heise PlusAbo

Welt-Passwort-Tag: Passkeys, Mehr-Faktor-Authentifizierung, alles ist besser

Jeden ersten Donnerstag im Mai ist der Welt-Passwort-Tag. Zeit, sich um bessere Sicherheit zu kĂĽmmern.

vorlesen Druckansicht 8 Kommentare lesen
Passwort-Eingabe auf Smartphone vor einem Notebook

(Bild: Shutterstock/selinofoto)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Der Welt-Passwort-Tag erinnert daran, dass Zugangsdaten sicher sein sollten. Was ursprünglich mal lediglich Komplexität und Wiederverwendung bedeutet, inzwischen jedoch deutlich bessere Sicherheitsmechanismen meint.

Die ewige Statistik listet bei allen möglichen Passwort-Datenlecks noch immer die "123456" und ähnliche Passwörter als häufig verwendet auf. Natürlich sollten Passwörter komplexer sein und längere Zeichenfolgen mit Groß- und Kleinschrift sowie Sonderzeichen und Zahlen umfassen. Und für jeden Zugang bitte eine eigene Variante. Hierbei helfen unter anderem auch kostenlos verfügbare Passwort-Manager, die sich um die Merkarbeit kümmern und nach Eingabe des Masterpassworts oder nach biometrischer Authentifizierung die Zugangsdaten freigeben.

Da jedoch immer wieder Einbrüche in IT-Systeme und dabei abfließende Informationen wie Zugangsdaten stattfinden, sollte das Sicherheitskonzept sich nicht auf die einfache Kombination aus Username und Passwort beschränken. Sonst können Angreifer damit direkt in die Konten von Betroffenen eindringen.

Passwörter: Aufbrezeln oder ersetzen

Wo es möglich ist, sollten Nutzer und Nutzerinnen daher eine Mehr-Faktor-Authentifizierung aktivieren. Durch den Nachweis des Besitzes eines weiteren Faktors muss sich der Kontoinhaber bei Logins ausweisen. Das ist etwa eine Zahlenkombination aus einem Authenticator, der auf dem Smartphone läuft. Die schlechteren Alternativen wären Zweifaktoren mittels E-Mail oder SMS. Auf die sollten Angreifer keinen Zugriff haben und der Zugang dadurch verwehrt bleiben.

Allerdings sind Kriminelle da schon länger drauf vorbereitet. Sie setzen bei Phishing-Kampagnen darauf, in Echtzeit mit potenziellen Opfern in Kontakt zu stehen und dabei die Freigabe mittels Zusatzfaktor auszuhebeln.

Videos by heise

Ideal ist daher der Umstieg auf Passkeys. Die bieten immer mehr Unternehmen an, um sicherer auf die Online-Konten zuzugreifen. Dabei kommen keine Passwörter mehr zum Einsatz, sondern es handelt sich um einen Schutz basierend auf kryptografischen Zertifikaten. Gegenstellen weisen sich damit als echt aus. Angreifer können sich mangels privaten Schlüssels nicht als die Person ausgeben, die sie gerade angreifen. Inzwischen können auch zahlreiche Passwort-Manager mit Passkeys umgehen und sie sogar geräteübergreifend nutzbar machen.

Lesen Sie auch

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten