DiFü-logo
Start Start
Bitte trage eine gültige E-Mail-Adresse ein.
Bitte trage dein Passwort ein.
Passwort vergessen?

Mit einer registrierten E-Mail-Adresse kannst du deinen Fortschritt speichern.

Bitte trage eine gültige E-Mail-Adresse ein.
Bitte trage ein Passwort ein.

Für die Ausstellung von Zertifikaten benötigen wir zusätzlich deinen Namen und dein Geburtsdatum.

Bitte trage einen Namen ein.
Bitte bestätige unsere AGB um fortzufahren.

D3 | Log-ins und Passwörter

Hier erfährst du alles zu sicheren Passwörtern, zur Zwei-Faktor-Authentisierung und zu Hilfsmitteln, die dir den Umgang mit vielen Passwörtern erleichtern.

  • Reihe von Sternchen, die ein verstecktes Passwort symbolisieren.

    Kriminelle Hacker knacken einfache Passwörter wie „12345“ oder „Michael“ in Bruchteilen von Sekunden. Doch was ist ein sicheres Passwort eigentlich? Das ist schnell erklärt. Es ist:

    Du solltest unterschiedliche Passwörter für verschiedene Konten nutzen – also verwende nicht das Passwort vom Online-Shop auch für das soziale Netzwerk. Das ist wichtig. Denn sollte tatsächlich mal jemand dein Passwort erraten, bleibt es zumindest bei einem gehackten Konto.

    Bis zu zehn Zeichen werden empfohlen, gerne mehr.

    Es enthält unterschiedliche kleine und große Buchstaben, Sonderzeichen und Zahlen. Ersetze Buchstaben nicht mit ähnlich aussehenden Sonderzeichen, also zum Beispiel nicht das „S“ mit „$“. Auch das Rückwärtsschreiben von Wörtern ist Hackern als Methode bekannt.

    Es handelt sich nicht um Wörter aus Wörterbüchern, nicht um Zahlenfolgen (also nicht um deinen Geburtstag) und auch nicht um gängige Wiederholungs- oder Tastaturmuster wie z. B. „asdfgh“ oder „qwertz“. Nutze Fantasiewörter oder Dialekte, die kein Wörterbuch kennt.

    Verwende die Passwörter, die du für private Accounts nutzt, nicht für Zugänge zu beruflichen Konten. Bei einem Hack deiner privaten Accounts gefährdest du sonst dein Unternehmen oder bei einem Hack in die Server deines Unternehmens gelangen deine privaten Daten in die Hände von Kriminellen.

    Nutze den Identity Leak Checker des Hasso-Plattner-Instituts oder haveibeenpwned, um deine Accounts zu überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält die Betreiber der Websites für vertrauenswürdig.

    Wer ein iPhone hat, kann auch in den Einstellungen prüfen, ob eigene Accounts gehackt wurden.

  • Natürlich ist es schwer sich lange, komplizierte Passwörter zu merken – vor allem wenn es sich nicht nur um eins handelt! Hier sind ein paar praktische Tipps, wie es doch klappt:

    Nutze die Merksatzmethode
    Wähle einen Satz, den du dir gut einprägen kannst, und gib die Anfangsbuchstaben der Wörter ein. Ein Beispiel: „Ich esse gerne 3 Stückchen Pizza mit 2 Sorten se, plus 1 Wein“. Das ergibt: „Icesge3StPimi2SoKä,+1We“.

    Ergänze das Passwort für weitere Accounts
    Für den nächsten Account kannst du das Passwort dann einfach ergänzen. Bei YouTube kannst du so zum Beispiel „Icesge3StPimi2SoKä,+1We&YT“ als Passwort nutzen und bei Amazon „Icesge3StPimi2SoKä,+1We&Az“.

    Auf einem Teller liegen drei Pizzastücke. Dahinter ist Käse und eine Flasche Rotwein zu sehen. Unter dem Teller steht Icesge3StPimi2SoKä,+We
  • Ein Schlüssel.

    Zahlreiche Browser bieten dir an, deine Passwörter zu speichern. Hier gilt: lieber nicht. Im Browser sind sie ungeschützt und somit nicht sicher. Stattdessen könntest du Passwortmanager nutzen. Das sind entweder Apps oder Plug-ins, die deine Log-in-Daten automatisch ausfüllen. Der Zugriff auf die Passwörter erfolgt über ein Master-Passwort. Das muss natürlich besonders sicher sein.

    Vor- und Nachteile

    Passwortmanager sind auf jeden Fall sicherer als Post-its an den Monitor zu kleben oder einen Zettel in der Schreibtischschublade zu deponieren. Auch kannst du mit ihnen ausreichend komplexe Passwörter für diverse Websites erstellen und gerätst trotzdem nie ins Stocken. Gerade mit mehreren Kolleg:innen können nun auch Passwörter zentral eingesehen und geteilt werden, sodass sich der unsichere Versand von Passwörtern per E-Mail, Messenger oder SMS erledigt hat.

