Ă„ndere dein Passwort-Tag: Kontraproduktiver Tipp
Es ist wieder soweit, es ist der "Ă„ndere dein Passwort-Tag". Zeit, sich an gute Gepflogenheiten zu erinnern.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
An jedem ersten Februar eines Jahres wiederholt sich der "Ändere dein Passwort-Tag". IT-Experten sind sich einig, dass er ein sogar kontraproduktives Verhalten empfiehlt: Häufige (erzwungene) Passwort-Wechsel sorgen nicht für sicherere Passwörter, da die meisten Betroffenen sich ein einfach merkbares (und somit knackbares) Schema ausdenken. Sie nutzen oftmals mit einem simplen Muster abgeleitete Passwörter, regelmäßig etwa mit Jahreszahlen verbunden. Der Chaos Computer Club fordert deshalb sogar die Abschaffung dieses Gedenktags.
Passwörter sollte man daher besser dann wechseln, wenn sie zu schwach sind, sie vermutlich geknackt wurden – oder Bestandteil eines der häufigen Datenlecks sind. Hier ist schnell der praktische Tipp zur Hand: Nutzen Sie einen Passwort-Manager! Der benötigt nur noch ein Master-Passwort oder gar ein biometrisches Kennzeichen zum Entsperren und nimmt dann beliebig komplexe Passwörter für Zugänge auf. Oftmals sogar über das Netz auf mehrere Endgeräte synchronisierbar. Das steigert den Komfort bereits enorm. Jedes Konto bekommt ein eigenes, schwer zu knackendes Passwort, das sich Nutzerinnen und Nutzer gar nicht merken müssen, da der Passwort-Manager es auf Desktop-PC, Tablet und Smartphone gleichermaßen bereitstellt.
Passwörter sicherer und mit mehr Komfort
Die Passwort-Manager bringen in der Regel zudem integrierte Passwortgeneratoren mit. Sie helfen dabei, solche schwer zu brechenden Passwörter automatisch zu erstellen. Die Komplexität lässt meist beliebig vorgeben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Da Zugänge mit Passwort und Kontoname nur unzureichend etwa vor Phishing oder eben Ausprobieren von Zugangsdaten aus Datenlecks schützen, raten wir seit Langem zur Aktivierung von Mehr-Faktor-Authentifizierung (MFA; auch als Zwei-Faktor-Authentifizierung, 2FA), wo immer das unterstützt wird. Auf neuen Geräten muss man so den Besitz eines weiteren Faktors nachweisen, um sich als echter Kontoinhaber auszuweisen. Das erschwert Kriminellen den Zugriff auf die Konten signifikant.
Wer einen Authenticator etwa als App auf dem Smartphone einsetzt, erhöht zudem etwa gegenüber 2FA mit SMS die Sicherheit deutlich; die SMS-Variante wurde öfter erfolgreich angegriffen, zum Beispiel auch der CCC rät davon explizit ab. Wenn möglich, sollte man sogar auf Passkeys anstatt auf Passwörter mit MFA setzen. Damit haben Phisher keine Chance. Nicht ohne Grund empfiehlt Deutschlands oberste IT-Sicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Nutzung von Passkeys.
Grundlagen geklärt
Diese Tipps und Hinweise sind nicht neu. Im Gegenteil, IT-Experten wiederholen sie, wo immer möglich. Wer sie bis jetzt nicht umgesetzt hat, hatte entweder viel Glück oder will es einfach nicht und lebt mit dem Risiko.
(dmk)
