- Online-Abrechnung
- Software
- Preise
- Für wen?
- Wissen
- Blog
Insbesondere dann, wenn sensible Daten zu Patient:innen, Kund:innen und Mitarbeiter:innen in der Cloud gespeichert werden, ist eine sichere Anmeldung in die Cloud-Software extrem wichtig. Wir von DMRZ.de setzen auf ein mehrstufiges Anmeldeverfahren. Dazu gehört auch, den Zugang zum Onlinekonto mit einem sicheren Passwort zu schützen. Wir geben ein paar Tipps, worauf Du bei der Erstellung von Verwaltung von Passwörtern achten solltest.
1. Keine Worte oder simplen Buchstaben- oder Zahlenfolgen
12345678, password, qwerty, 111111: Das sind laut des Hasso-Plattner-Instituts einige der beliebtesten Passwörter – und sind deshalb auch leicht zu knacken. Auch sind Familiennamen, Geburtsdaten oder einzelne Begriffe aus Wörterbüchern nicht zu empfehlen. Stattdessen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) raffinierte Eselsbrücken: Beispielsweise denkst Du Dir einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder alternativ den 2. oder letzten). Aus einem Satz wie „Jeden Tag esse ich ein Apfel und trinke drei Becher grünen Tee“ wird dann „JTeieAutdBgT“. Zusätzlich werden einzelne Worte wie Zahlen zu Ziffern und Begriffe wie „und“ zu passenden Symbolen umwandeln. Das Passwort würde dann z. B. „JTei1A+t3BgT“ lauten. Die folgenden Tipps machen so eine Passwortphase zusätzlich sicherer.
2. Nutze Sonderzeichen, Großbuchstaben und Zahlen
Gute Passwörter bestehen aus einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Beispielsweise für DMRZ.de muss Dein Passwort drei dieser vier Kriterien erfüllen, um für die Registrierung sicher genug zu sein. Umlaute sind übrigens auch gut, aber nicht zu empfehlen, wenn man gelegentlich auch mal eine ausländische Tastatur nutzt. Außerdem empfiehlt das BSI, Sonderzeichen oder Zahlen nicht einfach nur am Ende eines Passworts anzuhängen. Stattdessen solltest Du eher von Leetspeak Gebrauch machen: Darunter bezeichnet man die Methode, wo Buchstaben gegen ähnlich aussehende Sonderzeichen oder Zeichen getauscht werden. Beispielsweise wird aus einem „i“ oder „l“ eine „1“ oder ein „!“, aus einem „k“ ein „|<“ oder aus einem „A“ eine „4“ oder ein „@“. Das weiter oben erstellte Passwort könnte beispielsweise dann so aussehen: „JT€!14+t3&gT“.
3. Je länger, desto besser
Kurze Passwörter lassen sich mit einer entsprechenden Hackersoftware ruckzuck knacken. Das Cybersicherheitsunternehmen Hive Systems hat ausgerechnet, dass sich z. B. vierstellige Passwörter innerhalb weniger Sekunden knacken lassen – selbst dann, wenn diese aus vielen komplexen Zeichen bestehen. Doppelt so lange Passwörter mit gleich komplexer Struktur würde schon acht Stunden beanspruchen, bis eine Software diese knacken könnte. Und für drei Mal so lange Passwörter – also mit zwölf Zeichen – bräuchte man schon 34.000 Jahre! Also Du siehst: Mit jedem weiteren Zeichen wird ein Passwort um ein Vielfaches sicherer. Übrigens: Zwölf Zeichen sind auch bei den Passwörtern für DMRZ.de absolutes Minimum.
4. Halte Deine Passwörter geheim
Solltest Du Deine Passwörter irgendwo notieren, dann gehe sicher, dass der Ort geschützt ist. Ein Zettel am PC oder in der Brieftasche ist fahrlässig. Auch solltest du keine ungeschützten Passwortlisten auf Smartphone oder dem Computer führen. Das BSI gibt Tipps, für das sichere Verwalten von Passwörtern. Außerdem hat die Stiftung Warentest Passwort-Manager getestet.