    Andererseits darfst du auf keinen Fall dein Master-Passwort vergessen. Und es liegen nun all deine Passwörter in einer Cloud des Passwortmanagers. Deshalb solltest du dich unbedingt über die Sicherheitsmaßnahmen des Anbieters informieren und ob die Server in Europa stehen. (Möchtest du deine Passwörter mit niemandem teilen, kannst du auf rein lokale oder portable Passwortmanager zurückgreifen.)

    Bekannte Passwortmanager heißen Enpass, 1Password, Keeper, Dashlane, LastPass, Keepass und NordPass. Alle diese Programme findest du im Netz und kannst sie für deinen Windows-PCs oder für deinen Mac herunterladen und installieren. Es gibt sie auch als App im Google Play Store und im Apple Store. Für Apple-Geräte wird der Passwortmanager mitgeliefert. Er heißt „Schlüsselbund“ und ist in den Einstellungen zur iCloud zu finden.

  • Viele Online-Anbieter bieten die Zwei-Faktor-Authentisierung (2FA) an, um Hackern den Zugang zu deinen Konten zu erschweren. Wie der Name schon andeutet, haben Log-ins mit 2FA zwei Komponenten oder Faktoren: dein Passwort und zum Beispiel einen weiteren Code. Dein Passwort ist fest, der Code wird bei jedem Log-in neu generiert und dir zugeschickt. Hier ist eine Übersicht der Möglichkeiten:

    Per SMS
    Du bekommst eine SMS mit dem Code auf dein Smartphone gesendet. In der Regel ist es ein Zahlencode, den du dann mit eingeben musst. Achte darauf, Berufliches vom Privaten zu trennen. Verwende nicht dein Diensthandy, um dich in Privat-Accounts einzuloggen.

    Per Anruf
    Du bekommst einen Anruf, bei dem dir der zweite Code angesagt wird. Schreib ihn einfach mit und gib ihn dann ein.

    Per Authenticator-App
    Nutzt du eine Authenticator-App, meldet sich diese bei Anmeldeversuchen automatisch und verlangt eine Bestätigung per Button. Du musst also keinen zweiten Code eingeben, sondern tippst auf deinem Smartphone einfach nur auf „Bestätigen“. Im Vorfeld muss die App allerdings installiert und mit deinem Account verknüpft werden. Achte darauf, Berufliches vom Privaten zu trennen. Bestätige Zugänge zu deinen Privat-Accounts nicht mit dem Diensthandy.

    Mit Gesichtserkennung
    Manche Smartphones und Tablets erlauben den zusätzlichen Log-in per Gesichtserkennung. Beim iPhone heißt das „Face ID“. Nachdem man sich mit dem Passwort eingeloggt hat, verlangt das iPhone, dass du dein Gesicht in die Kamera hältst und in wenigen Millisekunden bist du im Konto. Hacker haben so keine Chance.

    Mit Fingerabdrucksensor
    Neben der Gesichtserkennung gibt es auch Laptops und Handys mit Fingerabdrucksensor. Dabei legst du deinen Finger auf die dafür vorgesehene Stelle und erhältst Zugang.

    Wenn mehrere Personen Zugänge zu Accounts benötigen, sollte festgelegt sein, wer den Code auf welchem Diensthandy empfängt. Gib auf keinen fall deine private Handynummer an. Eine noch bessere Alternative ist die Ausstattung der Mitarbeiter:innen mit U2F-Sticks.

  • Du kannst auch mit speziellen USB-Sticks, sogenannten U2F-Sticks, deinen Log-in bestätigen. U2F bedeutet universal second factor (allgemeiner zweiter Faktor). Die Log-in-Bestätigung erfolgt nach der Eingabe des Passworts über einen Knopf am Stick. U2F-Sticks gibt es im Handel. Es spielt keine Rolle, welchen du kaufst. Alle sind mit dem Standard „FIDO“ zertifiziert.

    Die Einrichtung der U2F-Keys ist sehr einfach. Meist findest du in deinem Account, für den du einen U2F-Stick aktivieren möchtest, in den Einstellungen unter „Datenschutz“, „Sicherheit“ oder „Log-in“ die Möglichkeit, einen Sicherheitsschlüssel oder einen Log-in per U2F-Stick zu aktivieren. Du wirst dann aufgefordert, deinen Stick an einen freien USB-Anschluss zu stecken und auf den Knopf des Sticks zu drücken.

    Und schon ist dein Schlüssel mit dem Account verknüpft. Zukünftig wirst du bei jedem Log-in mit einem Passwort aufgefordert, den Stick einzustecken und auf den Knopf zu drücken.

    Zwei Tipps

    1. Da du zukünftig immer deinen U2F-Stick für den Login benötigst, bewahre ihn sicher auf. Richte dir einen zweiten Stick ein, für den Fall, dass du den ersten verlegst oder er dir gestohlen wird.
    2. Du kannst U2F-Sticks auch für dein Smartphone verwenden. Die Verbindung läuft hier nicht über USB, sondern über Bluetooth oder über die Near Field Communication (NFC).

Mein Wissen üben Gelernt

Frage 1 | 5
  -