Sichere Passwörter für alle Konten – keine Ausreden mehr!

Wir haben etwas zu besprechen. Wie loggst du dich in deine Online Konten ein? Hast du ein einziges Passwort für alle oder mehrere Accounts? Oder hast du einen Zettel zuhause, auf dem du alle Passwörter aufgeschrieben hast? Falls du dich angesprochen fühlst, dann musst du jetzt handeln. Sichere Passwörter schützen sowohl dein Geld als auch deine Identität.

In meinen Artikeln schreibe ich über diverse Anbieter, welche ich für Trading und Investments nutze. Da ich über diese Konten viele Transaktionen abwickle, sind darauf dementsprechend ein grosser Teil meines Vermögens deponiert. Dieses Vermögen soll mit den höchsten Sicherheitsmassnahmen geschützt sein.

Es geht hier nicht nur um sichere Passwörter für deine Konten zur Finanzverwaltung. Auch deine sozialen Konten wie Facebook, Instagram und E-Mail halten ein wertvolles Gut: deine digitale Identität. Wer sich dort in deinen Account einloggt, kann als DU agieren und dementsprechend viel Schaden anrichten. Noch dramatischer wird es, wenn dein E-Mail Konto geknackt wird. Schnell können die Angreifer über deinen E-Mail Account alle Passwörter deiner anderen Online Konten zurücksetzen. Und da stehst du jetzt, auf der Strasse mit heruntergelassenen Jeans. Gehen wir es also an, bevor es soweit kommt.

Die Hacker bleiben dran

Hacker versuchen unermüdlich an Benutzerdaten von Websites und Onlineshops zu kommen. Wiederholt ist es ihnen auch gelungen.

Über die Seite haveibeenpwned.com hast du die Möglichkeit, zu überprüfen, ob deine Anmeldedaten mit Passwort bereits in der Hand von Hackern sind. Mich hat es 2013 bei einem Datenleck von Adobe erwischt und ich wusste es nicht. Ich empfehle dir, dies auch auf der Website zu überprüfen.

Screenshot der Seite haveibeenpwned.com. Der Screenshot zeigt, dass die E-Mail Adresse hello@finance-diary.com von keinem Datenleck betroffen ist. Sichere Passwörter sollen auch bei einem solchen Leck schützen.
Screenshot erstellt auf haveibeenpwned.com

Wie helfen gute Passwörter bei einem Datenleck?

Vor Jahren hatte ich einmal mein Passwort für einen Onlineshop vergessen. Als ich dann über die Passwort-Vergessen Funktionalität mein Passwort per E-Mail zugeschickt bekam, wurde ich stutzig. Gibt es ein Datenleck, müssen Angreifer überhaupt keinen Aufwand betreiben, sich in mein Konto einzuloggen. Das Tor steht somit weit offen.

Inzwischen hat der Onlineshop diese Sicherheitslücke geschlossen. Alle Passwörter sichert der Anbieter verschlüsselt in der Datenbank ab – und das ist standard.

Wenn du dich nun mit deinem Passwort einloggst, verschlüsselt die Applikation dein eingegebenes Passwort und vergleicht die Zeichen mit denen, welche in der Datenbank hinterlegt sind. Stimmen die beiden Zeichenketten überein, wird deine Anmeldung akzeptiert.

Je länger und komplexer deine Passwörter, desto schwieriger sind sie zu entschlüsseln.

Schaffen es nun Angreifer die Anmeldedaten zu entwenden, sind sie somit «nur» in Besitz der verschlüsselten Passwörter. Um sich in deinen Konten anzumelden, müssen sie die erbeuteten Passwörter zuerst entschlüsseln. Bei kurzen Passwörtern ist das innert Sekunden möglich. Bei langen Passwörtern dauert das schnell Jahre bzw. Jahrhunderte.

Ein sehr spannender Artikel mit praktischen Beispielen hat die Computerwoche aufgestellt. Der Artikel ist zwar aus dem Jahr 2010, die Thematik aber immer noch brandaktuell: Passwort vergessen? So knacken Sie es!

Sichere Passwörter dank Passwort Manager

Leute, die sich noch nicht gross mit dieser Thematik auseinandergesetzt haben, denken immer, sie müssen alle ihre Passwörter auswendig wissen. Wir vertrauen auf so viele Applikationen in der digitalen Welt. Wieso soll nicht ein Passwortmanager diese mühsame Thematik für uns übernehmen?

Es gibt diverse Passwortmanager. Ich persönlich nutze den gratis Passwortmanager SafeInCloud (safe-in-cloud.com), den ich auf meinem Smartphone und Laptop installiert habe.

SafeInCloud Passwort Manager

Letztendlich funktionieren alle Passwortmanager ähnlich. Deshalb möchte ich die Vorteile hier anhand der SafeInCloud Applikation vorstellen.

Login Ansicht des SafeInCloud Passwort Managers.

In den Manager loggst du dich mit deinem Masterpasswort ein, welches du bei der Installation definieren musstest. Ich empfehle dir hier auch nicht ein zu einfaches Passwort zu nehmen. Da die Software aber nicht aus dem Internet einfach so geöffnet werden kann, sind deine Passwörter auch nicht gross den Risiken von Hackern ausgesetzt. Sofern du keinen Trojaner auf deinem Computer hast natürlich.

Bist du eingeloggt, kannst du ein Login speichern. Ich empfehle dir dringend, jedesmal beim Erstellen eines Online Kontos deinen Passwort Manager beizuziehen. Denn du hast dort die Möglichkeit, über den integrierten Passwort Generator ein sicheres Passwort zu erstellen.

Login mit SafeInCloud Passwort Manager erstellen. Als Beispiel wird ein Login für Amazon erstellt für den Benutzer jon.doe@gmail.com. Anhand des integrierten Passwort Generators können gute Passwörter generiert werden.

