How Can We Help?

«haveibeenpwnd», Passwortmanager, Zweifaktor-Authentifizierung

Wir erhalten immer wieder Anfragen, dass die Mailinhaber Mails erhalten bspw. von «haveibeenpwnd«, die Aussagen, dass ein Passwort geleakt wurde (verbreitet; im Darknet angeboten).

Der Dienst “haveibeenpwnd” ist eigentlich eine gute Sache. Auch wir im Support verwenden ihn ab und zu drauf um rauszufinden, ob eine Mailadresse aufgeführt wird.
Allerdings macht er aber auch die User unsicher… Generell zeigt der Dienst nur, dass eben ein Passwort von Hackern herausgefunden wurde und herumgereicht wird.

«Ich habe ja aber eigentlich gar nichts zu verbergen. Wenn meine Email-Adresse oder die Hacker mein Passwort wissen, können sie ja nicht viel anfangen.»

Diese Aussage mag vielleicht stimmen. Aber: oft sind diese abgesaugten Daten im Darknet verfügbar und werden von den Käufern mit anderen möglichen Quellen verknüpft. Und wenn man dann deine Mailadresse mit deinen Daten aus dem Swisspass (aktuelles Beispiel) verknüpfen kann, kann man diese für mögliche Phishingmails verwenden.

Zu Logindaten kann gesagt werden, dass es wichtig ist,

  • sichere Passwörter zu verwenden (>10 Stellen, Zahlen, Gross-/Kleinbuchstaben und Sonderzeichen verwenden)
    und
  • für jedes Login ein eigenes Passwort zu verwenden.
  • Auch soll, wo ein Login verlangt wird – wenn möglich – die Zweifaktor-Authentifizierung (2FA) eingerichtet werden (wie bei den Banken; dazu siehe weiter unten).

Passwortmanager

Die oben erwähnten Anforderungen einzuhalten mag kompliziert tönen, aber es gibt Tools, die dich hier unterstützen.
Beispielsweise mit einem Passwortmanager, welcher alle deine Passwörter verwaltet.

Im Webteam verwenden wir Bitwarden (https://bitwarden.com). Das ist ein Onlinetool, mit dem du alle deine Passwörter online speichern kannst. Keine Sorge: die Passwörter sind dort verschlüsselt abgelegt; der Dienst kann mit den Daten nichts anfangen, da er sie nicht entschlüsseln kann.

Mit einem einzigen sicheren Passwort öffnest du deinen Tresor und hast dann auf alle deine Passwörter Zugriff.

Und wenn du noch das Addon für den Firefox verwendest, wird das Ganze zu einem Kinderspiel. Bei jedem Login werden dir die bekannten Logindaten gleich angeboten und du kannst mit wenigen Klicks einloggen.

Ein weiterer Vorteil von Bitwarden ist, dass ich meine Passwörter auch mit einer App auf meinem Smartphone (Iphone, auch für Android) zur Verfügung habe. Da kann man es auch einrichten, dass statt dem “Schlüsselbund” (so heisst eine ähnliche Applikation für das Iphone) die Passwörter dort gespeichert werden. So kannst du für jeden Account ein eigenes Passwort verwenden.

Dann noch die erwähnte Zweifaktor-Authentifizierung (2FA)

Bei Verwendung der 2FA wird nach dem Login eine weitere Authentifizierung über einen zweiten hinterlegten Kanal erforderlich. Das kann per Mail, SMS, Authentifizierungs-App etc. sein.

Mit einer 2FA ist es dann nicht mehr so wichtig, wenn jemand dein Passwort weiss. Immer, wenn sich jemand einloggt, wirst du aufgefordert, mit einem zweiten Mittel (Faktor) etwas zu bestätigen oder abzulehnen. Ohne das kommt man dann nicht rein. Dies kennen wir ja alle von den Bankkonti.

2FA-Möglichkeiten sind möglich für:

Wir raten allen Usern,

  • die die Webseiten bearbeiten oder einen Christkathcloud-Account haben, diese mit einer 2FA zu verbinden und
  • die Passwörter mit einem Passwortmanager zu verwalten.

Mögliche Passwortmanager findest du hier:
https://swisscows.com/web?query=passwortmanager