Welt-Passwort-Tag: Passwörter massiv unter Beschuss

Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Die sind allein so unsicher, dass man sich fragt, warum es den Tag noch gibt.

In Pocket speichern vorlesen Druckansicht 236 Kommentare lesen
Stilisierte Grafik: ein Schloss mit biometrischen Schlüsseln

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 4 Min.
Von
Inhaltsverzeichnis

An jedem ersten Donnerstag im Mai findet der Welt-Passwort-Tag statt. Zeit, sich einmal den Stand der Dinge vor Augen zu führen. Kurz gefasst: Es sieht nicht gut aus, aber Lösungen sind da – sie müssen aber auch eingesetzt werden.

Zugänge, die lediglich mit einem Nutzernamen und Passwort gesichert sind, gelten inzwischen als massiv gefährdet. Ohne weitere Maßnahmen genügt das Abgreifen dieser beiden Daten, um Zugriff auf einen Dienst oder ein Angebot zu erhalten. Die alltäglichen Phishing-Angriffe beweisen, dass da für Cyberkriminelle noch Potenzial für betrügerische Bereicherung drin schlummert.

Bei Datenlecks erbeutete Zugangsdaten und Datenhalden aus dem digitalen Untergrund sind oftmals etwas veraltet. Die Passwörter zu Benutzernamen passen in vielen Fällen nicht mehr, etwa, weil die Nutzer und Nutzerinnen sie nach Bekanntwerden des Datenabflusses geändert haben. Beobachtbar ist ein Trend, dass Cyberkriminelle diese Daten dennoch versuchen, nutzbar zu machen. Wir hatten in den vergangenen zwölf Monaten häufiger sogenannte Credential-Stuffing-Angriffe vermeldet. Etwa jüngst im März und April versuchten und versuchen Angreifer, bekannte Nutzernamen mit verschiedensten Passwörtern zu kreuzen und damit unbefugten Zugang zu Diensten und Online-Angeboten zu erlangen. In dieser Woche warnte beispielsweise der Identitätsverifizierungsdienstleister Okta vor massiv erhöhten Angriffszahlen. Die Angreifer versteckten sich dabei zudem hinter Residential Proxies, leiteten ihren Internetverkehr also anonymisierend über Rechner Dritter um.

Wenn schon nur ein Zugangsschutz mit Nutzernamen und Passwort möglich ist, sollten Passwörter möglichst lang und für jeden Dienst individuell sein. Der Einsatz eines Passwort-Managers ist daher noch immer anzuraten – der hilft bei der automatischen Erstellung langer und zufälliger Passwörter und merkt sie sich auch gleich für die Nutzer. Um schludrigen Herstellern auf die Sprünge zu helfen, hat die britische Regierung jetzt sogar ein Gesetz verabschiedet, das Geräte mit schwachen Passwörtern verbietet – hoffentlich der Todesstoß für die berüchtigte Kombination "admin/admin".

Sofern vom jeweiligen Dienst unterstützt, sollten Nutzer auf jeden Fall die Mehr-Faktor-Authentifizierung aktivieren. Bevor sie den Anwender hineinlässt, verlangt die Software hier etwa einen Fingerabdruck oder eine Kurzzeit-PIN. Besonders die als recht sicher geltende biometrische Zugangssicherung ist jedoch für Web-Dienste schwer umzusetzen – ein Umstand, den Passkeys lösen wollen.

Die Passkeys lassen sich inzwischen auch mit den meisten Passwort-Managern verwalten. Sie sind gemeinsam mit dem Standard WebAuthN bereits länger in der Entwicklung, aber erst seit dem vergangenen Welt-Passwort-Tag ist etwa Google dazu übergegangen, diesen Mechanismus überhaupt anzubieten. Auch Apple und Microsoft bieten das erst seit vergangenem Jahr für alle Anwender an.

Die c't hat für Interessierte die Funktionsweise von Passkeys im Detail erklärt. Dabei authentifiziert man ein Gerät gegen einen Dienst, der geheime private Schlüssel liegt nur lokal und verlässt das Gerät nicht mehr. Nach Eingabe einer PIN oder der Bestätigung mit Fingerabdruck oder einem Lächeln in die Kamera erfolgt dann die Bestätigung an den Dienst, dass es sich um die echten Inhaber des Zugangs handelt: Phishing hat so keine Chance mehr.

Bei Passkeys kann der Fall eintreten, dass ein Gerät verloren oder kaputtgeht. In dem Fall ist der Passkey verloren. Daher sollte stets ein Backup-Passkey angelegt werden. Dazu kann etwa ein FIDO2-Sicherheitsschlüssel dienen – ein kleiner USB-Dongle. Wir haben uns den Token2 T2F2-PIN+ Release2 einmal genauer angeschaut und sind bislang recht angetan davon. Auch Google hat FIDO2-Sticks etwa mit dem Titan-Sicherheitsschlüssel im Angebot. Die Passkeys darauf lassen sich jedoch nicht verwalten, was die Nutzung sehr verleiden kann.

Die Lage hat sich seit dem vergangenen Welt-Passwort-Tag 2023 kaum geändert. Allerdings hatten wir dort mehr Datendiebstähle und den Verkauf der erbeuteten Zugangsdaten etwa im Darknet beobachtet. Inzwischen steht die Urbarmachung dieser Datensätze offenbar im Fokus der Cyberkriminellen. Damit versuchen sie, direkt in Konten einzubrechen, oder noch gezielteres Phishing zu betreiben. Besseren Schutz bieten Mehr-Faktor-Authentifizierung sowie Passkeys.

(dmk)