Gehen wir einfach mal davon aus, das ein Hacker, ein Ex-Partner, ein Arbeitgeber, alle Ihre Passwörter in die Hand bekommen hat.
D.h. Sie müssen bei den wichtigsten Seiten die Passwörter ändern und die alten mit sehr sicheren Passwörtern ersetzen. Dann denken wir an die bisherigen Regeln zurück. Alle Passwörter lang und mit Sonderzeichen. Sie sollten sich keines der Passwörter merken können. Nur dann sind sie und Sie sicher. 20 Zeichen ist ein Anfang aber mit steigender Rechnerleistung in naher Zukunft möglicherweise zu wenig. Vor zehn Jahren hiess es: 8-10 Zeichen sind sicher. Nicht mehr.
Überlegen Sie sich längere Passwörter. 50 oder 60 Zeichen. Nur Spass. Oder? Das macht kein Mensch und das kann ich auch nicht verlangen. Ihr Passwortmanager, den Sie verwenden, kann zufällige Passwörter beliebiger Länge erstellen (nicht alle, aber viele und auch nicht beliebig lang). Sie und auch niemand sonst wird sich diese merken oder erraten können. Denn: Sie werden sie nie eintippen. Sie werden immer den Passwortmanager einsetzen und dann Copy&Paste oder „Direkteinfügen“ verwenden. Und ob Sie ein 50 Zeichen langes Passwort kopieren und einfügen oder ein zehn Zeichen langes ist gleich aufwändig, aber viel sicherer. Also doch 50-60 Zeichen. Dann können Sie ruhiger schlafen.
Wenn Sie das höchste Mass an Sicherheit wollen: Die Empfehlung aller einschlägiger Sicherheitsexperten ist KeePassXC. Es ist Open Source und eine Weiterentwicklung von KeePass der Electronic Frontier Foundation. Diese Applikation gibt es auf allen gängigen Plattformen ausser auf mobilen. Wichtig ist aber das Datenbankformat, dass auch von anderen Apps eingelesen werden kann. D.h. es gibt andere Applikationen, die dieses Format lesen können. Sie haben daher die Möglichkeit, auf Ihrem Rechner KeyPassXC zu verwenden und auf mobilen Geräten andere Software, die diese Daten lesen kann. Da KeyPassXC keinen eingebauten Synchronisationsmechanismus hat, müssen Sie das manuell durchführen. Jetzt höre ich Sie schon: Was, manuelle synchroniseren? Viel zu aufwändig. Ja, in den ersten Tagen und Wochen. Aber seien wir ehrlich: Wie oft legen Sie ein neues Konto online an? Ich so gut wie gar nicht, einmal die Woche oder im Monat. Und danach synchronisiere ich die Datenbanken. Ende.
Sie sollten sich überlegen, ob Sie diesen verwenden und den Aufwand des manuellen Synchronisieren auf sich nehmen wollen.
Auf der anderen Seite bedeutet es aber auch weniger Sicherheit, wenn Sie auf allen Geräten an vielen Stellen Ihre Passwörter ablegen. Wiederum ist es Ihre Entscheidung, wie wichtig Ihnen die Passwörter sind, wie oft sie diese brauchen, wofür Sie diese benötigen usw. Es ist Ihr Risikoprofil und Ihre Bequemlichkeit. Möglicherweise könnten Sie sich überlegen, zwei Anwendungen zu verwenden: Eine nur zu Hause mit den Daten der kritischen Passwörter, wie Emailkonto, Bank, usw. Und eine für unterwegs auf dem Handy um mal eben werbefrei den Guardian zu lesen oder bei der Zeit einen Leserbrief zu verfassen.
Sind Sie gefährdet, Ihr Leben, Ihre Liebsten? Dann sollten Sie anders entscheiden, als wenn Sie Überweisungen noch zur Bank bringen, keine Email haben und nur hin und wieder Leserbriefe auf Papier schreiben. Sollten Sie so paranoid sein wie ich oder gefährdet wie ein Richter in einem Mafiafall, sollten Sie sich überlegen, einen eigenen Rechner für kritische Zugriffe, wie z.B. die Bank zu verwenden, und nur auf diesem Rechner die Passwörter für diese Zugriffe in KeyPassXC zu speichern. Dazu später noch mehr.
Das Passwort zu KeyPassXC ist das zweite der drei Passwörter, dass Sie sich merken müssen. Es sollte eindeutig sein und eines, das Sie noch nie irgendwann irgendwo verwendet haben. In diesem Fall: Schreiben Sie es auf einen Zettel und legen Sie diesen in Ihren Safe oder an eine andere sichere Stelle. Das ist nicht unter dem Monitor auf dem Schreibtisch im Büro. Alles das habe ich schon erlebt. Sie könnten auch einen USB Stick nehmen, diesen verschlüsseln (siehe VeraCrypt) und dort das Passwort speichern. Den Stick stecken Sie nur an, wenn Sie ihn brauchen. Ansonsten ruht er im Safe.
Nun kann es losgehen: Loggen Sie sich bei den Diensten ein, ändern das Passwort und lassen das neue von KeyPassXC generieren. Schritt für Schritt. Somit erhöhen Sie Ihre Sicherheit dramatisch. Fangen Sie mit dem Wichtigsten an.
Quizfrage: Welches Konto kommt zuerst dran?