Jedes Jahr am ersten Februar zelebriert ein Teil der IT-Branche den "Ändere dein Passwort"-Tag. Der soll daran erinnern, dass ein altes Passwort nicht sicher sei und ein regelmäßiger Wechsel für mehr Zugangsschutz sorge. Das ist der Kontensicherheit jedoch kaum zuträglich, sondern vielmehr sogar schädlich.

Denn der anlasslos erzwungene Wechsel sorgt eher dafür, dass die Wahl auf einfach zu merkende Passwörter fällt, die um leicht zu erratende fortlaufende Muster ergänzt werden. Das von "Passwort2021#Q1" in "Passwort2022#Q1" geänderte Passwort liefert keine bessere Sicherheit – im Gegenteil.

Zudem sind Datenlecks, bei denen auch die aktuellen Passwörter in die Öffentlichkeit entfleuchen, inzwischen an der Tagesordnung. Die Einbrüche, bei denen Zugangsdatenbanken kopiert werden, sind inzwischen derart alltäglich, dass sie nur noch in besonderen Fällen überhaupt zu einer Meldung in den Medien führen.

Bei einem Passwort-Wechsel einmal im Jahr haben Datendiebe viel Zeit, sich in und mit ergaunerten Zugängen umzusehen und gegebenenfalls Schindluder zu treiben. Nicht auszudenken, was möglich ist, wenn solch ein Passwort auch noch für mehrere Dienste zum Einsatz kommt.

Echter Sicherheitsgewinn

Der Vorschlag der heise Security-Redaktion lautet deshalb bereits seit Längerem, überall wo möglich, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Mit gestohlenem Nutzernamen und Passwort stehen Täter dann vor verschlossener Tür – der zweite Faktor fehlt. Der heutige Gedenktag sollte daher besser umbenannt werden in "Aktiviere Zwei-Faktor-Authentifizierungs-Tag". Online-Nutzer können 2FA in der Regel ganz einfach bei ihrem E-Mail-Anbieter oder bei Ein- und Verkaufsplattformen im Nutzerprofil aktivieren. Ein kleiner Klick, der viel mehr Sicherheit bringt.

Für den zweiten Faktor lässt sich ein sogenannter Authenticator nutzen. Beispielsweise mit einer Smartphone-App wird für den Log-in ein nur sehr kurze Zeit gültiges Einmal-Passwort (Time-based One-time Password Algorithm, TOTP) erstellt. Damit weist der User zusätzlich zu Nutzernamen und Passwort nach, tatsächlich Inhaber des Zugangs zu sein. Der Mehraufwand ist minimal, der Sicherheitsgewinn enorm.

Zudem findet die Prüfung des zweiten Faktors meist nur einmalig statt: Nutzer authentifizieren ihren Browser respektive die App, die Freigabe landet in einem Cookie. Sie wird erst wieder abgefragt, wenn das Cookie gelöscht wird oder etwa eine bestimmte Zeit seit der letzten Authentifizierung vergangen ist.

Manche Dienste bieten zwar auch SMS als zweiten Faktor an, das gilt jedoch nicht mehr als sicher. Es gibt immer wieder erfolgreiche Angriffe, bei der Angreifer die SMS abfangen und so doch unbefugt Zugriff erlangen. Das sollte daher allenfalls als Notfalloption herhalten.

Selbsttest

Dass 2FA eine hervorragende Idee ist, kann die Prüfung der eigenen Zugangsdaten auf den Webseiten des Identity-Leak-Checkers vom Hasso-Plattner-Institut oder des Have-I-Been-Pwned-Projekts (HIBP) oftmals belegen. Nach Angabe einer E-Mail-Adresse (bieten beide Dienste an) respektive eines Passworts (nur bei HIBP unterstützt) kommt eine Rückmeldung, ob die Daten in einem Datenleck aufgetaucht sind.

Falls ja, nutzen Täter die Daten ziemlich sicher für Einbruchsversuche, etwa als Teil ihrer Liste der auszuprobierenden Passwörter. Ebenso prüfen sie oftmals die E-Mail-Adressen aus solchen Datenlecks und verwenden sie für SPAM und Phishing. Die kurzlebigen Einmalpasswörter tauchen naturgemäß nicht auf – und liefern somit verbesserten Schutz.

(dmk)