Passwörter - P@$$w*Rt3r
In diesem Kapitel erfahren Sie was sichere Passwörter ausmacht und wie Sie diese auch einfach und bequem nutzen können.
Die Authentifizierung ist eine der häufigsten und wichtigsten Sicherheitsaufgaben, mit denen Sie konfrontiert sind. Eine Form der Authentifizierung ist das Passwort. Es dient als Nachweis dafür, dass ein:e Nutzer:in auch wirklich die Person ist, die er:sie vorgibt zu sein.
Inhaltsverzeichnis
Passwörter sind wichtig
Passwörter sind wichtig
Was gute und schlechte Passwörter ausmacht
Was gute und schlechte Passwörter ausmacht
Passwörter schützen und aufbewahren
Passwörter schützen und aufbewahren
Passkeys – eine Alternative zu Passwörtern?
Passkeys – eine Alternative zu Passwörtern?
Passwörter sind wichtig
Die Benutzer:innen müssen ihre Identität mehrmals am Tag nachweisen, sei es online (auf Websites), auf ihren Geräten (z.B. beim Entsperren des Mobiltelefons) oder an anderen Geräten (z.B. an Geldautomaten). Die gängigste Methode der Authentifizierung ist das Passwort. In diesem Modul zeigen wir, was ein sicheres Passwort ausmacht, wie Passwörter angegriffen werden und wie man sich gegen diese Angriffe verteidigen kann.
Zugangsbeschränkungen und starke Passwörter sind entscheidend für die Sicherheit von unternehmerischen Daten und Systemen, da sie den unbefugten Zugriff auf vertrauliche Daten verhindern. Sie schützen vor potenziellen Angriffen auf die IT und Datenlecks, die zu erheblichen finanziellen und reputativen Schäden führen können. Außerdem sind alltägliche Abläufe in vielen Unternehmen gefährdet, wenn Pläne, Kund:innendaten oder Computersysteme kompromittiert sind.
Teil eines guten Sicherheitskonzepts sind für die eigenen Zwecke passende Zugriffsrechte. Funktionierende Zugangskontrollen gewährleisten, dass nur autorisierte Personen Zugang zu sensiblen Informationen erhalten, was das Risiko von Missbrauch und Sicherheitsvorfällen erheblich reduziert.
1. Es gibt drei Arten der Authentifizierung
- etwas, das man weiß – Wissen
- etwas, das man hat – Besitz
- und etwas, das man ist – Biometrische Merkmale
Wissen
Wissen
Der Wissensfaktor kann jeder Authentifizierungsfaktor sein, der aus Informationen besteht, die der:die Nutzer:in kennt. Zum Beispiel eine persönliche Nummer (PIN), ein Benutzername, ein Passwort oder eine Antwort auf eine geheime Frage.
Besitz
Besitz
Ein Berechtigungsnachweis, der auf Gegenständen basiert, die man besitzen und bei sich tragen kann. Das können Hardwaregeräte wie ein RFID-Chip, ein Mobiltelefon, das verwendet wird, um eine Textnachricht zu akzeptieren oder eine Authentifizierungs-App ausführen. Eine Authentifizierung über Besitz findet beim bargeldlosen Bezahlen mit der Bankomatkarte statt.
Biometrie
Biometrie
Man kann sich auch authentifizieren, indem ein eindeutiges Merkmal der zu authentifizierenden Person überprüft wird. Diese eindeutigen Merkmale des Körpers werden Biometrie genannt. Am häufigsten wird heutzutage der Fingerabdruck benutzt. Aber auch Scans der Iris, die Form der Ohren oder das Verlaufsmuster der Venen in den Händen können benutzt werden, um eine Person eindeutig zu identifizieren.
In einem System, welches einen Irisscan des Auges zur Authentifizierung verwendet, kann man das „Passwort“ maximal zweimal ändern, weil man nicht mehr Augen hat. Biometrische Merkmale sind NICHT veränderbar. Ein Nachweis für eine Zugriffsberechtigung sollte aber immer veränderbar sein, um auch sicher zu bleiben.