5. Nutze jedes Passwort nie mehr als einmal
Ja, es ist verführerisch, ein und dasselbe Passwort für mehrere Nutzer:innenkonten zu nutzen. Aber aufgrund von Datenleaks, also geklauten und offengelegten Daten von schlecht gesicherten Unternehmen, gelangen nicht selten Passwörter an die Öffentlichkeit. Und meist sind auch Daten wie Mailadressen und Benutzerinnen:namen in den veröffentlichten Listen dabei. Es wäre mehr als fahrlässig, so ein Passwort mehrfach einzusetzen. Und dass jede:r von solche Datenlecks betroffen sein kann, ist nicht unwahrscheinlich. Laut des Hasso-Plattner-Instituts werden täglich rund 1,5 Millionen Accounts geleakt.
6. Single-Sign-On eher skeptisch betrachten
Auch wenn DMRZ.de das nicht anbietet, schadet es nicht, das Thema „Single-Sign-On“ hier kurz zu erwähnen. Dabei handelt es sich um die Login-Option, sich über einen anderen Webdienst – wie z. B. Facebook oder Google – für eine Cloud-Software zu registrieren. Das ist im ersten Blick bequem, da man weniger Passwörter und dergleichen merken muss. Stattdessen wird der Login zentral bei Facebook und Co. verwaltet. Was aber, wenn jemand den Zugang zu diesem Webdienst klaut? In diesem Fall könnte der:die Dieb:in auch sämtliche Accounts kontrollieren, die mit diesem Anmeldeverfahren verknüpft sind. Außerdem besteht bei „Single-Sign-On“ die Gefahr, dass die Webdienste noch mehr als eh schon das Surfverhalten beobachten und auswerten. Aus Datenschutzgründen steht z. B. die Verbraucherzentrale dem „Single-Sign-On“ mehr als kritisch gegenüber.
7. Verschicke keine Passwörter per SMS, Messenger oder E-Mail
Einem Mitarbeiter mal eben ein Passwort mailen oder sich selbst zur Erinnerung eine SMS schicken: Das Versenden von Passwörtern ist ein hohes Sicherheitsrisiko und sollte am besten komplett vermieden werden.
8. Sichere vor allem Deine Mailkonten ab
Das beste Passwort bringt nichts, wenn die Mailkonten, die bei der Registrierung einer Cloud-Software verwendet wurden, schlecht geschützt sind. Wer Zugriff auf Mailpostfächer oder das E-Mail-Programm hat, kann mithilfe von Mails zur Passwort-Wiederherstellung die Kontrolle über ein Nutzer:innenkonto erhalten. Deswegen gehe sicher, dass Mailaccounts starke Passwörter haben und Mailprogramme und -Apps gut abgesichert sind. Smartphones, Tablets und Computer sollten immer durch ein Passwort geschützt sein.
9. Und weiterhin empfohlen: 2-Faktor-Authentisierung
Die Zwei-Faktor-Authentisierung haben wir bereits in den letzten Artikeln zum Thema Sicherheit hervorgehoben. Aber auch mit Blick auf sichere Passwörter kann Zwei-Faktor-Authentisierung – z. B. wie bei DMRZ.de über ein TAN-Verfahren – nicht hoch genug gelobt werden. Ein zweiter Faktor beim Anmelden auf ein Benutzerkonto macht den Zugang noch sicherer. Und verstärkt damit den Schutz durch ein sicheres Passwort um ein Vielfaches.
Zum Schluss noch ein Tipp, der kein Tipp ist
Lange Zeit galt die Sicherheitsregel, Passwörter regelmäßig zu wechseln. Von diesem Rat hat sich das BSI längst verabschiedet. Und einstige wahnwitzige Empfehlungen, Passwörter idealerweise alle 90 Tage zu erneuern, wurden längst revidiert. Wenn wenn Du Deine Passwörter viel zu oft wechselst, besteht die Gefahr, dass Du Gefahr läufst, bei den ständigen Erneuerungen den Überblick verlierst. Auch neigen manche dann dazu, ihre Passwörter so einfach wie möglich zu machen, um diese sich besser merken zu können.
Worin sich aber alle einig sind: Ist ein Datenleak bekannt oder wurde dein Mailaccount gehackt oder ein technisches Gerät geklaut, dann solltest Du nicht lange zögern – und deine Passwörter schnellstmöglich ändern.
Demnächst werden wir im Blog genauer auf das Thema Datenschutz eingehen – und warum dieser so wichtig ist.