Der erste Donnerstag im Mai ist ein besonderer Tag. Seit über einem Jahrzehnt wird dieser Tag als Welt-Passwort-Tag gefeiert. Für uns bei Kaspersky ist dies ein wichtiges Ereignis. Wir veranstalten jedoch keine Party, sondern erinnern noch einmal an eine unheimlich wichtige Sache im Leben. Richtig, das sind Passwörter! Unsere Themen: Wie erstellst du starke Passwörter, wo bewahrst du sie sicher auf und warum ist so etwas wie „qwertz12345“ absolut ungeeignet.
Diese Aspekte sind sehr wichtig, denn viele Nutzer verlassen sich immer noch auf schwache und mehrfach verwendete Passwörter, die leicht zu erraten sind und immer wieder in die Hände von Hackern geraten. Warum das passiert und was man dagegen tun kann – darüber sprechen wir heute.
Wie entdecken wir Datenlecks?
Eine Schlüsselrolle spielt unser globales Netzwerk für Bedrohungsinformationen – Kaspersky Security Network (KSN). Es sammelt und analysiert Daten über Cyberbedrohungen aus der ganzen Welt. Dabei werden die meisten Daten anonym und freiwillig von unseren Kunden bereitgestellt. Diese anonymisierten Daten werden von unseren Algorithmen für maschinelles Lernen (KI) und menschlichen Experten analysiert, sodass wir schnell auf neu aufgetauchte Cyberbedrohungen reagieren können: Im Durchschnitt vergehen zwischen dem Auftreten einer neuen Bedrohung und der Bereitstellung von Informationen an die KSN-Teilnehmer nur 40 Sekunden!
Dank Kaspersky Security Network wissen wir, dass es im Jahr 2023 über 32 Millionen versuchte Angriffe auf die Passwörter von KSN-Nutzern gab. 2022 war die Zahl sogar noch höher – satte 40 Millionen. Dies bedeutet, dass weltweit mehrmals pro Sekunde versucht wird, Passwörter zu hacken! Darüber hinaus haben unsere Untersuchungen von Ende 2023 gezeigt, dass Angriffe nicht nur Privatanwender betreffen – auch Unternehmen sind alles andere als immun. 76 % der befragten Kleinunternehmen waren in den letzten zwei Jahren mindestens einmal mit einem Cybervorfall konfrontiert. Dabei hing fast ein Viertel der Angriffe (24 %) mit schwachen, mehrfach genutzten oder alten Passwörtern zusammen.
So überprüfen wir deine Daten
Wir verwenden drei Methoden, um zu überprüfen, ob deine Daten und Passwörter kompromittiert wurden:
- Nach der E-Mail-Adresse für die Nutzer von Kaspersky Standard, Kaspersky Plus und Kaspersky Premium. Es ist ganz einfach: Du gibst in der App die E-Mail-Adressen ein, die du und deine Liebsten für Online-Konten verwenden. Wir informieren dich, wenn deine persönlichen Daten oder Passwörter ins Internet oder ins Darknet gelangt sind. Dabei kannst du sicher sein, dass unsere App die kompromittierten Daten nicht erfasst oder speichert, sondern nur Informationen über deren Typ bereitstellt. Wir warnen dich bei einer Datenschutzverletzung – egal, ob es um Passwörter, Privatadresse, Personalausweis- oder Reisepassdaten, Bankkartennummern oder eine Kombination aus solchen Daten geht. Aber wir benachrichtigen dich nicht nur. Unsere Cybersicherheitsexperten beraten auch umfassend zu den geeigneten Maßnahmen, da je nach Art eines Datenlecks unterschiedliche Reaktionen erforderlich sind.
- Nach der Telefonnummer für die Nutzer von Kaspersky Passwort Manager. Diese Methode funktioniert ähnlich wie die E-Mail-Überprüfung, konzentriert sich jedoch auf Benutzerkonten, die nicht mit E-Mail-Adressen verknüpft sind, sondern mit Telefonnummern. Diese Benutzerkonten gehören oft zu „seriöseren“ Diensten wie Banken, Behörden und großen Online-Marktplätzen, bei denen Datenlecks schwerwiegende Folgen haben können. Du musst nur deine Telefonnummer in der App angeben. Dann können wir überprüfen, ob es entsprechende Datenlecks gibt. Neben deiner Telefonnummer kannst du auch die Nummern deiner Familienmitglieder und Verwandten überprüfen. Das Beste daran ist: Du musst die E-Mail-Adressen und Telefonnummern nur ein einziges Mal eingeben. Danach durchsuchen wir das Web kontinuierlich nach Datenlecks. Wenn deine Daten offengelegt werden, erhältst du unverzüglich eine Benachrichtigung mit Tipps zum weiteren Vorgehen.
