Einmal mehr r\u00fccken wir im heutigen Blogbeitrag das Thema Passwort und Sicherheit in den Fokus: Denn noch immer ist der passwortgest\u00fctzte Login die am h\u00e4ufigsten genutzte Methode der Authentifizierung. Doch das Einloggen per Passwort ist auch etwas antiquiert; es gibt Alternativen \u2013 oder zumindest M\u00f6glichkeiten, Logins zus\u00e4tzlich abzusichern. Nach dem Lesen des Beitrags k\u00f6nnen Sie schwache von starken Passw\u00f6rtern unterscheiden, kennen zeitgem\u00e4\u00dfe Alternativen zum Passwort und wissen, wie Sie Zug\u00e4nge effizient absichern.<\/p>\n
Passw\u00f6rter werden in einer Vielzahl privat, wie gesch\u00e4ftlich ben\u00f6tigt \u2013 sei es der Login in die sozialen Netzwerke oder der Zugang zum Intranet: An Zugangsdaten kommt keiner vorbei. Dabei gilt es, das Passwort beim passwortgest\u00fctzten Login nicht nur sinnvoll auszuw\u00e4hlen, sondern auch in regelm\u00e4\u00dfigen Abst\u00e4nden zu pr\u00fcfen: Zum einen darauf, ob das Passwort sicher gew\u00e4hlt wurde, zum anderen darauf, ob es kompromittiert sein k\u00f6nnte.<\/p>\n
Daf\u00fcr eignen sich Passwort-Manager oder Online-Tools; w\u00e4hlen Sie jedoch mit Bedacht: Schlimmstenfalls landen Sie auf einer Phishing-Seite und geben Ihr Passwort direkt an Cyberkriminelle weiter. Wenden Sie sich an vertrauensvolle Dienste wie haveibeenpwned.com<\/a> oder dem Identity Leak Checker vom Hasso-Plattner-Institut (HPI)<\/a>. Entdecken Sie, dass Ihr Passwort kompromittiert wurde, ist Ihr betroffener Account nicht mehr sicher. \u00c4ndern Sie in diesem Fall Ihr Passwort umgehend \u2013 und nutzen Sie ein sicheres.<\/p>\n Jahr f\u00fcr Jahr bildet das Hasso-Plattner-Institut auf Grundlage der Daten, die \u00fcber den Leak-Checker des HPI erhoben werden, die meistgenutzten Passw\u00f6rter ab. F\u00fcrs Jahr 2021 wertete das HPI 1,8 Millionen Zugangsdaten aus, die 2021 geleakt und auf E-Mail-Adressen mit .de-Domain registriert wurden. Die Top-Ten Passw\u00f6rter der Deutschen waren im Jahr 2021:<\/p>\n Mit solchen Passw\u00f6rtern ist es um die Sicherheit leider nicht gut bestellt \u2013 Cyberkriminellen wird es unn\u00f6tig einfach gemacht. In unserem Beitrag \u201eSichere Passw\u00f6rter: Starke Passw\u00f6rter erh\u00f6hen die Sicherheit\u201c<\/a> sind wir darauf eingegangen, was starke von unsicheren Passw\u00f6rtern unterscheidet und wie Sie sichere Passw\u00f6rter generieren.<\/p>\n Sie haben alle Tipps beherzigt und ein langes, komplexes Passwort gew\u00e4hlt \u2013 aber das Merken f\u00e4llt schwer. K\u00f6nnte es sich da nicht anbieten, dieses sichere Passwort f\u00fcr s\u00e4mtliche Dienste zu verwenden? Leider nicht: Sollte Ihr Passwort in die H\u00e4nde von Cyberkriminellen gelangen, sind s\u00e4mtliche Accounts, f\u00fcr die Sie dieses Passwort nutzen, in Gefahr. Deshalb lautet eine goldene Regel im Umgang mit Passw\u00f6rtern: Nutzen Sie f\u00fcr jeden Dienst ein eigenes!<\/p>\n Da kommt eine Menge zusammen. Um in diesem Passwort-Dschungel noch den \u00dcberblick zu behalten, gibt es Passwort-Manager. Mit einem Masterpasswort und idealerweise weiteren Mitteln effizient abgesichert, wird der Passwort-Manager zu Ihrem digitalen Passwort-Hirn. Viele Passwort-Manager erlauben auch das Pr\u00fcfen der Passwortsicherheit. Einige Manager haben wir Ihnen im oben verlinkten Beitrag zur Passwortsicherheit vorgestellt. Gerade Unternehmen profitieren von Passwort-Managern: Passw\u00f6rter lassen sich je nach Zust\u00e4ndigkeit individuell freigeben.