Warum Passwörter das A und O der Social Media-Sicherheit sind

Blog   /   Social
November 2, 2015

Social Media ist immer auch eine Frage der Sicherheit und des Vertrauens. Wer hat Zugang zu den Social Media-Konten? Und wie sind diese Zugänge eigentlich geschützt? Es lohnt sich, darüber mal nachzudenken. (Bevor der Crash kommt.)

Social ist’s, wenn echte Personen im Spiel sind. Diese sind im Internet immer digitale Identitäten, und die haben zwei Parameter: Einen Namen oder eine E-Mail-Adresse, die auf den realen Benutzer referenzieren, und ein Passwort, das sicherstellen soll, dass hinter der digitalen Identität wirklich die reale Person steckt, die man dahinter vermutet.

Was passiert, wenn das schiefgeht? Gehackte Social Media-Konten lassen sich für alles Mögliche missbrauchen, etwa um Malware zu verbreiten oder Skandale zu provozieren. Über das gehackte Facebook-Konto eines deutschen Fußballers verkaufte zum Beispiel ein Unbekannter für kurze Zeit Fan-Trikots. Man kann sich Schlimmeres vorstellen, aber man kann Schlimmeres eben auch vermeiden – zum Beispiel mit sicheren Passwörtern oder dadurch, dass man Passwörter völlig vermeidet.

Die meisten Passwörter sind unsicher

Selten kennt ein Angreifer ein Passwort, meist muss er es erraten. Das machen moderne Tools automatisch und rattern dann eine Liste mit bekannten Wörtern durch („Wörterbuch-Attacke“). Auswertungen (etwa whatsmypass.com) zeigen, dass die meisten Menschen viel zu simple Kennwörter wie „password“, „000000“, „123456“, „abc123“ und so weiter benutzen. Viel zu beliebt sind Namen von Ehepartnern, Lieblingsfilmen, Haustieren, die ein Angreifer zu leicht erraten kann: Solche Informationen lassen sich heute leicht über Social Media ermitteln. Und überraschend oft funktioniert das auch.

Sichere Passwörter sind lang und kompliziert

Mathematisch gesprochen nimmt mit wachsender Länge Ihres Passworts exponentiell die Zeitdauer zu, die ein Angreifer braucht, um theoretisch alle Kombinationen durchzuprobieren. Denken Sie an das Zahlenschloss Ihres Koffers: Mit drei Stellen gibt es nur die 1.000 Kombinationen zwischen 000 bis 999 – das kann man in wenigen Stunden durchprobieren. Hätte das Kofferschloss 4 Stellen, bräuchte man schon 10.000 Versuche – der Koffer wäre zehn Mal sicherer.

Weil auf Computern alles schneller geht, brauchen Sie ein Passwort mit mindestens acht Buchstaben, 12 sind natürlich noch besser, 20 bombensicher. Verwenden Sie aber nicht nur kleine Buchstaben, sondern auch große sowie Ziffern oder Sonderzeichen wie +-!;:.&§$, dann steigt der Aufwand noch weiter.

Die Site How Secure is my Password? visualisiert das auf anschauliche Weise: Sie geben so etwas Ähnliches wie Ihr Passwort ein und sehen, wie lange es wohl dauern würde, es zu knacken.

passwort

Passphrasen sind die besseren Passwörter

Demnach wären „3iDAy7bn41LdZecNKiK=“ und „18yNcwLmSzwxTuRV9UX&“ gute Passwörter? Im Prinzip ja. In Wirklichkeit können nur Gehirnakrobaten sich solche Passwortmonster merken. Man würde sie vergessen, sich notieren (im Geldbeutel?) oder sich ständig vertippen. Viele würden sich damit selbst aus ihren Social Media-Konten aussperren.

Ein Ausweg sind Passphrasen, die aus mehreren Wörtern bestehen. Während nämlich ein Wort völlig unsicher ist, sind vier oder sechs Wörter bereits nahezu unknackbar. Denkbar ist auch ein Passwortsatz, der allerdings nicht zu naheliegend sein sollte. „Wiki-Wurst-Pluto-Kaffeemaschine“ darf als sicheres Passwort gelten, „Niemand sah den gelben Kugelschreiber kommen“ als noch sicherer. Wo der Dienst keine Leerzeichen akzeptiert, lassen Sie diese weg oder nehmen Sonderzeichen. Die Webseite Gute Passwörter hilft, schnell vier oder mehr Wörter zu finden.

