Passwort und Sicherheit: Wie werden Zugänge gesichert?
Einmal mehr rücken wir im heutigen Blogbeitrag das Thema Passwort und Sicherheit in den Fokus: Denn noch immer ist der passwortgestützte Login die am häufigsten genutzte Methode der Authentifizierung. Doch das Einloggen per Passwort ist auch etwas antiquiert; es gibt Alternativen – oder zumindest Möglichkeiten, Logins zusätzlich abzusichern. Nach dem Lesen des Beitrags können Sie schwache von starken Passwörtern unterscheiden, kennen zeitgemäße Alternativen zum Passwort und wissen, wie Sie Zugänge effizient absichern.
Vorsicht geboten: Passwort und Sicherheit
Passwörter werden in einer Vielzahl privat, wie geschäftlich benötigt – sei es der Login in die sozialen Netzwerke oder der Zugang zum Intranet: An Zugangsdaten kommt keiner vorbei. Dabei gilt es, das Passwort beim passwortgestützten Login nicht nur sinnvoll auszuwählen, sondern auch in regelmäßigen Abständen zu prüfen: Zum einen darauf, ob das Passwort sicher gewählt wurde, zum anderen darauf, ob es kompromittiert sein könnte.
Dafür eignen sich Passwort-Manager oder Online-Tools; wählen Sie jedoch mit Bedacht: Schlimmstenfalls landen Sie auf einer Phishing-Seite und geben Ihr Passwort direkt an Cyberkriminelle weiter. Wenden Sie sich an vertrauensvolle Dienste wie haveibeenpwned.com oder dem Identity Leak Checker vom Hasso-Plattner-Institut (HPI). Entdecken Sie, dass Ihr Passwort kompromittiert wurde, ist Ihr betroffener Account nicht mehr sicher. Ändern Sie in diesem Fall Ihr Passwort umgehend – und nutzen Sie ein sicheres.
Beliebteste Passwörter 2021
Jahr für Jahr bildet das Hasso-Plattner-Institut auf Grundlage der Daten, die über den Leak-Checker des HPI erhoben werden, die meistgenutzten Passwörter ab. Fürs Jahr 2021 wertete das HPI 1,8 Millionen Zugangsdaten aus, die 2021 geleakt und auf E-Mail-Adressen mit .de-Domain registriert wurden. Die Top-Ten Passwörter der Deutschen waren im Jahr 2021:
- 123456
- passwort
- 12345
- hallo
- 123456789
- qwertz
- schatz
- basteln
- berlin
- 12345678
Mit solchen Passwörtern ist es um die Sicherheit leider nicht gut bestellt – Cyberkriminellen wird es unnötig einfach gemacht. In unserem Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“ sind wir darauf eingegangen, was starke von unsicheren Passwörtern unterscheidet und wie Sie sichere Passwörter generieren.
Passwörter: Eines für alles oder Passwort-Manager?
Sie haben alle Tipps beherzigt und ein langes, komplexes Passwort gewählt – aber das Merken fällt schwer. Könnte es sich da nicht anbieten, dieses sichere Passwort für sämtliche Dienste zu verwenden? Leider nicht: Sollte Ihr Passwort in die Hände von Cyberkriminellen gelangen, sind sämtliche Accounts, für die Sie dieses Passwort nutzen, in Gefahr. Deshalb lautet eine goldene Regel im Umgang mit Passwörtern: Nutzen Sie für jeden Dienst ein eigenes!
Da kommt eine Menge zusammen. Um in diesem Passwort-Dschungel noch den Überblick zu behalten, gibt es Passwort-Manager. Mit einem Masterpasswort und idealerweise weiteren Mitteln effizient abgesichert, wird der Passwort-Manager zu Ihrem digitalen Passwort-Hirn. Viele Passwort-Manager erlauben auch das Prüfen der Passwortsicherheit. Einige Manager haben wir Ihnen im oben verlinkten Beitrag zur Passwortsicherheit vorgestellt. Gerade Unternehmen profitieren von Passwort-Managern: Passwörter lassen sich je nach Zuständigkeit individuell freigeben.
Übrigens: Galt früher noch die Meinung, man solle das Passwort in regelmäßigen Intervallen wechseln, hat man hier nun umgedacht. Kritisierende waren überzeugt, dass ständige Passwortwechsel dazu verführen, eher schwache Passwörter auszuwählen. Stattdessen gilt heute, dass ein wirklich komplexes Passwort solange genutzt werden kann und sollte, bis es eventuell doch einmal kompromittiert wurde. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät seit 2020 dazu, komplexe Passwörter auszuwählen und diese nur im Fall einer Kompromittierung zu wechseln.
Passwort und Sicherheit: IAM als zukunftsweisendes Konzept
Identity and Access Management für die zentrale Rechteverwaltung erweist sich als zukunftsweisendes Konzept: Wie wir in unserem Beitrag „IAM: Zugriffsrechte zentral verwalten“ dargelegt haben, bezieht sich IAM auf Prozesse des Identifizierens, Authentifizierens sowie Autorisierens von Nutzerprofilen mittels eindeutiger digitaler Identitäten. Ausschließlich identifizierte, authentifizierte und autorisierte Mitarbeitende erhalten regelbasiert und automatisiert sicheren Zugang zu Systemen und Daten.
Passwort und Sicherheit: Sind Passwörter noch zeitgemäß?
