Um zu verhindern, dass Ihre Passwörter durch Social Engineering, Brute-Force- oder Wörterbuch-Angriffsmethoden gehackt werden, und um Ihre Online-Konten sicher zu halten, sollten Sie beachten, dass:

1. Verwenden Sie nicht dasselbe Passwort, dieselbe Sicherheitsfrage und dieselbe Antwort für mehrere wichtige Konten.

2. Verwenden Sie ein Passwort, das mindestens 16 Zeichen hat, verwenden Sie mindestens eine Zahl, einen Großbuchstaben, einen Kleinbuchstaben und ein besonderes Symbol.

3. Verwenden Sie in Ihren Passwörtern nicht die Namen Ihrer Familien, Freunde oder Haustiere.

4. Verwenden Sie keine Postleitzahlen, Hausnummern, Telefonnummern, Geburtsdaten, Personalausweisnummern, Sozialversicherungsnummern usw. in Ihren Passwörtern.

5. Verwenden Sie in Ihren Passwörtern keine Wörter aus dem Wörterbuch. Beispiele für sichere Passwörter: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Beispiele für schwache Passwörter: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Verwenden Sie nicht zwei oder mehr ähnliche Passwörter, deren meisten Zeichen gleich sind, z.B. ilovefreshflowersMac, ilovefreshflowersDropBox, denn wenn eines dieser Passwörter gestohlen wird, bedeutet dies, dass alle diese Passwörter gestohlen sind.

7. Verwenden Sie nichts, was geklont werden kann( aber Sie können es nicht ändern ), als Ihre Passwörter, wie z.B. Ihre Fingerabdrücke.

8. Lassen Sie nicht zu, dass Ihre Web-Browser (FireFox, Chrome, Safari, Opera, IE) Ihre Passwörter speichern, da alle in Web-Browsern gespeicherten Passwörter leicht enthüllt werden können.

9. Melden Sie sich nicht bei wichtigen Konten auf den Computern anderer an, oder wenn Sie mit einem öffentlichen Wi-Fi-Hotspot, Tor, kostenlosen VPN oder Web-Proxy verbunden sind.

10. Senden Sie keine sensiblen Informationen online über unverschlüsselte( z.B. HTTP oder FTP ) Verbindungen, da Nachrichten in diesen Verbindungen mit sehr geringem Aufwand geschnüffelt werden können. Wenn immer möglich sollten Sie verschlüsselte Verbindungen wie HTTPS, SFTP, FTPS, SMTPS, IPSec verwenden.

11. Wenn Sie unterwegs sind, können Sie Ihre Internetverbindungen verschlüsseln, bevor sie Ihren Laptop, Tablet, Ihr Mobiltelefon oder Ihren Router verlassen. Sie können zum Beispiel ein privates VPN (mit MS-CHAP v2 oder stärkeren Protokollen) auf Ihrem eigenen Server (Heimcomputer, dedizierter Server oder VPS) einrichten und sich mit ihm verbinden. Alternativ können Sie mit PuTTY einen verschlüsselten SSH-Tunnel zwischen Ihrem Router und Ihrem Heimcomputer ( oder einem eigenen Remote-Server ) einrichten und Ihre Programme ( z.B. FireFox ) mit PuTTY verbinden. Selbst wenn jemand Ihre Daten bei der Übertragung zwischen Ihrem Gerät (z.B. Laptop, iPhone, iPad) und Ihrem Server mit einem Packet Sniffer aufnimmt, kann er Ihre Daten und Passwörter nicht aus den verschlüsselten Streaming-Daten stehlen.

12. Wie sicher ist mein Passwort? Vielleicht glauben Sie, dass Ihre Passwörter sehr sicher und schwer zu hacken sind. Aber wenn ein Hacker Ihren Benutzernamen und den MD5-Hash-Wert Ihres Passworts vom Server einer Firma gestohlen hat und die Regenbogentabelle des Hackers diesen MD5-Hash-Wert enthält, dann wird Ihr Passwort schnell geknackt.

       Um die Stärke Ihrer Passwörter zu überprüfen und zu wissen, ob sie sich innerhalb der beliebten Regenbogentabellen befinden, können Sie Ihre Passwörter in MD5-Hashes auf einem MD5-Hash-Generator konvertieren und dann Ihre Passwörter entschlüsseln, indem Sie diese Hashes an einen Online-MD5-Entschlüsselungsdienst übermitteln. Ihr Passwort lautet zum Beispiel "0123456789A". Wenn Sie die Brute-Force-Methode verwenden, kann ein Computer fast ein Jahr brauchen, um Ihr Passwort zu knacken, aber wenn Sie es entschlüsseln, indem Sie seinen MD5-Hash( C8E7279CD035B23BB9C0F1F954DFF5B3 ) an eine MD5-Entschlüsselungswebsite übermitteln, wie lange dauert es dann, es zu knacken? Sie können den Test selbst durchführen.

