Zugangsdaten
Für zahlreiche Anwendungen ist es erforderlich sich mit Benutzername und Passwort einzuloggen. Dieser Nachweis der eigenen Identität, Authentisierung genannt, kann auf unterschiedlichen Wegen erfolgen: Ein bekanntes Beispiel aus dem Alltag ist der Besitz einer EC-Karte und das Wissen über die entsprechende PIN. Als Website-Betreiber werden Sie es in der Regel mit Benutzernamen und Passwörtern für z.B. FTP, E-Mail, Datenbank und CMS zu tun haben. Hier geben wir Ihnen ein paar Tipps und machen einen Vorschlag, wie Sicherheit und Bequemlichkeit in Einklang gebracht werden können.
Zur Lesart: Mit Zugangsdaten meinen wir stets eine Kombination aus einem Benutzernamen und einem Passwort. Die Begriffe Zugangsdaten, Benutzerkonto, Account und Login-Daten werden hier synonym verwendet.
Inhaltsverzeichnis |
Tipps für sichere Zugangsdaten
Benutzernamen und Passwörter sollten...
- für jede Anwendung unterschiedlich sein
- möglichst lang sein
- möglichst unterschiedliche Zeichen enthalten (Mischung aus Klein- und Großbuchstaben, Zahlen, Satz- und Sonderzeichen)
- regelmäßig geändert werden
- in keinem Nachschlagewerk stehen
- nicht zu erraten sein (Geburts- oder Hochzeitstage sind Negativbeispiele)
Zur Wahl der Zeichen
Sollte nicht bekannt sein wie lang die Zugangsdaten sein dürfen und welche Zeichen sie enthalten können, dann erfragen Sie diese Details beim jeweiligen Anbieter.
Überprüfen Sie vorher, ob die gewünschten Zeichen mit allen von Ihnen genutzten Geräten eingegeben werden können. Dies ist nicht selbstverständlich und kann zu einem Eigentor werden.
Getrennte Zugangsdaten
- Halten Sie Ihre Zugangsdaten geheim!
- Geben Sie Ihre persönlichen Zugangsdaten niemals weiter!
Falls ein Dritter Zugangsdaten anfordert (z.B. ein Dienstleister zwecks Wartungsarbeiten), empfehlen wir folgendes Vorgehen:
- überprüfen Sie wirksam die Identität der Person (Authentifizierung)
- vergewissern Sie sich, ob die gewünschte Zugangsberechtigung erteilt werden darf (Autorisierung)
- richten Sie für die Person ein individuelles Benutzerkonto ein und machen Sie ihr nur diese Zugangsdaten bekannt
- erteilen Sie nur erforderliche Rechte, nicht mehr
- sperren Sie den Zugang sobald er nicht mehr benötigt wird
Sicherer Login-Vorgang
Wenn Sie Ihre Zugangsdaten eingeben:
- lassen Sie niemanden zuschauen
- vergewissern Sie sich vorher, dass die Daten verschlüsselt übertragen werden
Die verschlüsselte Datenübertragung ist nicht nur bei Online-Banking eine Selbstverständlichkeit, sondern immer wenn Sie vertrauliche Daten senden und empfangen. Nur so kann verhindert werden, dass Unbefugte mitlesen und z.B. Ihre Zugangsdaten herausfinden. Die Verschlüsselung erfolgt in der Regel mit SSL/TLS und sollte immer eingesetzt werden wenn Sie:
- auf einer Webseite Ihre Zugangsdaten eingeben (HTTPS)
- E-Mails abrufen (POP3S, IMAPS)
- E-Mails versenden (SMTPS)
- Daten mit FTP übertragen (FTPES).
Passwort-Tresore
Wenn Sie unsere Tipps für sichere Zugangsdaten berücksichtigen, dann -- ja zugegeben -- wird es schwierig sich erstens die vielen und komplexen Kombinationen zu merken und zweitens sie den richtigen Anwendungen zuzuordnen. Doch Abhilfe verschaffen sogenannte Passwort-Tresore, in denen Sie Ihre diversen Zugangsdaten speichern können. Je nach Programm kann der verschlüsselte Passwort-Tresor durch eine Kombination aus Hauptkennwort und Schlüsseldatei geschützt werden. So brauchen Sie sich nur noch das Hauptkennwort zu merken und dürfen die Schlüsseldatei nicht verlieren -- ähnlich wie bei einer EC-Karte mit PIN.
Einige dieser Programme bieten auch die Möglichkeit auf Knopfdruck komplexe Passwörter zu generieren. Eine Übersicht finden Sie z.B. im heise online Software Verzeichnis.