Nutzen Sie nur ein Passwort pro Konto

Was passiert, wenn ein Angreifer beispielsweise ein Twitter-Passwort herausfindet? Er kennt nun die E-Mail-Adresse und das Passwort bei Twitter und wird versuchen, sich mit genau diesen Daten bei Facebook oder anderen Social Media-Diensten, Mail-Konten oder Shops anzumelden. Und das funktioniert viel zu oft. Daher gilt: Um sicher mit sozialen Netzwerken zu arbeiten, darf kein Passwort eines Social Media-Dienstes zwei Mal genutzt werden!

Sichern Sie mobile Geräte mit Social Media-Zugang

Wenn mobile Nutzer ihre Passwörter und Zugangsdaten oder auch nur aktive Hootsuite-Apps durch die Gegend spazieren tragen, ist natürlich nicht ausgeschlossen, dass ihre Smartphones und Tablets gestohlen werden oder verloren gehen. Damit die Zugänge auch in diesem Fall geschützt sind, sollten alle Geräte mit Hootsuite oder Social Media-Apps (wie Facebook, Facebook Seiten, Twitter und Twitter-Tools, Google Plus und andere) möglichst verschlüsselt und mit einem längeren Passwort geschützt sein.

Konsolidieren Sie Social Media-Zugangsdaten

Sichere Passwörter nützen auch nur dann, wenn sie geheim bleiben. Viele Unternehmen mit gewachsenen Social Media-Strukturen haben oft keinen Überblick mehr darüber, wer auf was Zugriff hat oder mal hatte: im Durchschnitt betreiben Unternehmen über 178 Social Media-Accounts! Doch weniger als die Hälfte verfügt über ein zentrales Verzeichnis ihrer Social Media-Assets.

Wer über Passwörter nachdenkt, sollte daher auch einmal darüber nachdenken, die Zugangsdaten für alle Social Media-Konten des Unternehmens zu konsolidieren. Eine Social Relationship Plattform wie Hootsuite Enterprise kann die Zugangskontrolle zu Social Media-Konten komplett übernehmen und erlaubt es Ihnen, Rechte fein abgestuft zu vergeben. Netzwerkadministratoren erteilen dann den Benutzern nur bedingten Zugriff auf Social Media-Konten zu erteilen, Passwörter für soziale Netzwerke müssen nicht mehr unter den Mitarbeitern ausgetauscht werden.

Verwenden Sie einen Passwort-Manager

Komplizierte, lange Passwörter für jeden einzelnen Dienst im Web sind eine Herausforderung, der Sie sich stellen können – mit einem Passwort-Manager. Der sichert in einer verschlüsselten Datenbank: Wie lautet das Passwort? Zu welchem Benutzernamen, zu welcher E-Mail gehört es? Auf welcher Website, bei welchem Social Media-Dienst gilt es?

So können Sie beliebig lange Passwörter nutzen und müssen sich nur eines merken: das Kennwort des Passwort-Managers. Der kann Zugangsdaten automatisch speichern oder im Browser eingeben. Das kann auch Phishing-Angriffe verhindern, bei denen Nutzer ihre Zugangsdaten auf gefälschten Webseiten eingeben. Und wer die Passwort-Datenbank per Cloud synchronisiert, kann auf allen Geräten seine aktuellen Passwörter dabei haben.