13. Es wird empfohlen, die Passwörter alle 10 Wochen zu ändern.

14. Es wird empfohlen, dass Sie sich einige Master-Passwörter merken, andere Passwörter in einer einfachen Textdatei speichern und diese Datei mit 7-Zip, GPG oder einer Festplattenverschlüsselungssoftware wie BitLocker verschlüsseln oder Ihre Passwörter mit einer Passwortverwaltungssoftware verwalten.

15. Verschlüsseln Sie Ihre Passwörter und sichern Sie sie an verschiedenen Orten. Wenn Sie dann den Zugriff auf Ihren Computer oder Ihr Konto verloren haben, können Sie Ihre Passwörter schnell wiederherstellen.

16. Schalten Sie, wann immer möglich, die 2-stufige Authentifizierung ein.

17. Speichern Sie Ihre kritischen Passwörter nicht in der Cloud.

18. Greifen Sie auf wichtige Websites (z.B. Paypal) direkt von den Lesezeichen aus zu, andernfalls überprüfen Sie bitte den Domain-Namen sorgfältig. Es ist eine gute Idee, die Popularität einer Website mit der Alexa-Symbolleiste zu überprüfen, um sicherzustellen, dass es sich nicht um eine Phishing-Site handelt, bevor Sie Ihr Passwort eingeben.

19. Schützen Sie Ihren Computer mit Firewall und Antiviren-Software, blockieren Sie alle eingehenden Verbindungen und alle unnötigen ausgehenden Verbindungen mit der Firewall. Laden Sie nur Software von seriösen Websites herunter und überprüfen Sie die MD5 / SHA1 / SHA256-Prüfsumme oder die GPG-Signatur des Installationspakets, wann immer dies möglich ist.

20. Halten Sie die Betriebssysteme ( z.B. Windows 7, Windows 10, Mac OS X, iOS, Linux ) und Webbrowser ( z.B. FireFox, Chrome, IE, Microsoft Edge ) Ihrer Geräte ( z.B. Windows PC, Mac PC, iPhone, iPad, Android Tablet ) auf dem neuesten Stand, indem Sie das neueste Sicherheitsupdate installieren.

21. Wenn sich wichtige Dateien auf Ihrem Computer befinden und andere auf ihn zugreifen können, prüfen Sie, ob es Hardware-Keylogger (z.B. drahtlose Tastaturschnüffler), Software-Keylogger und versteckte Kameras gibt, wenn Sie es für nötig halten.

22. Wenn es bei Ihnen zu Hause WIFI-Router gibt, dann ist es möglich, die Passwörter, die Sie (im Haus Ihres Nachbarn) eingegeben haben, zu erfahren, indem man die Gesten Ihrer Finger und Hände erkennt, da sich das empfangene WIFI-Signal ändert, wenn Sie Ihre Finger und Hände bewegen. Sie können eine Bildschirmtastatur verwenden, um Ihre Passwörter einzugeben. In solchen Fällen wäre es sicherer, wenn diese virtuelle Tastatur( oder Softkeyboard ) jedes Mal das Layout ändert.

23. Sperren Sie Ihren Computer und Ihr Mobiltelefon, wenn Sie diese verlassen.

24. Verschlüsseln Sie die gesamte Festplatte mit LUKS oder ähnlichen Tools, bevor Sie wichtige Dateien darauf ablegen, und zerstören Sie die Festplatte Ihrer alten Geräte physisch, wenn es notwendig ist.

25. Greifen Sie privat oder inkognito auf wichtige Websites zu, oder verwenden Sie einen Webbrowser für den Zugriff auf wichtige Websites, einen anderen für den Zugriff auf andere Websites. Oder greifen Sie auf unwichtige Websites zu und installieren Sie neue Software in einer virtuellen Maschine, die mit VMware, VirtualBox oder Parallels erstellt wurde.

