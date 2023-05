Eigentlich sollten Passwörter längst komfortableren und sichereren Alternativen wie Passkeys und FIDO2 weichen. Da das immer noch nicht stattgefunden hat, nutzen wir den Welt-Passwort-Tag, um zumindest die aktuelle Passwort-Nutzung so sicher wie möglich zu gestalten. Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt.

Welt-Passwort-Tag: Passwörter sind immer in Gefahr

Ständig finden Einbrüche bei Dienstleistern statt, bei denen Zugangsdaten abhandenkommen – inzwischen müssen wir fast täglich Cyber-Einbrüche melden. Die Daten landen dann oftmals im Darknet, wo Cyberkriminelle versuchen, daraus Kapital zu schlagen. Um zu prüfen, ob die eigenen Zugangsdaten schon Teil von solchen Datenlecks waren und damit stärker gefährdet sind, lohnt sich eine Prüfung etwa beim have i been pwned-Projekt oder beim Identity-Leak-Check des Hasso-Plattner-Instituts.

Solche Passwörter nutzen Angreifer etwa beim Credential-Stuffing, um Zugang zu Diensten zu erhalten, mit denen sie ebenfalls Kasse machen können. Zum Ende vergangenen Jahres gelang dies in größerem Stil etwa beim Zahlungsdienstleister Paypal. Es müssen aber nicht nur so offensichtliche, dem Geld nahe Zugänge sein. Der Zugriff auf alte, vergessene Mail-Konten etwa kann schon reichen, um von dort aus weitere damit eingerichtete Zugänge zu übernehmen. Dafür können auch mangelhafte Schutzvorkehrungen verantwortlich sein: Bei AT&T hatten Angreifer kürzlich etwa Zugriff auf eine API, mit der sie in E-Mail-Konten einbrechen und von dort aus Krypto-Wallets von Opfern leer räumen konnten.

Um Cyber-Gangstern den unbefugten Zugriff auf Zugänge so schwer wie möglich zu machen, ist die Aktivierung von Mehr-Faktor-Authentifizierung ein wichtiger Schritt. Das schränkt den Komfort kaum ein, da meist nur einmalig oder nach längeren Zeiträumen der zweite Faktor abgefragt wird, den ausschließlich der echte Account-Inhaber besitzt. So muss man in der Regel die Nutzung eines neuen Webbrowsers auf einem Gerät erst einmal freigeben. Mit den reinen Zugangsdaten kommen Betrüger dann erst mal nicht weiter. Dabei wird eine Sicherung des zweiten Faktors jedoch oftmals vergessen – wenn der verloren geht, erhält auch der echte Inhaber im Zweifel keinen Zugriff mehr. Im c't-Artikel 'Kein Frust bei Verlust' gibt es Tipps, wie man sich dagegen wappnen kann.

Zudem speichern viele Dienste die Passwörter nur kodiert als Hashes. Diese lassen sich natürlich mit roher Rechengewalt, Wörterbüchern und Rainbow-Tables knacken. Um das zu erschweren, helfen insbesondere sehr lange Passwörter oder Passphrasen. Um c't-Redakteur Sylvester Tremmel zu zitieren: "Auf der sicheren Seite ist aktuell, wer 20 wirklich zufällige Zeichen nutzt, 6 zufällig ausgewählte Wörter oder mehr". Er berichtete, dass kürzlich das Gerücht aufkam, dass die französische Polizei einen mit LUKS verschlüsselten Container habe knacken können.

Die Faktenlage ist noch unklar, es gibt jedoch Vermutungen, dass das Passwort oder die Passphrase nicht so gut wie behauptet waren. Lange Passwörter oder Passphrasen aus wirklich zufälligen Wörtern für jeden Dienst kann sich niemand einfach merken. Daher sollten diejenigen, die noch keinen Passwort-Manager nutzen, unbedingt darauf umsteigen. Der Hintergrundartikel 'Von Null auf Passwort-Manager – etwas Aufwand, großer Sicherheitsgewinn' liefert eine Handreichung zur Installation und zeigt, wie einfach der Umstieg ist. Passwort-Manager erzeugen und verwalten auch die geforderten langen Passwörter problemlos und merken sie sich auch gleich für den Anwender.

Die Zukunft naht

Häufig gestellte Fragen, die die 'Sicherheit fürs Anmelden: Was bei Kennwörtern, FIDO2 und TOTP zu beachten ist' betreffen, beantwortet c't in einer FAQ. Darin erwähnt ist schon die geplante Zugangsschutz-Nachfolge für die Post-Passwort-Ära. FIDO2 soll Passwörter endgültig unter die digitale Erde bringen. Dafür gibt es etwa USB-Token, mit denen sich Nutzer anmelden können. Einige Token hat sich die iX jüngst im Artikel 'Vier FIDO2-Token für den USB-Port im Test' einmal genauer angesehen.

Am vergangenen Welt-Passwort-Tag 2022 hatten wir auch Tipps gesammelt, wie sich die Sicherheit im Umgang damit verbessern lässt. Lesen Sie auch unseren Rückblick aus der passwortlosen Zukunft.

(dmk)