardware-Schlüsselanhänger physisch von Ihnen stehlen, um hineinzukommen.
Die beste Option für Mac- und iPhone-Benutzer ist wahrscheinlich der YubiKey 5Ci , der sowohl Anschlüsse für USB-C als auch Lightning hat und eine ziemlich große Auswahl an Sicherheitsprotokollen und -diensten unterstützt. Der Nachteil? Ein einzelner Schlüssel kostet 70 Dollar! Es gibt einige billigere Optionen, aber egal, welche Sie wählen, es ist ein weiterer Gegenstand, den Sie immer bei sich haben müssen, sonst können Sie nicht in Ihre Konten gelangen.
Und wenn Sie den Schlüssel verlieren (er ist winzig klein!), müssen Sie jeden Dienst, für den Sie ihn aktiviert haben, durchlaufen und jede sekundäre Authentifizierungsmethode verwenden, um den Zugang zu Ihrem Konto wiederherzustellen.
©Yubico
Hardwareschlüssel sind großartig, wenn Sie dazu geneigt sind, aber wir glauben immer noch, dass das beste aller Welten aus Sicherheit, Kosten und Benutzerfreundlichkeit eine TOTP-App ist.
Wie man wichtige Konten mit 2FA schützt
Wir haben Ihnen bereits gesagt, wie Sie dies auf Ihrer Apple-ID einrichten können. Das ist wichtig, aber Sie können nicht damit aufhören. Viele Ihrer anderen Accounts sind ebenfalls von entscheidender Bedeutung für die Sicherheit.
Der Prozess zur Aktivierung von 2FA ist für jeden Account und jeden Dienst, den Sie haben, ein wenig anders. Eine einfache Google-Suche wird Ihnen helfen, einige Anweisungen zu finden, aber wir haben hier eine hilfreiche Liste der beliebtesten Internetkonten zusammengestellt, mit Links zu deren Hilfeseiten, die beschreiben, wie man 2FA aktiviert.
Google: Google unterstützt viele verschiedene 2FA-Methoden und verfügt über eine hilfreiche Website , die beschreibt, wie das alles funktioniert.
Twitter: Twitter ist einer der am häufigsten – und öffentlich-kompromittierten – Konten im Internet. Hier erfahren Sie, wie Sie 2FA für Ihr Konto aktivieren können .
Facebook: Mit über 2 Milliarden Menschen auf Facebook ist es ein enormes Ziel für Hacker. Dieser Hilfe-Artikel zeigt Ihnen, wie Sie 2FA einrichten können .
Instagramm : Instagram hat eine Hilfeseite für 2FA , auf der Sie erfahren, wie Sie es in Ihrem Konto einrichten können.
Amazon: Ihr Amazon-Konto hat wahrscheinlich Zahlungsmethoden, die damit verbunden sind, und ist ein beliebtes Ziel für Diebe, die mit Ihrem Geld einkaufen wollen. Diese Hilfeseite zeigt Ihnen , wie Sie eine zweistufige Verifizierung aktivieren können.
Reddit: Wie alle großen Social-Media-Konten sollten Sie Ihr Reddit-Konto mit 2FA schützen. Hier ist die Hilfeseite , die beschreibt, wie Sie dies tun können.
Microsoft (Xbox) : Sie haben vielleicht Ihr eigenes Microsoft-Konto oder eines für die Arbeit oder beides. Wenn Sie ein Xbox-Konto haben, ist das ein Microsoft-Konto, und es ist ein großes Ziel für Betrüger und Hacker. Hier ist die Seite , die beschreibt, wie Sie 2FA für Ihre Microsoft-Konten aktivieren können.
PlayStation: PlayStation-Spieler werden ihr Konto ebenfalls mit 2FA sichern wollen . Sony unterstützt leider nur Textnachrichten als seine 2FA-Methode. Aber das ist viel besser als nichts.
Nintendo: Ein Nintendo-Konto kann auf einem Switch- oder Wii-System, aber auch in einigen mobilen Nintendo-Applikationen verwendet werden. Wie bei allen Spielkonten sollten Sie 2FA aktivieren, um es zu sperren. Nintendo empfiehlt die Verwendung von Google Authenticator für TOTP-Codes, aber wir haben schon andere Anwendungen verwendet.
Passwort-Manager: Ein Passwort-Manager ist der Torwächter für alle Ihre Passwörter. Wie konnten Sie 2FA darauf nicht aktivieren? Jeder Passwortmanager hat seine eigene Anleitung, wie man 2FA aktiviert, aber hier sind die Hilfeseiten dazu: 1Password , LastPass und Dashlane .
Bankkonten: Wenn jemand online Zugang zu Ihrem Bankkonto erhält, kann er im Grunde genommen Ihr gesamtes Geld mitnehmen. Sie wären verrückt, wenn Sie diese Konten nicht mit 2FA absichern würden.
Es gibt zu viele Banken, Kreditgenossenschaften und Finanzinstitute, um sie alle hier aufzulisten. Stellen Sie einfach sicher, dass Sie 2FA für jeden Ort, an dem Sie Geld speichern oder leihen, aktiviert haben. Vergessen Sie auch nicht die Kreditkartenkonten und den Aktienhandel. Glücklicherweise aktivieren viele Banken heutzutage 2FA standardmäßig – zumindest per E-Mail oder SMS. Aber einige bieten sicherere Optionen an, die Sie vielleicht erforschen möchten.