26. Verwenden Sie mindestens 3 verschiedene E-Mail-Adressen, verwenden Sie die erste, um E-Mails von wichtigen Sites und Apps wie Paypal und Amazon zu empfangen, verwenden Sie die zweite, um E-Mails von unwichtigen Sites und Apps zu empfangen, verwenden Sie die dritte ( von einem anderen E-Mail-Provider wie Outlook und GMail ), um Ihre Passwort-Rücksetz-E-Mail zu erhalten, wenn die erste ( z.B. Yahoo Mail ) gehackt wird.

27. Verwenden Sie mindestens 2 verschiedene Telefonnummern, teilen Sie anderen NICHT die Telefonnummer mit, unter der Sie Textnachrichten mit den Verifizierungscodes erhalten.

28. Klicken Sie nicht auf den Link in einer E-Mail oder SMS-Nachricht, setzen Sie Ihre Passwörter nicht durch Anklicken zurück, außer Sie wissen, dass diese Nachrichten nicht gefälscht sind.

29. Teilen Sie Ihre Passwörter niemandem in der E-Mail mit.

30. Es ist möglich, dass eine der Software oder App, die Sie heruntergeladen oder aktualisiert haben, von Hackern modifiziert wurde. Sie können dieses Problem vermeiden, indem Sie diese Software oder App nicht zum ersten Mal installieren, außer dass sie veröffentlicht wurde, um Sicherheitslücken zu beheben. Sie können stattdessen webbasierte Apps verwenden, die sicherer und portabler sind.

31. Seien Sie vorsichtig bei der Verwendung von Online-Einfüge- und Screen-Capture-Tools, lassen Sie sie nicht Ihre Passwörter in die Cloud hochladen.

32. Wenn Sie ein Webmaster sind, speichern Sie die Benutzerpasswörter, Sicherheitsfragen und Antworten nicht als Klartext in der Datenbank, sondern stattdessen die gesalzenen ( SHA1, SHA256 oder SHA512 )Hash-Werte dieser Zeichenfolgen. Es wird empfohlen, für jeden Benutzer einen eindeutigen zufälligen Salt-String zu erzeugen. Wenn er/sie dann versucht, sich mit dem richtigen Passwort anzumelden, aber seine/ihre Geräteinformationen NICHT mit dem zuvor gespeicherten Passwort übereinstimmen, lassen Sie diesen Benutzer seine/ihre Identität überprüfen, indem Sie einen anderen Verifizierungscode eingeben, der per SMS oder E-Mail gesendet wurde.

33. Wenn Sie ein Software-Entwickler sind, sollten Sie das Update-Paket mit GnuPG mit einem privaten Schlüssel signiert veröffentlichen und die Signatur mit dem zuvor veröffentlichten öffentlichen Schlüssel überprüfen.

34. Um Ihr Online-Geschäft sicher zu machen, sollten Sie einen eigenen Domain-Namen registrieren und ein E-Mail-Konto mit diesem Domain-Namen einrichten, dann verlieren Sie Ihr E-Mail-Konto und alle Ihre Kontakte nicht, da Sie Ihren E-Mail-Server überall hosten können, Ihr E-Mail-Konto kann nicht vom E-Mail-Provider deaktiviert werden.

35. Wenn eine Online-Shopping-Website nur die Zahlung mit Kreditkarten erlaubt, dann sollten Sie stattdessen eine virtuelle Kreditkarte verwenden.

36. Schliessen Sie Ihren Webbrowser, wenn Sie Ihren Computer verlassen, sonst können die Cookies mit einem kleinen USB-Gerät leicht abgefangen werden. Dadurch ist es möglich, die zweistufige Überprüfung zu umgehen und sich mit gestohlenen Cookies auf anderen Computern in Ihr Konto einzuloggen.

37. Misstrauen Sie schlechten SSL-Zertifikaten und entfernen Sie sie aus Ihrem Web-Browser, da Sie sonst NICHT in der Lage sind, die Vertraulichkeit und Integrität der HTTPS-Verbindungen zu gewährleisten, die diese Zertifikate verwenden.

38. Verschlüsseln Sie die gesamte Systempartition, ansonsten deaktivieren Sie bitte die pagefile- und hibernation-Funktionen, da es möglich ist, Ihre wichtigen Dokumente in den Dateien pagefile.sys und hiberfil.sys zu finden.

39. Um Brute-Force-Login-Angriffe auf Ihre dedizierten Server, VPS-Server oder Cloud-Server zu verhindern, können Sie eine Software zur Erkennung und Verhinderung von Eindringlingen wie LFD( Login Failure Daemon ) oder Fail2Ban installieren.