<\/p>\n \u00dcbrigens: Galt fr\u00fcher noch die Meinung, man solle das Passwort in regelm\u00e4\u00dfigen Intervallen wechseln, hat man hier nun umgedacht. Kritisierende waren \u00fcberzeugt, dass st\u00e4ndige Passwortwechsel dazu verf\u00fchren, eher schwache Passw\u00f6rter auszuw\u00e4hlen. Stattdessen gilt heute, dass ein wirklich komplexes Passwort solange genutzt werden kann und sollte, bis es eventuell doch einmal kompromittiert wurde. Auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) r\u00e4t seit 2020 dazu<\/a>, komplexe Passw\u00f6rter auszuw\u00e4hlen und diese nur im Fall einer Kompromittierung zu wechseln.<\/p>\n Identity and Access Management f\u00fcr die zentrale Rechteverwaltung erweist sich als zukunftsweisendes Konzept: Wie wir in unserem Beitrag \u201eIAM: Zugriffsrechte zentral verwalten\u201c<\/a> dargelegt haben, bezieht sich IAM auf Prozesse des Identifizierens, Authentifizierens sowie Autorisierens von Nutzerprofilen mittels eindeutiger digitaler Identit\u00e4ten. Ausschlie\u00dflich identifizierte, authentifizierte und autorisierte Mitarbeitende erhalten regelbasiert und automatisiert sicheren Zugang zu Systemen und Daten.<\/p>\n Es gibt zahlreiche Methoden zur Authentifizierung<\/a> \u2013 das Passwort ist eine davon, jedoch nicht unbedingt die sicherste; zumindest dann nicht, wenn es nicht noch erg\u00e4nzt wird. Daf\u00fcr bieten sich Zwei- und Multi-Faktor-Authentifizierung an: Mit einem oder mehreren weiteren Faktoren sind nach der Passwort-Eingabe noch weitere Authentifizierungen notwendig. Beispiele und weitere Informationen dazu erhalten Sie in unseren Beitr\u00e4gen \u00fcber Zwei-<\/a> beziehungsweise Multi-Faktor-Authentifizierung<\/a>.<\/p>\n Die passwortlose Anmeldung ist mit FIDO2 m\u00f6glich \u2013 auch dar\u00fcber berichteten wir<\/a> bereits ausf\u00fchrlich. Vor wenigen Wochen war der FIDO-Sign-In wieder in aller Munde: Konzerne wie Microsoft, Apple und Google wollen zusammen mit der FIDO-Allianz Passw\u00f6rter abschaffen. Ank\u00fcndigungen zufolge<\/a> m\u00f6chte Google die FIDO-Technologie in den hauseigenen Produkten Chrome, ChromeOS sowie Android implementieren, Apple und Microsoft m\u00f6chten ihre Plattformen ebenfalls FIDO-fit machen.<\/p>\n Dass Hacker Passw\u00f6rter immer schneller knacken und das konventionelle Passwort-Login-Verfahren damit in Gefahr ist, zeigt eine Studie des US-Software-Anbieters Hive Systems<\/a>: Dauerte es 2020 noch acht Stunden, bis ein komplexes achtstelliges Passwort geknackt war, schaffen Hacker das heute in unter einer Stunde.<\/p>\n Insgesamt muss f\u00fcr die Wahl des Login-Verfahrens und f\u00fcr das Generieren von Passw\u00f6rtern umgedacht werden: Passw\u00f6rter sind idealerweise die erste Verteidigungslinie gegen Cyberkriminelle. Deshalb lohnt es sich, komplexe Passw\u00f6rter zu nutzen \u2013 mit deutlich mehr als acht Zeichen. Mit 16 Zeichen sind Sie gut bedient, wenn Sie Ziffern, Gro\u00df- und Kleinbuchstaben sowie Sonderzeichen wild kombinieren. Doch auch dann machen Sie es Cyberkriminellen schwerer, wenn Sie zus\u00e4tzliche Verteidigungslinien oben draufsetzen: Mehrere Faktoren, etwa Biometrie oder Hardware-Tokens. Kombinieren Sie jedoch geschickt, denn nicht immer sch\u00fctzt die Multifaktor-Authentifizierung wie gew\u00fcnscht.