  • KeePass ist bekannt, quelloffen, ausgereift und kostenlos, aber nicht sonderlich komfortabel.
  • Empfehlenswerte kommerzielle Passwort-Manager sind 1Password, das vom Mac kommt und dort als bester Vertreter seiner Zunft gilt, oder LastPass.
  • Alle genannten bieten Versionen für Windows, Macs, iPhone und iPad, Android-Smartphones und mehr, sodass man auf allen Geräten die gleichen Passwörter nutzen kann.

passwort2

Sicher und nervig: die 2-Faktor-Authentifizierung

Trotz sicherer Passwörter kann jedes irgendwann mal gehackt werden. In Zukunft wird daher die „Zwei-Faktor-Authentifizierung“ (auch: „Bestätigung in zwei Schritten“) wichtiger werden. Klingt kompliziert, ist aber ganz einfach:

  1. Schritt 1 ist wie bisher, Ihre Zugangsdaten samt Passwort einzugeben, um sich anzumelden.
  2. Schritt 2 sorgt dafür, dass Sie dann zum Beispiel per SMS oder Smartphone-App einen Code geschickt bekommen, und zwar immer dann, wenn Sie sich anmelden wollen.

Auf diese Weise kann sich jemand, der nur die Zugangsdaten hat, nicht anmelden!

Die modernsten Webdienste haben das bereits, etwa Google, Facebook (bei „Anmeldebestätigungen“), Twitter (auf „Anfragen zur Anmeldebestätigung an mein Telefon senden“ umschalten)  und natürlich auch Hootsuite. Dort können Sie für die Bestätigung in zwei Schritten die Google-Authenticator-App verwenden (Hootsuite-Info), die eigens für die 2-Faktor-Anmeldung gemacht wurde.

passwort3

Die 2-Faktor-Authenitfizierung zu nutzen ist aufwändiger als ein „normales“ Passwort, vor allem, wenn man sich oft neu anmeldet oder Konten wechselt. Bei einem zentralen Dashboard wie Hootsuite kann es die Sicherheit aber extrem erhöhen.

Am sichersten: Enterprise Single Sign-on

Unternehmen verwalten in der Regel sowieso die Zugangsrechte ihrer Benutzer. Mit Hootsuite Enterprise Single Sign-On (SSO) können Netzwerkadministratoren den Zugang zu Hootsuite Enterprise über das Mitarbeiterverzeichnis der Organisation verwalten. Vorteil: Die Notwendigkeit für ein zusätzliches Benutzerpasswort entfällt und der Zugriff von Mitarbeitern auf Konten in sozialen Netzwerken lässt sich jederzeit widerrufen. Hootsuite Enterprise kann Single Sign-On für Social Media in allen Unternehmensnetzwerken mit Security Assertion Markup Language 2.0 (SAML) etablieren.

Fazit: Social Media-Sicherheit und Passwörter

  • Verwenden Sie keine zu einfachen Passwörter, sondern lange und komplizierte.
  • Steigen Sie auf Passphrasen um: Sie sind länger und sicherer, dennoch aber weniger fehleranfällig.
  • Nutzen Sie nur ein Passwort pro Konto.
  • Verwenden Sie Passwort-Manager.
  • Sichern Sie mobile Geräte, auf denen Social Media-Zugangsdaten gespeichert sind, ebenfalls mit Passwort und Verschlüsselung.
  • Konsolidieren Sie unternehmensweit die Social Media-Zugangsdaten.
  • Führen Sie mit Hootsuite Enterprise eine sinnvolle Rechtevergabe quer durch alle Social Media-Konten ein.
  • Ziehen Sie bei Hootsuite Pro den Umstieg auf „Bestätigung in zwei Schritten“ in Erwägung.
  • Integrierten Sie bei Hootsuite Enterprise den Zugang zu Social Media-Konten mit den normalen Benutzerrechten in Unternehmensnetzwerken (Single Sign-On, SSO).

 

Sie möchten mehr über Sicherheit in den sozialen Medien erfahren?

Laden Sie sich jetzt das White Paper “Fünf Wege für mehr Sicherheit in Social Media” herunter und erfahren Sie mehr über die geeigneten Maßnahmen und Werkzeugen, mit denen Sie die Investitionen Ihres Unternehmens in Social Media schützen können.

Dieser Sicherheitsleitfaden “Sicherer Einsatz von Social Media auf globaler Ebene” informiert Sie darüber, wie Hootsuite Enterprise die zentrale Verwaltung von Benutzeridentitäten und abgestuften Zugriffsrechten übernehmen kann.