- Durch einen speziellen Algorithmus in Kaspersky Passwort Manager. Bei den beiden oben genannten Methoden werden alle möglichen Szenarien für Datenlecks überprüft. Im Gegensatz dazu konzentriert sich unser Passwort Manager auf die Analyse der gespeicherten Passwörter. Wir können dir sogar offline ganz genau sagen, welche deiner Passwörter schwach sind oder mehrfach verwendet werden und welche ausreichend stark sind. Außerdem gleicht Kaspersky Passwort Manager alle deine Passwörter regelmäßig mit Datenbanken für kompromittierte Anmeldedaten ab und benachrichtigt dich, wenn etwas Verdächtiges gefunden wird.
Und noch etwas: Mit unserem Online-Dienst zur Passwortprüfung kannst du feststellen, ob ein Passwort kompromittiert wurde. Gib einfach das Passwort ein, das du checken möchtest, und das System sagt dir, wie oft es in geleakten Datenbanken vorkommt und ob es als sicher gilt.
Diese Methode hat jedoch einen Nachteil gegenüber den drei oben genannten: Die Überprüfung muss manuell durchgeführt werden, während sich Kaspersky Passwort Manager, Kaspersky Plus und Kaspersky Premium automatisch im Hintergrund um Datenlecks kümmern.
Speichert Kaspersky die Passwörter aller seiner Nutzer? Ganz und gar nicht. Kein einziger Mitarbeiter des Unternehmens – weder ein Entwickler, Analyst, Redakteur, Designer noch Eugene Kaspersky selbst – hat Zugriff auf deine sensiblen Daten. Unsere Zero-Knowledge-Richtlinie haben wir hier bereits ausführlich besprochen. Im Folgenden erklären wir, warum wir nicht auf deine in Kaspersky Passwort Manager gespeicherten Passwörter zugreifen können.
Warum ist das Speichern von Passwörtern in Kaspersky Password Manager einfacher und sicherer?
Es ist riskant, wenn du alle deine Passwörter auswendig lernst oder sie beispielsweise in Notizen-Apps aufbewahrst Kaspersky Passwort Manager wurde speziell für diesen Zweck entwickelt. Die App generiert und speichert sichere und einmalige Passwörter, gibt Passwörter automatisch auf Websites und in Apps ein, überprüft, ob sie kompromittiert wurden, und generiert Codes zur Zwei-Faktor-Authentifizierung.
Wir erklären etwas vereinfacht, wie Kaspersky Passwort Manager funktioniert. Alle deine Passwörter werden in einem Datentresor gespeichert, der mit dem symmetrischen AES-256-Algorithmus verschlüsselt ist. Dieser Verschlüsselungsstandard wird von der amerikanischen Sicherheitsbehörde NSA als stark genug eingestuft, um sogar Staatsgeheimnisse zu speichern. Der Chiffrierschlüssel ist dein Master-Passwort, das du beim Einrichten der App festlegst. Jedes Mal, wenn du auf den Datentresor zugreifst, fragt Kaspersky Passwort Manager dieses Passwort ab und verwendet es zum Entschlüsseln der Daten.
In deinem Datentresor kannst du nicht nur Passwörter aufbewahren, sondern auch andere wichtige Daten wie beispielsweise Bankkartennummern, gescannte Dokumente und Notizen. Deine vertraulichen Daten werden in verschlüsselter Form „streng geheim“ gespeichert und zwischen all deinen Geräten synchronisiert.
Dieses Sicherheitsniveau geht weit über die Speicherung von Passwörtern in Browsern hinaus. Unsere Empfehlung: Deaktiviere die dauerhafte Speicherung von Passwörtern in deinem Browser – gespeicherte Passwörter können nämlich in Sekundenschnelle aus dem Browser extrahiert werden.
Der Zugriff auf den verschlüsselten Datentresor in Kaspersky Passwort Manager ist nur über dein Master-Passwort möglich. Wir kennen dieses Passwort nicht und speichern es nirgendwo. Solltest du es vergessen, ist der Inhalt des Datentresors unwiederbringlich verloren und du musst einen neuen Tresor erstellen. Dieser Ansatz gewährleistet ein Höchstmaß an Sicherheit: Selbst wenn ein Hacker Zugriff auf den verschlüsselten Datentresor von [placeholder KPM] erhalten sollte, kann er deine Passwörter, Bankkartendaten oder andere gespeicherte Dokumente nicht entschlüsseln.
Wie können wir deine Passwörter auf Datenlecks überprüfen, wenn wir sie gar nicht kennen?
Hier kommt ein sicherer Hash-Algorithmus (SHA-1) zum Einsatz. Damit wird aus bestimmten Daten ein Hashwert erstellt – eine binäre Zeichenfolge mit fester Länge, die für diese Daten einmalig ist. Das Passwort „qwerty12345“ würde in der „SHA-1-Sprache“ beispielsweise so aussehen: 4e17a448e043206801b95de317e07c839770c8b8.
