Einer der gefährlichsten Fehler meiner Kund*innen: Unsichere und mehrfach verwendete Passwörter
Ich kann dir gar nicht sagen, wie oft ich diesen Satz als einen der Ersten meinen Kund*innen eintrichtere – egal, ob dies in meinem WordPress-Website-Kurs oder in der 1:1-Zusammenarbeit ist.
„Verwende für jede Website und jedes Tool ein eigenes, sicheres Passwort!“
Wenn du also eine eigene WordPress-Website hast oder planst, eine zu erstellen, dann spitz die Ohren. Heute ist alles digital miteinander vernetzt und daher ist die Sicherheit deiner Passwörter wichtiger denn je. Sie kann existenzsichernd sein! Schwache Passwörter können verheerende Folgen haben – von gehackten Bankkonten bis hin zu Identitätsdiebstahl. Kommt alles täglich vor!
Lies weiter, um zu erfahren, warum du deine Passwörter sofort ändern solltest und wie du sicherere Passwörter erstellen kannst.
Let’s go!
Hinweis an dieser Stelle: Einige meiner Links sind Affiliate-Links. Klickst du auf einen solchen und kaufst darüber z. B. ein Produkt, erhalte ich eine kleine Provision. Du bezahlst dabei nicht mehr, im Gegenteil, oft gibt es sogar einen Rabatt.
Warum sind sichere Passwörter wichtig?
Stell dir einfach vor, dass dein Passwort der Schlüssel zu deinem Leben ist. Wenn dieser Schlüssel einfach zu kopieren ist, können Hacker*innen in Sekunden Zugang zu deinen sensibelsten Daten bekommen. Das betrifft nicht nur deine WordPress-Website, sondern auch deine E-Mail-Konten, Bankkonten und andere wichtige Online-Dienste. Gerade, wenn wir verschiedene Dienste miteinander nutzen und diese verknüpft sind, ist das ein riesiges Problem!
E-Mail-Konten
Wenn Hacker*innen Zugang zu deinem E-Mail-Konto erhalten, können sie nicht nur deine privaten und geschäftlichen E-Mails lesen, sondern auch Passwortrücksetzungsanfragen für andere Konten durchführen. Dadurch können sie sich Zugang zu weiteren Diensten verschaffen, die du mit dieser E-Mail-Adresse verknüpft hast oder eben sich die Zugangsdaten schicken lassen, indem sie schlicht auf „Passwort vergessen“ klicken.
Bankkonten
Ein gehacktes Bankkonto kann selbstredend zu schweren finanziellen Verlusten führen. Hacker*innen können Überweisungen durchführen, Kredite beantragen oder sogar deine Identität stehlen, um weitere finanzielle Transaktionen in deinem Namen durchzuführen.
Soziale Medien
Der Zugang zu deinen sozialen Medien ermöglicht es Hacker*innen, schädliche Links zu posten, betrügerische Nachrichten an deine Kontakte zu senden, deine Privatsphäre zu verletzen, indem sie deine privaten Nachrichten lesen oder schlichtweg deine Konten komplett zu löschen. Gerade wenn du Social Media im beruflichen Kontext nutzt, kann das zu einem Super-GAU werden!
Online-Shopping-Konten
Hacker*innen können deine gespeicherten Zahlungs- und Kreditkarteninformationen verwenden, um unerlaubte Einkäufe zu tätigen, oder deine persönlichen Daten stehlen, um anderen Betrug zu begehen.
Cloud-Dienste
Wenn du Cloud-Dienste wie Google Drive, Dropbox etc. nutzt, können Hacker*innen auf all deine gespeicherten Dokumente, Fotos und Dateien zugreifen. Das kann besonders kritisch sein, wenn du vertrauliche Geschäftsdaten oder persönliche Informationen speicherst. Nicht wenige nutzen auch Cloud-Dienste für Backups aller Art, z. B. ihrer Website, Fotos etc. Diese wären dann im Worst Case ebenfalls weg.
Arbeitskonten
Für Selbstständige und Gründer*innen sind Arbeitskonten besonders wichtig. Ein gehacktes Arbeitskonto kann zu Datenverlusten, Datenschutzverletzungen und einem erheblichen Vertrauensverlust bei Kund*innen und Auftragsgeber*innen führen. Hacker*innen könnten auf vertrauliche Geschäftspläne, Finanzdaten und Kund*inneninformationen zugreifen.