Biometrie auf den eigenen Geräten
Am häufigsten werden biometrische Authentifizierungen auf unseren Smartphones zum Entsperren der Geräte genutzt. Weil wir so oft auf unsere Smartphones schauen und das Entsperren mit Fingerabdruck oder Gesichtserkennung schnell geht, ist es vor allem dort so beliebt. Auf modernen Smartphones werden die Abbilder Ihrer Fingerabdrücke verschlüsselt auf dem Gerät gespeichert und nicht an Server gesendet. Diese werden auf dem Smartphone sogar in einem speziellen Datenbereich gespeichert. Dieser Speicherplatz ist besser abgetrennt und geschützt als der Speicher für andere Dateien wie Apps, Fotos und Musik. Niemals sollten biometrische Daten bei einem Onlinedienst oder dem:der Betreiber:in eines Zugangssystems gespeichert werden! Sie können Ihre biometrischen Daten nicht ändern. Wenn Ihr Passwort gestohlen, verkauft oder (unabsichtlich) weitergegeben wird, können Sie es durch ein neues ersetzen. Ihre biometrischen Daten sind jedoch unveränderbar und der Schaden wäre dauerhaft. Ihr Smartphone mit Biometrie zu entsperren, bringt aber andere Gefahren mit sich. Informieren Sie sich unbedingt genauer dazu im Kapitel „Geräte sichern“ und lernen Sie dort, wie Sie diesen Gefahren begegnen können. Mehr zu biometrischer Massenüberwachung finden Sie in Kapitel 01.
Biometrie - unknackbar und sicher?!
Auch biometrische Authentifizierungsmethoden können umgangen oder gefälscht werden. Gezeigt wurde dies bereits für Fingerabdrücke, Gesichtsscans (Video "Sichere Authentifizierung - wie man Biometrie und Passwörter richtig verwendet") und Venenscans (Video "Venenerkennung hacken"). Amüsant und erschreckend zugleich erscheint dabei die Schnelligkeit mit der beim folgenden Video der Iriscan eines Samsung Galaxy S8 bei einem Smartphone umgangen wird:
2. Zwei-Faktor-Authentifizierung – 2FA
Die unterschiedlichen Arten der Authentifizierung werden oft kombiniert, um die Sicherheit zu erhöhen z.B. Bankomatkarte (Besitz) und PIN (Wissen). Viele Onlinedienste bieten mittlerweile Verfahren für 2FA (zweistufige Verifizierung) an, die zusätzlich zu der Passwortabfrage genutzt werden können. So können Sie Ihre Konten etwa absichern, in dem Sie ein zusätzliches Einmalpasswort per SMS, oder E-Mail bekommen oder mit Hilfe einer App Ihren Login bestätigen müssen. Sie sollten bei Ihren wichtigen Accounts 2FA nutzen. Ihre E-Mail Konten sind besonders wichtig und diese sollten Sie auf jeden Fall damit absichern, da über E-Mail Konten die Passwörter aller damit verknüpften Konten, wie die von Online-Shops, Versicherungen oder Social Media Accounts, zurückgesetzt werden können. Ein gutes Passwort und 2FA können einen Großteil der gängigen Angriffsversuche aufhalten.
Was gute und schlechte Passwörter ausmacht
Wie werden Passwörter gehackt?
1. Brute Force – Durchprobieren
Einige der häufigsten Angriffe auf Passwörter sind recht simpel: Hacker:innen probieren alle möglichen Buchstaben- und Zahlenkombinationen aus, bis die richtige Zusammensetzung gefunden ist. Diese Art von Angriffen wird Brute-Force-Angriff genannt, auf Deutsch bedeutet das „rohe Gewalt“ und führt durch die hohe Leistungsfähigkeit heutiger Computer oft schnell zum Erfolg. Zusätzlich macht sich der:die Angreifer:in zunutze, dass die meisten Anwender:innen leicht zu merkende Buchstaben- und Zahlenkombinationen verwenden. Diese Möglichkeiten werden von Angreifer:innen als Erstes unter die Lupe genommen, z.B. indem sie alle Wörter aus dem Duden automatisiert durchprobieren (Wörterbuchattacke). Das Grundproblem ist der:die Internetnutzer:in selbst. Denn die meisten Menschen neigen dazu, einfache und kurze Passwörter zu benutzen. In Bezug auf die Sicherheit ist aber besonders die Länge des Passwortes wichtig. Der Rechenaufwand bei einem Brute-Force-Angriff steigt mit jedem weiteren Zeichen, das verwendet wird, stark an.
