"Ändere Dein Passwort"-Tag: Warum Ändern des Passworts kaum hilft
Alle Jahre wieder am 1. Februar sorgt der "Ändere Dein Passwort"-Tag für Grummeln in der Redaktion. Wir empfehlen: Besser alte Gewohnheiten ändern!
Am ersten Februar eines jeden Jahres findet er statt, der "Ändere Dein Passwort"-Tag. Der ist gut gemeint, aber schon namentlich nicht gut gemacht. Ein anlassloser Passwortwechsel bringt nichts außer Frust und Einschleifen unsicherer Auswahlverfahren wie beispielsweise eine um leicht zu ratende Ziffern ergänzte Passwort-Basis. Das würde jedoch die Sicherheit deutlich verschlechtern, anstatt sie zu erhöhen.
Es gibt mit Passwörtern nach wie vor große Probleme: Die Datenbank des "Have I Been Pwned"-Projekts füllt sich stetig weiter. Vor rund zwei Wochen kam ein riesiges Leck mit rund 71 Millionen Datensätzen neu hinzu. Der Betreiber Troy Hunt hat die Daten etwas analysiert: Rund 100 Millionen einzigartige Passwörter tauchen 1,3 Milliarden Mal im Fundus auf. Hunt schränkt ein, dass es einige doppelte Einträge gibt. Aber dennoch deute es darauf hin, dass viele Menschen immer noch dasselbe Passwort für unterschiedliche Angebote nutzen. Und es viele Menschen gibt, die dieselben Passwörter wie andere einsetzen.
Vermutlich deshalb sind so viele sogenannte Credential Stuffing-Angriffe erfolgreich, bei denen die kriminellen Täter zu E-Mail-Adressen und Nutzernamen einfach viele bekannte Passwörter durchprobieren. Bei den Genanalytikern von 23andme gelang genau so der Einbruch in 14.000 Benutzerkonten, wie kürzlich bekannt wurde.
Komplexere und individuelle Passwörter
Für Zugänge, die lediglich mit Passwörtern geschützt werden, sind Passwort-Manager sinnvoll. Sie bringen in der Regel einen Passwortgenerator mit, der einstellbar komplexe Passwörter auswirft. Diese speichern die Passwortverwalter dann auch gleich passend etwa zu der Webseite ab. In der Regel erlauben sie sogar einen geräteübergreifenden Zugriff – der Zugang ist dann auf dem Smartphone, Laptop und Desktop-PC gleichermaßen hinterlegt und lässt sich einfach öffnen. Dadurch wird es viel einfacher, "gute" Passworthygiene zu leben und für jedes Angebot eigene Zugangsdaten zu verwenden.
Für Zugänge, die sich lediglich mit Passwort schützen lassen, sollte zudem zumindest eine Zwei- oder Mehrfaktorauthentifizierung etwa mit der App Authenticator aktiviert werden. Dadurch können sich Angreifer mit geknackten oder abgephishten Zugangsdaten nicht mit neuen Geräten anmelden.
Passwort-Nachfolge Passkeys kommt voran
Aber langsam kommen auch Passkeys vorwärts: Inzwischen lassen sich die Dienste von den großen Unternehmen Apple, Google und Microsoft damit schützen. Android, macOS und Windows bringen inzwischen Möglichkeiten zur Passkey-Verwaltung und -Nutzung mit. Googles Chrome, Microsofts Edge, Mozillas Firefox und Apples Safari sind Webbrowser, die den Umgang mit Passkeys unterstützen. Manche Passwort-Manager können diese Passkeys ebenfalls verwalten – das ist etwa unter Linux praktisch. Der Open-Source-Passwortverwalter Bitwarden lässt sich seit Kurzem sogar selbst mittels Passkey schützen.
Hinter Passkeys steckt eine Technik, durch die ein Zugang an einen Browser oder ein Gerät gekoppelt wird. Nach Freigabe etwa durch Gesichtsscan, Fingerabdruck oder PIN in der Passkey-Verwaltung lässt sich dann der Zugang auf neuen Geräten oder Webbrowsern freigeben. Zur Freigabe kann auch das Smartphone dienen, als universeller und ohnehin immer in der Nähe befindlicher Schlüssel. Die Technik der Zukunft ist damit komfortabler und sicherer als Passwörter, und der Phishing-Schutz ist auch gleich eingebaut.
Die Artikelsammlung liefert weitere konkrete Hinweise, wie man die Sicherheit etwa mit Passwort-Manager oder Passkeys verbessern kann. Auch wenn der Name des "Ändere-Dein-Passwort-Tags" vielleicht nicht mehr ganz zeitgemäß ist: Die Erinnerung an eine bessere Sicherung von diversen Zugängen, dafür ist der Gedenktag doch immer wieder willkommen!
(dmk)