Gesundheitskonten
Viele nutzen Online-Dienste, um ihre Gesundheitsdaten zu verwalten. Ein gehacktes Gesundheitskonto kann dazu führen, dass vertrauliche medizinische Informationen offengelegt werden, was nicht nur peinlich, sondern auch gefährlich sein kann.
Das waren bloss einige Beispiele, aber in all diesen Fällen zeigt sich: Ein einziges schwaches Passwort kann die Tür zu zahlreichen Problemen öffnen. Deshalb ist es wirklich entscheidend, dass du starke und einzigartige Passwörter verwendest, um deine und die Daten deiner Kund*innen bestmöglich zu schützen!
Als Dienstleister*in musst du für die Sicherheit deiner Kund*innen gerüstet sein!
Gerade wenn du als Dienstleister*in mit Kund*innen zusammenarbeitest und Zugriff auf deren Accounts hast, ist es deine Pflicht, dass du dafür sorgst, dass diese sensiblen Daten bestmöglich geschützt sind! Ich besitze tausende Zugangsdaten von meinen Kund*innen, sonst wäre eine reibungslose Zusammenarbeit erst gar nicht möglich.
Daher nutze ich nicht für mein Business, sondern auch privat und für meine Familie einen Passwort-Manager. In meinem Fall ist das LastPass. Ich bin sehr zufrieden mit LastPass und die Kosten sind wirklich minimal.
LastPass ermöglicht es mir nicht nur, dass ich mir lediglich ein (super starkes!) Master-Passwort merken muss, ich kann auch:
- Passwörter sicher teilen
- Adressen und Bezahlinformationen mit einem Klick oder automatisch auf Websites ausfüllen lassen (auf allen Geräten)
- sichere Passwörter auf Knopfdruck generieren für neue Accounts
- diese überwachen lassen, sodass ich bei einem Daten-Leak sofort informiert werde (dazu nutze ich jedoch noch weitere Dienste)
- Passkeys erstellen
- die 2-Faktor-Authentifizierung nutzen
- alle Zugangsdaten auf deren Sicherheit prüfen und optimieren
- automatisch Passwörter nach einer bestimmten Zeit ändern
- sichere Notizen in meinem Vault verwalten
- mehrfach verwendete Passwörter (z. B. aus der Vergangenheit) sofort erkennen und durch neue, einzigartige ersetzen
- u. v. m.!
Mehrfach verwendete Passwörter: niemals verwenden!
Wenn du dasselbe Passwort für mehrere Konten verwendest, riskierst du, dass ein einziger Hack alle deine Konten gefährdet. Das nennt man Credential Stuffing. Stell dir vor, jemand bekommt Zugang zu deinem E-Mail-Konto – plötzlich sind alle anderen Konten, bei denen du dasselbe Passwort verwendest, ebenfalls in Gefahr.
Was bedeutet Credential Stuffing?
Credential Stuffing ist eine Art von Cyberangriff, bei dem Kriminelle gestohlene Zugangsdaten (wie Benutzernamen und Passwörter) verwenden, um sich in verschiedene Online-Konten einzuloggen. Dieser Angriff nutzt die Tatsache aus, dass viele Menschen dieselben Anmeldedaten für mehrere Dienste nutzen.
Wie funktioniert Credential Stuffing?
- Beschaffung der Zugangsdaten: Hacker*innen kommen durch Datenpannen oder Phishing an eine grosse Anzahl von Anmeldeinformationen.
- Automatisierter Angriff: Spezielle Software, sogenannte Bots, probiert diese Zugangsdaten systematisch auf verschiedenen Websites aus.
- Erfolgreiches Eindringen: Wenn Nutzer*innen ihre Zugangsdaten mehrfach verwenden, können Hacker*innen auf mehrere Konten zugreifen und sensible Daten stehlen oder missbrauchen.
Beispiele für Credential Stuffing
- Ein/e Hacker*in erhält durch ein Datenleck Zugangsdaten von einem Online-Shop und verwendet diese, um sich in die Social-Media- oder E-Mail-Konten der betroffenen Nutzer*innen einzuloggen.