Länge und Komplexität sind nicht alles
Die Daten aus der Tabelle sind von 2021 und verdeutlichen wie schnell automatisiertes Ausprobieren von Kombinationen möglich ist. Durch die Zunahme von Rechenleistung und Verbesserung der Methoden um Passwörter zu knacken, verändern sich diese Zahlen. Wichtig ist es, sich nicht in einem Gefühl falscher Sicherheit zu wiegen, weil das eigene Passwort den Kriterien "lange" und "komplex" entspricht. Brute Force ist nur eine der Angriffsmöglichkeiten. Ebenso häufig finden Angriffe mit dem Einsatz von Keyloggern oder Phishing (siehe unten) auf Passwörter statt. Genauso ist das eigene riskante Passwortverhalten wie die Wiederverwendung oder nur geringe Abänderung problematisch. Durch diese drei Möglichkeiten werden Zugewinne an Sicherheit durch Komplexität gänzlich zu nichte gemacht.
2. Social Engineering
Von Social Engineering („soziale Manipulation“) spricht man immer dann, wenn ein:e Angreifer:in versucht, z.B. an den Email-Account einer anderen Person zu kommen und dafür menschliche Eigenschaften ausnutzt, um sein:ihr Ziel zu erreichen. Social Engineering Angriffe sind eine extrem effiziente Methode eines Angriffs gegen Firmen und zwar sehr oft ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, z.B. positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis. Ein Beispiel ist der sogenannte Chef-Trick (CEO-Fraud). Ein:e Angreifer:in gibt sich dabei als Vorgesetzte:r aus und fordert die sofortige Herausgabe einer bestimmten Information (z.B. eines Passworts) oder die Überweisung von Geld.
Die klassischen Techniken sind
verlocken
verlocken
- überreden
- schmeicheln
- verführen
- bestechen
täuschen
täuschen
- vorspiegeln falscher Tatsachen
- hochstapeln
- betrügen
unter Druck setzten
unter Druck setzten
- einschüchtern
- bedrohen
- erpressen
3. Passwort stehlen
Phishing
Eine bekannte Variante des Social Engineering ist das Phishing. Bei dieser Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potenziellen Opfer versendet. Inhalt dieser Nachrichten kann z.B. sein, dass ein bestimmter Dienst, den man nutzt einen auffordert einem Link zu folgen und sich einzuloggen. Es wird eine neue URL angeboten über die man sich zukünftig einloggen soll, wenn man den Dienst weiterhin in Anspruch nehmen will. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters. Oder der Inhalt der E-Mail soll eine:n dazu bringen, einen Link anzuklicken oder eine Datei zu öffnen. Das sind Möglichkeiten Schadsoftware auf den Computer zu laden.
Phishing-Simulation
Hier können Sie sich zu einer Phishing-Simulation anmelden. Sie bekommen dann Phishingmails zugesandt.
Mit diesem Tool können Sie ausprobieren, wie fit Sie im Erkennen von betrügerischen Nachrichten sind!
4. Datenbank stehlen
Auch ganze Datenbanken von massenhaft genutzten Diensten werden gestohlen. Nicht immer werden diese durch technische Hilfsmittel geknackt. Oft sind Datenbanken durch einen Fehler der Betreiber:innen nicht ausreichend geschützt und deshalb leichte Beute. Diese Daten können weiterverkauft und/oder für weitere Angriffe genutzt werden.