Hast du das Login erstellt, kannst du über das SafeInCloud Chrome Plugin auf der Website das Anmeldeformular automatisch ausfüllen lassen.

Ansicht vom Login auf amazon.com. Durch einen Klick auf das SafeInCloud Chrome Plugin wird das Eingabefeld automatisch ausgefüllt.

Ein Klick auf das SafeInCloud Icon oben rechts genügt und das Passwort befindet sich im Eingabefeld.

Du hast alternativ natürlich auch die Möglichkeit, die Login Daten direkt aus dem Passwort Manager zu kopieren.

Wie sicher sind Passwort Manager?

Die Reaktion von Bekannten, denen ich den Passwort Manager vorstelle, lautet oft, dass das doch unsicher sei: «Alle Passwörter an einem Ort, und das noch digital? Dem traue ich nicht.»

Vergleichen wir einmal die beiden Optionen:

  • Einfache Passwörter, welche du auswendig kennst, für alle Accounts
  • Ein Passwort Manager, der alle deine sicheren Passwörter gespeichert hat und nur über deinen Computer zugegriffen werden kann.

Was ist sicherer? Ich denke, die Antwort ist offensichtlich.

Zwei-Faktor-Authentisierung für maximale Sicherheit

Wenn du jetzt einen Passwort Manager installiert hast, dann hast du bereits einen grossen Schritt gemacht. Leider hört die maximale Sicherheit allein mit sicheren Passwörtern nicht auf.

Die meisten Online Portale bieten für die Konten ihrer Benutzer auch eine Zwei-Faktor-Authentisierung (2FA) an. Dabei muss der Benutzer nach dem Anmelden mit Benutzername und Passwort einen zweiten Faktor eingeben.

Ich habe das als erstes im E-Banking kennengelernt. Damals war man sich des Wertes seiner anderen Online Konten noch nicht so bewusst. Je mehr sich das Leben aber in die digitale Welt verlagert, erhalten die Daten deiner Onlinekonten auch mehr an Wert. Onlineshops und andere Online Portale haben die Bestätigung in zwei Schritten erst nach und nach eingeführt. Eine 2FA habe ich bereits in diversen Formen angetroffen:

  • E-Mail mit Verifizierungscode
  • SMS mit Verifizierungscode
  • Google Authenticator App

Aktiviere die Bestätigung in zwei Schritten wo immer du kannst!

Ziel dieser Verifizierungscodes ist es, dass Angreifer alleine mit deinem Passwort nicht mehr in dein Konto gelangen können. Gelingt es den Hackern dein Passwort zu entschlüsseln, gelangen sie somit immer noch nicht in dein Konto, da sie nicht in Besitz deines Smartphones oder E-Mail Kontos sind.

2FA mit physischem Schlüssel

Im Bereich von Kryptowährungsplattformen bin ich von Grund auf skeptisch. Zu oft hört man über den Diebstahl von grossen Geldbeträgen. Aus diesem Grund habe ich mich auf Binance, Coinbase und co. sowie meinem E-Mail Konto dafür entschieden, als zweiten Faktor einen physischen USB Schlüssel zu verwenden.

Betrachten wir einmal das folgende Szenario:

  • Du erhältst eine Phishing E-Mail mit einem Link auf ein Login Formular.
  • Da die E-Mail wie von Binance aussieht und du dort auch ein Konto hast klickst du auf den Link.
  • Das Login Formular sieht exakt gleich aus wie das echte von Binance.
  • Du gibst deinen Benutzernamen und dein Passwort ein -> Die Angreifer haben jetzt deine Login Daten
  • Da die Angreifer wissen, dass du den Google Authenticator verwendest, gaukeln sie dir vor, dass du den Authentifizierungscode vom Authenticator eingeben musst.
  • Du gibst den Code ein.
  • Da der Code nur über eine kurze Dauer gültig ist, melden sich die Angreifer sofort auf deinem Konto samt Verifizierungscode an.

Du siehst, dass man mit sicherem Passwort und Verifizierungscode als zweiten Faktor nicht vor allen Angriffen geschützt ist. Hast du aber als zweiten Faktor einen USB Schlüssel konfiguriert, musst du in dessen physischen Besitz sein. Da kann mit Phishing nichts mehr erreicht werden.

Zufälligerweise bin ich einen Tag nach Abschluss dieses Artikels auf einen neuen Beitrag von finanzen.ch gestossen, der genau einen solchen Vorfall mit mehreren Tausend Betroffenen beschreibt: Schwachstelle ausgenutzt: Tausende Coinbase-Konten von Hackern geknackt

Bild des Google Titan Key. Ausführung als USBc Schlüssel.
Google Titan Key

Es gibt verschiedene Anbieter für solche Schlüssel. Sehr bekannt ist Yubico (yubico.com). Ich habe mich aber für den Titan Key von Google entschieden (store.google.com) und die Anmeldung funktioniert immer einwandfrei.

Fazit

Wie oben bereits bereits erwähnt, verlagert sich das Leben immer mehr in die digitale Welt, ob gewollt oder nicht. Deshalb ist es sehr wichtig, dass man sich regelmässig mit der Sicherheit seiner Benutzerkonten auseinandersetzt. Zu oft habe ich in meinem Bekanntenkreis gesehen, dass man lieber die Augen davor verschliesst anstatt sich damit zu befassen. Deshalb empfehle ich dir, sofort zu handeln, falls ich mit diesem Artikel einen wunden Punkt getroffen habe.

Da du nun genügend geschützt bist, kannst du dich auf die vielversprechenden Plattformen stürzen. Wie wäre es mi 12% Zinsen auf Nexo? Geld anlegen und vermehren: 12% mit Zinseszinses…zins