<\/p>\n Cyberkriminelle suchen sich immer neue Wege in fremde Systeme \u2013 und sie schrecken dabei auch nicht vor zus\u00e4tzlich durch Multifaktor-Authentifizierung (MFA) gesicherte Accounts zur\u00fcck. Auch hier gibt es bequemere Methoden, die jedoch unsicherer sind und unbequemere, die daf\u00fcr mit Sicherheit aufwarten. Zu den bequemsten (und beliebtesten) MFA-Methoden geh\u00f6rt die SMS-Authentifizierung. Die jedoch bietet eine f\u00fcr Cyberkriminelle attraktive Angriffsfl\u00e4che: Mittels SIM-Swap-Betrug k\u00f6nnen Angreifende das Telefon ihres Opfers imitieren. So gelingt der Zugriff auf eingehende Nachrichten \u2013 und damit auch der Login ins Konto.<\/p>\n Beliebt sind auch Pass-the-Cookie-Angriffe: Viele Websites und Browser speichern Authentifizierungsinformationen in Cookies. F\u00fcr Nutzende ist das praktisch: Anstatt ihre Identit\u00e4t immer wieder zu best\u00e4tigen, k\u00f6nnen sie einfach eingeloggt bleiben. F\u00fcr Cyberkriminelle ist dieses Vorgehen jedoch nicht weniger praktisch: Sie k\u00f6nnen die gespeicherten Informationen stehlen.<\/p>\n Es gilt, die Br\u00fccke zwischen Bequemlichkeit und Sicherheit zu schlagen: Setzen Sie auf MFA, um Ihr sicher ausgew\u00e4hltes Passwort zus\u00e4tzlich zu sch\u00fctzen. Verwenden Sie dabei aber Methoden, die sicherer sind als die Genannten. Es gibt auch die M\u00f6glichkeit, ganz auf das Passwort zu verzichten: mit der passwortlosen Multifaktor-Authentifizierung.<\/p>\n Beim Einloggen laufen drei Prozesse ab: Beim Authentisieren wird die Identit\u00e4t nachgewiesen, beim Authentifizieren der Identit\u00e4tsnachweis gepr\u00fcft und beim Autorisieren werden bestimmte Rechte gew\u00e4hrt. Soll der Login-Prozess ohne Passwort stattfinden, liegt die gro\u00dfe Herausforderung im Bereich der Identit\u00e4tsfeststellung, also beim Authentisieren. Daf\u00fcr existieren L\u00f6sungen:<\/p>\n Biometrische Verfahren erfreuen sich beispielsweise gro\u00dfer Beliebtheit. Ob Face-ID oder Fingerprint am Smartphone: Derlei Verfahren werden heute viel genutzt. Dass es auch beim Nutzen biometrischer Verfahren Risiken gibt, haben wir in unserem Beitrag \u201eBiometrische Daten und Sicherheit\u201c<\/a> aufgezeigt. Eine Alternative zu biometrischen Verfahren im passwortlosen Login sind Sicherheitstoken wie USB-Sticks oder TANs. Als \u201eHuckepack-Verfahren\u201c bezeichnet man das Vorgehen, wenn ein anderer Dienst, eine andere Anwendung oder ein Ger\u00e4t Nutzende bereits authentifiziert hat.<\/p>\n Passw\u00f6rter wie \u201e123456\u201c oder \u201epasswort\u201c f\u00fchren nach wie vor die Listen der beliebtesten Passw\u00f6rter an \u2013 und auch die der unsichersten. Es ist sinnvoll, Passw\u00f6rter als ersten Ansatzpunkt zur Verteidigung vor Cyberkriminellen wahrzunehmen. Wenn Sie nicht ohnehin zum passwortlosen Login wechseln m\u00f6chten, achten Sie auf ausreichende Komplexit\u00e4t bei der Wahl Ihres Passworts. Sch\u00fctzen Sie es zus\u00e4tzlich mit Zwei- oder Multifaktor-Authentifizierung und pr\u00fcfen Sie in regelm\u00e4\u00dfigen Intervallen die Sicherheit Ihrer Passw\u00f6rter.<\/p>\nBeliebteste Passw\u00f6rter 2021<\/h3>\n
\n
Passw\u00f6rter: Eines f\u00fcr alles oder Passwort-Manager?<\/h3>\n
Passwort und Sicherheit: IAM als zukunftsweisendes Konzept<\/h3>\n
Passwort und Sicherheit: Sind Passw\u00f6rter noch zeitgem\u00e4\u00df?<\/h2>\n
Hacker werden fitter: Passw\u00f6rter knacken geht immer schneller<\/h3>\n
Grenzen der MFA<\/h3>\n
Die passwortlose Multifaktor-Authentifizierung<\/h3>\n
Passwort und Sicherheit: Komplexit\u00e4t ist gefragt!<\/h2>\n