Sie sollten deshalb ein Passwort nur für einen einzigen Zweck verwenden und es vor allem nicht für mehr als ein Online-Konto einsetzen.
Bin ich bereits betroffen?
Hier können Sie ausprobieren, ob ein Account von Ihnen in einem der bekannten Leaks auftaucht. Jedoch Vorsicht: Geben Sie hier oder bei ähnlichen Seiten niemals Ihre Passwörter ein!
5. Passwort Herausgabe erzwingen
In Österreich kann man nicht per Gesetz dazu gezwungen werden, sein Passwort herauszugeben. In anderen Ländern gibt es jedoch gesetzliche Grundlagen, die z.B. eine Beugehaft zulassen, wenn man Passwörter nicht herausgibt. In totalitären Regimen ist natürlich auch ein Erzwingen der Herausgabe durch Schläge und Folter üblich. Und ein Finger ist weltweit schnell mit Gewalt auf den Sensor Ihres Smartphones gedrückt.
6. Mehrfach verwendetes Passwort
Mehrfach verwendete Passwörter erhöhen das Risiko massiv. Wenn das Passwort einmal in fremde Hände gelangt ist, sind gleichzeitig mehrere Accounts betroffen. Manchmal werden Webseiten von Angreifern manipuliert, um an Passwörter zu gelangen oder Passwortdatenbanken zu stehlen. Wenn Sie ein Passwort mehrfach verwenden und dieses bei einer Datenpanne oder auf andere Weise in fremde Hände gelangt ist, kann es für den Zugriff auf Ihre anderen Konten verwendet werden.
Wie vorgehen, wenn Ihr Account betroffen ist?
Wenn Sie wissen oder den Verdacht haben, dass jemand Zugriff auf einen Account von Ihnen hat, sollten Sie sofort die folgenden Maßnahmen treffen:
- Wenn Sie bei dem betroffenen Account eine E-Mailadresse angegeben haben, gehen Sie zuerst zu diesem E-Mail Konto. Setzen Sie für dieses E-Mail Konto ein neues und sicheres Passwort. Das ist wichtig, weil das Passwort für die meisten Accounts über die E-Mail zurückgesetzt werden kann.
- Bei vielen Diensten kann man sich in den Einstellungen ansehen welche Geräte Zugriff haben. Beenden Sie alle laufenden Zugriffe.
- Ändern Sie das Passwort für den betroffenen Account.
- Erneuern Sie die Passwörter Ihrer anderen Accounts, vor allem falls auch ein E-Mail Konto betroffen war.
- Verbessern Sie Ihre Sicherheit durch Aktivierung von 2-Faktor-Authentifizierung, wenn sie für Ihre Accounts angeboten wird.
- Je nach schwere des Verdachts bzw. Angriffs ergibt es Sinn, private und berufliche Kontakte vom IT-Sicherheitsvorfall zu erzählen, damit diese wissen, dass Angreifer:innen neu gewonnene Informationen über Sie in einem weiteren Scam nutzen könnten.
Gute Passwörter verwenden
Eigentlich ist klar, dass Passwörter einen Zugang nur schützen können, wenn man sie nicht einfach erraten kann. Je länger und komplizierter, desto besser. Noch wichtiger ist es, für jeden Zugang ein anderes Passwort zu setzen.
Schlechte Passwörter
- kurz < 12 Zeichen
- Einfach, nur Nummern, nur Kleinbuchstaben
- Wiederverwendet bei anderen Diensten
Gute Passwörter
- Lang > 32 Zeichen
- Komplex, Alphanumerisch und Sonderzeichen
- Einzigartig für diesen Dienst
Top Ten der deutschen Passwörter 2023
Diese Liste der meist verwendeten Passwörter zeigt, dass unsichere Passwörter sehr verbreitet sind:
- 123456789
- 12345678
- hallo
- 1234567890
- 1234567
- Password
- password1
- target123
- iloveyou
- gwerty123
Die Erfahrung zeigt leider, dass auch in beruflichen Kontexten aufgrund von Komfort und Zeitdruck sehr unsichere Passwörter zum Einsatz kommen. Das ist selbst der Fall, wenn es sich um Zugänge zu sensiblen Daten und Systemen handelt.