- Gestohlene Zugangsdaten von einem kleineren Forum werden verwendet, um auf grössere, wertvollere Konten wie Online-Banking oder Shopping-Seiten zuzugreifen.
Wie schnell können Passwörter heute geknackt werden?
Hier ist eine aktualisierte Tabelle für 2024, die zeigt, wie schnell verschiedene Passwörter geknackt werden können.
Diese Zahlen verdeutlichen, wie wichtig es ist, starke und komplexe Passwörter zu verwenden. Und das bitte sofort!
Und diese Zahlen bilden lediglich den Stand von heute (2024) ab! In einem Jahr werden diese Zahlen schon wieder andere sein!
Wichtige Sicherheitstechniken: Passkeys, Zwei-Faktor-Authentifizierung und Passwort-Manager
Passkey
Ein Passkey ist eine moderne und sichere Methode zur Authentifizierung, die traditionelle Passwörter ersetzt. Anstatt ein Passwort einzugeben, nutzt du einen Passkey, der aus zwei Teilen besteht: einem öffentlichen und einem privaten Schlüssel.
Wie funktioniert ein Passkey?
- Erstellung: Wenn du ein Konto erstellst oder einen Passkey einrichtest, wird ein Schlüsselpaar generiert. Der öffentliche Schlüssel wird auf dem Server gespeichert, der private Schlüssel bleibt sicher auf deinem Gerät (zum Beispiel deinem Smartphone oder Computer).
- Anmeldung: Um dich anzumelden, gibst du nicht mehr dein Passwort ein. Stattdessen authentifizierst du dich, indem du deine Identität auf deinem Gerät bestätigst (zum Beispiel durch Fingerabdruck, Gesichtserkennung oder PIN). Dein Gerät verwendet dann den privaten Schlüssel, um eine sichere Antwort zu generieren und an den Server zu senden.
- Sicherheit: Der Server überprüft diese Antwort mit dem öffentlichen Schlüssel. Da der private Schlüssel niemals den sicheren Speicher deines Geräts verlässt und nicht direkt übertragbar ist, ist ein Passkey sehr schwer zu hacken oder zu stehlen.
Warum sind Passkeys sicherer?
- Kein Phishing: Da du keine Passwörter mehr eingibst, können sie auch nicht von Phishing-Websites abgefangen werden.
- Kein Passwort-Diebstahl: Passkeys können nicht wie Passwörter gestohlen oder erraten werden.
- Bequeme Nutzung: Du musst dir keine komplexen Passwörter mehr merken oder verwalten.
Zwei-Faktor-Authentifizierung (2FA)
Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsverfahren, das bei der Anmeldung in einem Online-Konto zwei verschiedene Nachweise erfordert, um sicherzustellen, dass die Person, die sich anmeldet, tatsächlich die berechtigte Person ist.
Wie funktioniert die Zwei-Faktor-Authentifizierung?
Stell dir vor, du möchtest dich bei deinem E-Mail-Konto anmelden. Normalerweise gibst du nur dein Passwort ein, um Zugang zu erhalten. Mit 2FA musst du zusätzlich zu deinem Passwort noch einen zweiten Nachweis erbringen. Dieser zweite Faktor kann einer der folgenden sein:
- Etwas, das du weisst: Zum Beispiel ein zusätzliches Passwort oder eine PIN.
- Etwas, das du hast: Zum Beispiel dein Smartphone, auf dem du einen Bestätigungscode per SMS oder über eine Authentifizierungs-App erhältst.
- Etwas, das du bist: Zum Beispiel dein Fingerabdruck oder die Gesichtserkennung.
Beispiel für eine 2FA
Du gibst dein Passwort ein und erhältst dann eine Nachricht auf dein Smartphone mit einem einmaligen Code. Diesen Code gibst du auf der Anmeldeseite ein. Erst danach erhältst du Zugriff auf dein Konto.
Warum ist 2FA wichtig?
2FA macht es für Hacker*innen viel schwieriger, Zugang zu deinem Konto zu bekommen, selbst wenn sie dein Passwort kennen. Sie bräuchten nämlich auch den zweiten Faktor (z. B. dein Smartphone), um sich anzumelden. Das erhöht die Sicherheit deiner Online-Konten erheblich.