Identische Passwörter erzeugen immer denselben Hash, und wenn zwei Hashes übereinstimmen, stimmen auch die zugrundeliegenden Passwörter überein. In KSN sind die berechneten Hashwerte für alle bekannten gehackten und kompromittierten Passwörter gespeichert. Um dein Passwort zu überprüfen, berechnen wir seinen Hash lokal auf deinem Gerät, senden dann nur die erste Hälfte dieses Werts an die Kaspersky-Server und können so alle Hashwerte von kompromittierten Passwörtern mit identischem Beginn finden. Diese Hashwerte werden an dein Gerät zurückgesendet, wo jeder mit dem gesamten Hashwert deines Passworts verglichen wird. Wird eine exakte Übereinstimmung gefunden, so wurde dein Passwort kompromittiert.
Wir kennen deine Passwörter also nicht – sie verlassen dein Gerät nie in unverschlüsselter Form. Theoretisch wäre es möglich, das ursprüngliche Passwort aus seinem Hash wiederherzustellen, aber vollständige Hashwerte deiner Passwörter werden niemals von deinem Gerät gesendet! Nur Fragmente davon gehen zum Abgleich an die KSN-Server. Und das ursprüngliche Passwort aus einem Teil seines Hashs wiederherzustellen, ist schlicht unmöglich. Daher ist es absolut sicher, deine Passwörter auf Datenlecks zu überprüfen.
So erstellst du ein Master-Passwort
Mit Kaspersky Passwort Manager musst du dir nur ein einziges Passwort merken – dein Master-Passwort. Die App verwendet das Master-Passwort, um deine Daten im Tresor zu verschlüsseln. Darum muss das Master-Passwort möglichst stark sein. Wenn du „qwerty12345“ als Master-Passwort verwendest, könntest du auch deine Wertsachen in einen Safe legen und den Schlüssel einfach im Schloss stecken lassen. Es ist nicht schwierig, ein starkes und einprägsames Passwort zu erstellen. Hier findest du einen Tipp:
Denke an einen Lieblingssatz, ein Zitat oder einen Liedtext. Nimm einen Buchstaben (nicht unbedingt den ersten!) oder eine Kombination von Buchstaben aus jedem Wort der Phrase und füge Sonderzeichen dazwischen ein. Ersetze einige Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen.
Zum Beispiel:
„Möge die Macht mit dir sein“ – M@g3!d!M8!m!d!$
Ein gutes Passwort muss nicht unbedingt viele komplizierte Sonderzeichen enthalten. Es muss nur resistent gegen das Knacken sein. Teste dein neu erstelltes Passwort mit unserem Online-Dienst Passwort Checker. Wenn das Passwort als sicher bestätigt wird, kannst du es als Master-Passwort für Kaspersky Passwort Manager verwenden. Du musst dir nur dieses einzige Passwort merken, da unser Passwort Manager alle anderen Passwörter für Websites und Apps erstellt, speichert und automatisch ausfüllt.
Wenn du dir lieber alle Passwörter merken möchtest, verwende die Kombination, die du dir ausgedacht hast, und füge für jeden Dienst und jede Website eine einprägsame „Erweiterung“ hinzu. Dadurch stellst du sicher, dass alle deine Passwörter einmalig sind. Für diese Methode haben wir eine ausführliche Anleitung verfasst. Noch ein Tipp gefällig? Viele Dienste, darunter auch Kaspersky Passwort Manager, erlauben das Erstellen von Passwörtern mit Emojis und Emoticons.
Kurz und gut
- Verwende einen zuverlässigen Schutz. Dadurch ist gewährleistet, dass deine Passwörter und andere sensible Daten sicher sind.
- Erstelle einprägsame Passwörter. Mit dieser Technik kannst du Passwörter erstellen, die sowohl kryptografisch sicher als auch leicht zu merken sind.
- Speichere Passwörter in einem Passwort Manager. Du erstellst und merkst dir ein kryptografisch sicheres Master-Passwort – und wir schützen damit alle deine wertvollen Daten.
- Verwende ein Passwort nicht für mehrere Dienste und Websites. Wenn in einem Dienst ein Datenleck auftritt, könnten Hacker dein Passwort erfahren und es wäre ein Kinderspiel für sie, auch deine anderen Accounts zu kompromittieren. Einmalige Passwörter sind die beste Wahl – die Gründe erfährst du hier.
- Aktiviere die Zwei-Faktor-Authentifizierung (2FA), wo immer möglich. Dies verleiht deinen Benutzerkonten eine zusätzliche Sicherheitsebene. Selbst wenn dein Passwort kompromittiert ist, verhindert der einmalige 2FA-Code einen unbefugten Zugriff. In Kaspersky Passwort Manager kannst du sogar 2FA-Token speichern und Einmalcodes generieren.