Passsätze
Das Wort "Passsatz" wird verwendet, um die Idee zu vermitteln, dass ein Passwort, das aus einem einzigen Wort besteht, viel zu kurz ist, um Ihre Accounts und Daten zu schützen. Die Verwendung einer längeren Phrase ist sicherer und als Satz leicht zu merken. Die größere Länge kann insgesamt mehr Möglichkeiten bieten, selbst wenn Sie einen Passsatz aus zufälligen Wörtern verwenden, um sich diese zu merken. Passsätze, die aus zufällig ausgewählten Wörtern bestehen, können sowohl leicht zu merken als auch schwer zu erraten sein, und das ist es, was wir von einer Passphrase erwarten.
Passwortmanager helfen Ihnen bei der Erstellung zufälliger Passsätze.
Wenn Sie einen Passsatz wählen, nehmen Sie keine Sätze aus Büchern, Liedern oder Webseiten. Diese werden von Angreifern oft sehr schnell automatisiert durchprobiert. Dialektwörter eignen sich aufgrund ihrer begrenzten Verbreitung besser.
- ️Verwenden Sie ein Passwort mit möglichst vielen Zeichen. Es sollte mindestens 32 Zeichen lang sein.
- Verwenden Sie nach Möglichkeit Zwei- oder Multi-Faktor-Authentifizierung. Vor allem für E-Mailkonten und besonders schützenswerte Dienste wie Bankkonten oder Software, die sensible Daten verwaltet.
- Verwenden Sie eine leicht zu merkende Passphrase für Accounts, die Sie sich merken müssen (Verschlüsselung von Festplatten, Geräteanmeldung, Passwortmanager).
- Verwenden Sie nie das gleiche Passwort für unterschiedliche Accounts.
„Der Name Ihres ersten Haustiers?“ - Sicherheitsfragen
Falls Sie Ihr Passwort vergessen haben, können Sie oft mittels einer zusätzlichen Sicherheitsfrage Ihre Identität beweisen und bekommen so trotzdem Zugriff auf Ihren Account. Einfach gesagt sind das Fragen, die für Sie einfach zu beantworten sind, die aber für andere beinahe unmöglich zu wissen sein sollten. Meistens wird nach Details aus dem Leben oder dem engen Umfeld einer Person gefragt. Die Information, nach der gefragt wird, ist aber mittlerweile oft durch Internetrecherche herauszufinden. Auch sind die Fragen eher ungeeignet, weil die Antworten immer wieder vorkommen. Zum Beispiel ist die Anzahl der meist genutzten Haustiernamen begrenzt und kann erraten werden. Wenn Sicherheitsfragen benutzt werden müssen, kann man statt der eigentlichen Antwort ein Passwort aus zufälligen Zeichen oder einen Passsatz eintragen. Damit umgeht man das Problem der immer gleichen Sicherheitsfragen und ist wesentlich besser geschützt.
Passwörter schützen und aufbewahren
Passwortmanager nutzen
Passwortmanager sind eine großartige Möglichkeit, um das Problem der Wiederverwendung von Passwörtern und Passphrasen zu vermeiden. Passwortmanager können dabei helfen, viele komplizierte Passwörter einfach zu verwenden. Dabei muss man sich nur ein Master-Kennwort oder einen Passsatz merken und kann für alle Zugänge sehr leicht beliebig komplexe Passwörter nutzen. So erhalten Nutzer:innen am Ende bessere Sicherheit, sogar mit einem Komfortgewinn.
Für Unternehmen ist die Nutzung von Passwortmanagern besonders hilfreich, weil sie die Handhabung einzigartiger und sicherer Passwörter komfortabel und schnell ermöglichen. Außerdem vereinfachen sie ein verantwortungsvolles Passwortmanagement und reduzieren den administrativen Aufwand, da die Zugriffskontrolle zentral verwaltet werden kann.