Passwort-Manager
Ein Passwort-Manager, wie bspw. LastPass, ist ein Tool, das dir hilft, all deine Passwörter sicher und übersichtlich zu speichern. Statt sich jede Menge komplexe Passwörter merken zu müssen, brauchst du nur ein Hauptpasswort, um auf den Passwort-Manager zuzugreifen. Dieses Hauptpasswort sollte besonders stark und einzigartig sein.
Der Passwort-Manager speichert nicht nur deine Passwörter, sondern kann auch sichere Passwörter für dich generieren. Ausserdem füllt er automatisch Login-Daten auf Webseiten und Apps aus, was dir Zeit spart und Fehler beim Eintippen vermeidet.
Ein weiterer Vorteil ist die zusätzliche Sicherheit: Viele Passwort-Manager verschlüsseln deine Daten, sodass nur du Zugriff darauf hast. Selbst wenn jemand dein Gerät stiehlt, kommt er ohne das Hauptpasswort nicht an deine gespeicherten Passwörter. Einige Passwort-Manager bieten auch Funktionen wie das Speichern von Kreditkartendaten oder das Teilen von Passwörtern mit vertrauenswürdigen Personen an. Zudem bieten einige Passwort-Manager auch die Verwendung von Passkeys an. Weiter oben habe ich dir ja bereits von den Funktionen von LastPass erzählt.
Tipps für sichere Passwörter
- Lange und komplexe Passwörter: Verwende Passwörter mit mindestens 12 Zeichen, die Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen/Symbole enthalten.
- Keine Wiederverwendung: Verwende niemals dasselbe Passwort für mehrere Konten.
- Passwort-Manager nutzen: Tools wie LastPass helfen dir, komplexe Passwörter zu erstellen und zu verwalten.
- Passwörter regelmässig ändern: Ändere deine Passwörter in regelmässigen Abständen, das können einige Passwort-Manager auch automatisch für dich erledigen.
- Zwei-Faktor-Authentifizierung aktivieren: Wo immer möglich, aktiviere 2FA, um eine zusätzliche Sicherheitsebene hinzuzufügen.
- Passkey nutzen: Wenn verfügbar, nutze einen Passkey
Weitere Gefahren von schwachen Passwörtern
Schwache Passwörter können zu Identitätsdiebstahl führen. Wenn Hacker*innen Zugang zu deinen Konten bekommen, können sie deine Identität stehlen, was schwerwiegende finanzielle und persönliche Konsequenzen haben kann. Sie können z. B. auf deine Bankkonten zugreifen, Kreditkarten eröffnen und sogar Straftaten in deinem Namen begehen!
Es ist also von entscheidender Bedeutung, dass du sofort deine Passwörter änderst und sicherstellst, dass sie stark und einzigartig sind, solltest du das noch nicht getan haben.
Wo beginnen bei der Passwortänderung?
Ich empfehle dir, bei den sensibelsten Konten zu beginnen und dann Website für Website, Tool für Tool vorzugehen. Viele Passwort-Manager sind dir dabei behilflich, indem sie diesen Schritt für dich übernehmen können, das spart, je nachdem wie viele Passwörter du nutzt, viele Stunden an Arbeit!
Selbstständig seit über 20 Jahren, schlägt mein Herz für Menschen, die die Welt durch ihr Angebot intersektional verändern möchten. Ich bringe Klarheit in scheinbar komplexe Prozesse und helfe Selbstständigen dabei, über ihre Website sichtbar zu werden.
Durch eine massgeschneiderte Website und eine unverwechselbare Marke wirst du so von gut zahlenden Kund*innen gefunden, statt ihnen hinterherzulaufen.
SO KANNST DU MIT MIR ARBEITEN
- 👩💻 Website erstellen lassen: Webdesign, inklusive Branding, Texten, Technik & Mentoring
- 🖥️ Website selbst machen: WordPress-Kurs ‚Create Your Website‘: Von null zur fertigen Website, inklusive Texten, Technik, Angebotsentwicklung & Design, die für dich zahlende Wunschkundinnen gewinnt. 100 % für Anfängerinnen geeignet!