Es gibt zahlreiche Methoden zur Authentifizierung – das Passwort ist eine davon, jedoch nicht unbedingt die sicherste; zumindest dann nicht, wenn es nicht noch ergänzt wird. Dafür bieten sich Zwei- und Multi-Faktor-Authentifizierung an: Mit einem oder mehreren weiteren Faktoren sind nach der Passwort-Eingabe noch weitere Authentifizierungen notwendig. Beispiele und weitere Informationen dazu erhalten Sie in unseren Beiträgen über Zwei- beziehungsweise Multi-Faktor-Authentifizierung.
Die passwortlose Anmeldung ist mit FIDO2 möglich – auch darüber berichteten wir bereits ausführlich. Vor wenigen Wochen war der FIDO-Sign-In wieder in aller Munde: Konzerne wie Microsoft, Apple und Google wollen zusammen mit der FIDO-Allianz Passwörter abschaffen. Ankündigungen zufolge möchte Google die FIDO-Technologie in den hauseigenen Produkten Chrome, ChromeOS sowie Android implementieren, Apple und Microsoft möchten ihre Plattformen ebenfalls FIDO-fit machen.
Hacker werden fitter: Passwörter knacken geht immer schneller
Dass Hacker Passwörter immer schneller knacken und das konventionelle Passwort-Login-Verfahren damit in Gefahr ist, zeigt eine Studie des US-Software-Anbieters Hive Systems: Dauerte es 2020 noch acht Stunden, bis ein komplexes achtstelliges Passwort geknackt war, schaffen Hacker das heute in unter einer Stunde.
Insgesamt muss für die Wahl des Login-Verfahrens und für das Generieren von Passwörtern umgedacht werden: Passwörter sind idealerweise die erste Verteidigungslinie gegen Cyberkriminelle. Deshalb lohnt es sich, komplexe Passwörter zu nutzen – mit deutlich mehr als acht Zeichen. Mit 16 Zeichen sind Sie gut bedient, wenn Sie Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen wild kombinieren. Doch auch dann machen Sie es Cyberkriminellen schwerer, wenn Sie zusätzliche Verteidigungslinien oben draufsetzen: Mehrere Faktoren, etwa Biometrie oder Hardware-Tokens. Kombinieren Sie jedoch geschickt, denn nicht immer schützt die Multifaktor-Authentifizierung wie gewünscht.
Grenzen der MFA
Cyberkriminelle suchen sich immer neue Wege in fremde Systeme – und sie schrecken dabei auch nicht vor zusätzlich durch Multifaktor-Authentifizierung (MFA) gesicherte Accounts zurück. Auch hier gibt es bequemere Methoden, die jedoch unsicherer sind und unbequemere, die dafür mit Sicherheit aufwarten. Zu den bequemsten (und beliebtesten) MFA-Methoden gehört die SMS-Authentifizierung. Die jedoch bietet eine für Cyberkriminelle attraktive Angriffsfläche: Mittels SIM-Swap-Betrug können Angreifende das Telefon ihres Opfers imitieren. So gelingt der Zugriff auf eingehende Nachrichten – und damit auch der Login ins Konto.
Beliebt sind auch Pass-the-Cookie-Angriffe: Viele Websites und Browser speichern Authentifizierungsinformationen in Cookies. Für Nutzende ist das praktisch: Anstatt ihre Identität immer wieder zu bestätigen, können sie einfach eingeloggt bleiben. Für Cyberkriminelle ist dieses Vorgehen jedoch nicht weniger praktisch: Sie können die gespeicherten Informationen stehlen.
Es gilt, die Brücke zwischen Bequemlichkeit und Sicherheit zu schlagen: Setzen Sie auf MFA, um Ihr sicher ausgewähltes Passwort zusätzlich zu schützen. Verwenden Sie dabei aber Methoden, die sicherer sind als die Genannten. Es gibt auch die Möglichkeit, ganz auf das Passwort zu verzichten: mit der passwortlosen Multifaktor-Authentifizierung.
Die passwortlose Multifaktor-Authentifizierung
Beim Einloggen laufen drei Prozesse ab: Beim Authentisieren wird die Identität nachgewiesen, beim Authentifizieren der Identitätsnachweis geprüft und beim Autorisieren werden bestimmte Rechte gewährt. Soll der Login-Prozess ohne Passwort stattfinden, liegt die große Herausforderung im Bereich der Identitätsfeststellung, also beim Authentisieren. Dafür existieren Lösungen:
Biometrische Verfahren erfreuen sich beispielsweise großer Beliebtheit. Ob Face-ID oder Fingerprint am Smartphone: Derlei Verfahren werden heute viel genutzt. Dass es auch beim Nutzen biometrischer Verfahren Risiken gibt, haben wir in unserem Beitrag „Biometrische Daten und Sicherheit“ aufgezeigt. Eine Alternative zu biometrischen Verfahren im passwortlosen Login sind Sicherheitstoken wie USB-Sticks oder TANs. Als „Huckepack-Verfahren“ bezeichnet man das Vorgehen, wenn ein anderer Dienst, eine andere Anwendung oder ein Gerät Nutzende bereits authentifiziert hat.
Passwort und Sicherheit: Komplexität ist gefragt!
Passwörter wie „123456“ oder „passwort“ führen nach wie vor die Listen der beliebtesten Passwörter an – und auch die der unsichersten. Es ist sinnvoll, Passwörter als ersten Ansatzpunkt zur Verteidigung vor Cyberkriminellen wahrzunehmen. Wenn Sie nicht ohnehin zum passwortlosen Login wechseln möchten, achten Sie auf ausreichende Komplexität bei der Wahl Ihres Passworts. Schützen Sie es zusätzlich mit Zwei- oder Multifaktor-Authentifizierung und prüfen Sie in regelmäßigen Intervallen die Sicherheit Ihrer Passwörter.
Schreibe einen Kommentar