Beispiele für Passwortmanager
- KeePass, KeePassXC
- 1Password, KDBX4 oder höher
- BitWarden
Passkeys – eine Alternative zu Passwörtern?
Sichere Passwörter - 100% sicher?
Hundertprozentige Sicherheit gibt es auch in der digitalen Welt nicht. Allerdings verspricht eine neue Technologie, die nach und nach von den größten Internetfirmen bereits angeboten wird, zumindest Phishing- und Bruteforce-Angriffen auf Passwörter das Laufwasser wegzunehmen: Passkeys
Passwörter und Passkeys erfüllen dieselbe Funktion: Für den Login bei einem Webdienst müssen Sie „beweisen“, dass Sie Sie sind. Das kann mit einem Benutzernamen und einem vorher festgelegten „Geheimnis“, also dem Passwort, passieren. Stimmen Benutzername und Passwort überein, ist der Login erfolgreich. Wie Sie aber schon wissen, sind Passwörter einer Vielzahl von Angriffen ausgesetzt, d.h. wer Ihr Passwort kennt, kann sich sehr einfach Zugang zu Ihrem Account verschaffen. Daher werden neue Möglichkeiten zur Erhöhung der Sicherheit bei der Authentifizierung entwickelt.
Eine immer beliebter werdende Variante sind sogennante „Passkeys“. Passkeys zu nutzen ist - wenn dieses Verfahren bereits unterstützt wird - recht einfach: Besuchen Sie eine Website und legen einen Benutzer:innen-Account an, wird der Passkey automatisch für Sie erstellt und auf ihrem Gerät, z.B. Ihrem Smartphone, gespeichert. Für jeden weiteren Login brauchen Sie nichts weiter zu tun, als Ihr Gerät zu entsperren.
Wie funktionieren Passkeys?
Nutzen Sie einen Passkey zur Anmeldung, ist die Methode zur Authentifizierung eine andere als bei einem Passwort: Hier kommt asymmetrische Verschlüsselung, die Sie bereits aus dem Kapitel Sicher kommunizieren kennen, zum Einsatz: Das Geheimnis ist nun nicht mehr Ihr Passwort, sondern Ihr privater Schlüssel, der tatsächlich geheim bleibt, weil er auf dem Gerät, das für den Passkey genutzt wird, verbleibt. Der private Schlüssel wird niemals an einen Webdienst übermittelt - er erhält nur Ihren öffentlichen Schlüssel. Für einen erfolgreichen Login wird eine Autorisierung an Ihrem lokalen Gerät (= der geheime Schlüssel) benötigt. Etwas vereinfacht ausgedrückt: Sie beweisen dem Webdienst, dass Sie im Besitz Ihres privaten Schlüssels sind, ohne den Schlüssel preiszugeben.
Jetzt denken Sie sich vielleicht: Wenn alle Passkeys lokal auf einem Gerät gespeichert sind, was ist, wenn ich dieses Gerät verliere oder nicht dabei habe? Gut aufgepasst! Möchten Sie Ihre Passkeys auf mehreren Geräten nutzen, gibt es dafür eine Lösung: die Synchronisierung der Passkeys mit der Cloud des jeweiligen Anbieters. Aktuell ist es so, dass vor allem die großen Anbieter – Apple, Google und Microsoft – versuchen, Sie in ihr Ökosystem zu binden. Aber es gibt Alternativen: Auch Bitwarden, ProtonPass, KepassXC und 1Password unterstützen Passkeys.
Sicherheitsvorteile durch die Nutzung von Passkeys
Was die Sicherheit anbelangt, sind Passkeys Passwörtern eindeutig überlegen, und zwar aus mehreren Gründen:
- Sie müssen sich nicht mehr um einzigartige und sichere Passwörter kümmern (und sich diese merken), weil für jeden Webdienst ein eigener Passkey erzeugt wird
- Ihr privater Schlüssel bleibt geheim, da er lokal und verschlüsselt auf Ihrem Gerät hinterlegt ist und nicht auf den Servern eines Unternehmens gespeichert wird
- Da jeder Passkey kryptografisch an die Domain eines spezifischen Webdienstes gebunden ist, werden Phishing-Angriffe wirkungslos. Menschen können zwar durch ähnlich lautende Webadressen getäuscht werden, die zugrunde liegende Kryptografie jedoch nicht.
- Passkeys bieten eine komfortable und schnelle Multi-Faktor-Authentifizierung (MFA) in einem einzigen Schritt, indem sie etwas, das Sie haben (Ihr Gerät), mit etwas, das Sie wissen (Ihre PIN), oder etwas, das Sie sind (Ihre Biometrie), kombinieren.
- Passkeys sind einzigartig für jeden Dienst und können somit nicht als Tracking ID verwendet werden.
- Passkeys sind einfach und komfortabel in der Nutzung, zumindest in der Theorie.
Einschränkungen
- Während Passkeys durch einen universellen Standard (FIDO2 & W3C) spezifiziert sind, ist die Implementierung dieser oft sehr unterschiedlich. Microsoft, Google und Apple versuchen, Ihre Passkeys in ihren eigenen, meist nicht plattformübergreifenden Systemen gefangen zu halten. Sie lassen sich in der Regel nicht oder nur sehr schwer exportieren und auf anderen Systemen oder Geräten verwenden. Somit ist in der Praxis die Verwendung auf gewisse Geräte und Systeme beschränkt, ohne dass dies den Benutzer:innen kommuniziert wird.
- Bis auf sehr seltene Ausnahmen (wie das Google Advanced Protection Programm) erlauben Dienste einen Rückfall zu passwort-basierter Authentifizierung oder verlangen sogar weiterhin unsichere 2FA Methoden wie SMS zu verwenden. Somit können Passkeys einfach umgangen werden.
Liegen die Passkeys in der Cloud, gehen damit bestimmte Sicherheitsbedenken einher: eine erhöhte Angriffswahrscheinlichkeit durch zentrale Speicherung, proprietäre Software, die nicht von dritten Parteien überprüft werden kann, und je nach Standort des Cloud Servers die dort geltende Rechtslage. Daher ist es wichtig, die Vertrauenswürdigkeit der Anbieter zu prüfen. Eine Alternative, die Sie nutzen können, wenn Sie nicht möchten, dass Ihre privaten Schlüssel mit den Cloud-Diensten von Apple, Google & Co synchronisiert werden, ist ein FIDO2 zertifizierter Hardware Key.
Beginnen Sie gleich mit der Umsetzung!
5 Dinge mit denen Sie noch heute für mehr Passwortsicherheit sorgen können
Speichern Sie Ihre Passwörter im Passwortmanager - das ist komfortabler und sicherer! Entscheiden Sie sich für einen Passwortmanager und beginnen Sie mit der Einrichtung, am besten mit jenen Zugangsdaten, die Sie am häufigsten nutzen. Nach und nach können Sie alle Zugänge ersetzen.
Die Nutzung eines Passwortmanagers schafft Abhilfe gegen die gefährliche Wiederverwendung von Passwörtern und erleichtert den Workflow. In Word-Dokumenten, digitalen Notizen oder E-Mail-Entwürfen abgelegte Passwörter sind ein Sicherheitsrisiko.Ändern Sie nach und nach alle Ihre Passwörter auf lange und komplexe Kombinationen und vor allem einzigartige Passwörter – also starke Passwörter. Beginnen Sie heute bei den Passwörtern für Ihre E-Mail-Accounts und den Passwortmanager.
Richten Sie wo möglich Zwei-Faktor-Authentifizierung (2FA) ein.
Vermeiden Sie öffentliche WLAN-Netzwerke für sensible Daten/Aktivitäten und nutzen Sie ein vertrauenswürdiges VPN , das Ihre Daten schützt.
- Überlegen Sie, ob Sie im Büro oder Zuhause Passwörter an Stellen aufbewahren, wo sie aus eigener oder fremder Unachtsamkeit öffentlich werden könnten – z.B. Selfie am Homeoffice-Schreibtisch.