Newsletter heise-Bot heise-Bot

Welt-Passwort-Tag: Auf die Länge kommt es an

Passwörter sind immer noch da. Am heutigen Welt-Passwort-Tag erinnern wir daher an Maßnahmen, sie möglichst sicher zu gestalten.

In Pocket speichern vorlesen Druckansicht 112 Kommentare lesen
Lock,With,Chain,On,A,Computer,Keyboard,-,3d,Illustration

(Bild: peterschreiber.media/Shutterstock.com)

Lesezeit: 4 Min.
Security
Von

Eigentlich sollten Passwörter längst komfortableren und sichereren Alternativen wie Passkeys und FIDO2 weichen. Da das immer noch nicht stattgefunden hat, nutzen wir den Welt-Passwort-Tag, um zumindest die aktuelle Passwort-Nutzung so sicher wie möglich zu gestalten. Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt.

Welt-Passwort-Tag: Passwörter sind immer in Gefahr

Ständig finden Einbrüche bei Dienstleistern statt, bei denen Zugangsdaten abhandenkommen – inzwischen müssen wir fast täglich Cyber-Einbrüche melden. Die Daten landen dann oftmals im Darknet, wo Cyberkriminelle versuchen, daraus Kapital zu schlagen. Um zu prüfen, ob die eigenen Zugangsdaten schon Teil von solchen Datenlecks waren und damit stärker gefährdet sind, lohnt sich eine Prüfung etwa beim have i been pwned-Projekt oder beim Identity-Leak-Check des Hasso-Plattner-Instituts.

Solche Passwörter nutzen Angreifer etwa beim Credential-Stuffing, um Zugang zu Diensten zu erhalten, mit denen sie ebenfalls Kasse machen können. Zum Ende vergangenen Jahres gelang dies in größerem Stil etwa beim Zahlungsdienstleister Paypal. Es müssen aber nicht nur so offensichtliche, dem Geld nahe Zugänge sein. Der Zugriff auf alte, vergessene Mail-Konten etwa kann schon reichen, um von dort aus weitere damit eingerichtete Zugänge zu übernehmen. Dafür können auch mangelhafte Schutzvorkehrungen verantwortlich sein: Bei AT&T hatten Angreifer kürzlich etwa Zugriff auf eine API, mit der sie in E-Mail-Konten einbrechen und von dort aus Krypto-Wallets von Opfern leer räumen konnten.

Um Cyber-Gangstern den unbefugten Zugriff auf Zugänge so schwer wie möglich zu machen, ist die Aktivierung von Mehr-Faktor-Authentifizierung ein wichtiger Schritt. Das schränkt den Komfort kaum ein, da meist nur einmalig oder nach längeren Zeiträumen der zweite Faktor abgefragt wird, den ausschließlich der echte Account-Inhaber besitzt. So muss man in der Regel die Nutzung eines neuen Webbrowsers auf einem Gerät erst einmal freigeben. Mit den reinen Zugangsdaten kommen Betrüger dann erst mal nicht weiter. Dabei wird eine Sicherung des zweiten Faktors jedoch oftmals vergessen – wenn der verloren geht, erhält auch der echte Inhaber im Zweifel keinen Zugriff mehr. Im c't-Artikel 'Kein Frust bei Verlust' gibt es Tipps, wie man sich dagegen wappnen kann.

Zudem speichern viele Dienste die Passwörter nur kodiert als Hashes. Diese lassen sich natürlich mit roher Rechengewalt, Wörterbüchern und Rainbow-Tables knacken. Um das zu erschweren, helfen insbesondere sehr lange Passwörter oder Passphrasen. Um c't-Redakteur Sylvester Tremmel zu zitieren: "Auf der sicheren Seite ist aktuell, wer 20 wirklich zufällige Zeichen nutzt, 6 zufällig ausgewählte Wörter oder mehr". Er berichtete, dass kürzlich das Gerücht aufkam, dass die französische Polizei einen mit LUKS verschlüsselten Container habe knacken können.

Welt-Passwort-Tag 2023
Login

Das Abfragefenster für Username und «Password» auf einer Internetseite.

(Bild: dpa, Jens Büttner/zb/dpa)

Die wichtigsten Artikel zum Welt-Passwort-Tag 2023 auf heise online:

Im Artikel "Von Null auf Passwort-Manager – etwas Aufwand, großer Sicherheitsgewinn" gibt Dirk Knop Hilfestellung bei der Einrichtung des Passwort-Managers Bitwarden.

Jan Mahn erläutert in "Zwei-Faktor-Authentifizierung: Kein Frust bei Verlust", wie sich ein Backup von zweiten Faktor anlegen lässt, sodass bei dessen Verlust ein Zugang zu geschützten Konten wiederherstellbar ist.

Der iX-Redakteur Jürgen Seeger hat "Vier FIDO2-Token für den USB-Port im Test", die die passwortlose Zukunft bereits umsetzen.

Außerdem beantworten die c't-Experten Niklas Dierking und Jan Mahn in "Sicherheit fürs Anmelden: Was bei Kennwörtern, FIDO2 und TOTP zu beachten ist" häufig gestellte Fragen zum Thema Passwörter, Mehr-Faktor-Authentifizierung und Passwort-Nachfolger FIDO2.

Die Faktenlage ist noch unklar, es gibt jedoch Vermutungen, dass das Passwort oder die Passphrase nicht so gut wie behauptet waren. Lange Passwörter oder Passphrasen aus wirklich zufälligen Wörtern für jeden Dienst kann sich niemand einfach merken. Daher sollten diejenigen, die noch keinen Passwort-Manager nutzen, unbedingt darauf umsteigen. Der Hintergrundartikel 'Von Null auf Passwort-Manager – etwas Aufwand, großer Sicherheitsgewinn' liefert eine Handreichung zur Installation und zeigt, wie einfach der Umstieg ist. Passwort-Manager erzeugen und verwalten auch die geforderten langen Passwörter problemlos und merken sie sich auch gleich für den Anwender.

Häufig gestellte Fragen, die die 'Sicherheit fürs Anmelden: Was bei Kennwörtern, FIDO2 und TOTP zu beachten ist' betreffen, beantwortet c't in einer FAQ. Darin erwähnt ist schon die geplante Zugangsschutz-Nachfolge für die Post-Passwort-Ära. FIDO2 soll Passwörter endgültig unter die digitale Erde bringen. Dafür gibt es etwa USB-Token, mit denen sich Nutzer anmelden können. Einige Token hat sich die iX jüngst im Artikel 'Vier FIDO2-Token für den USB-Port im Test' einmal genauer angesehen.

Am vergangenen Welt-Passwort-Tag 2022 hatten wir auch Tipps gesammelt, wie sich die Sicherheit im Umgang damit verbessern lässt. Lesen Sie auch unseren Rückblick aus der passwortlosen Zukunft.

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot