Home » Fachbeiträge » Cybersecurity » Absicherung von Logins: Schluss mit dem Passwort-Humbug und hin zur Problemlösung!

Absicherung von Logins: Schluss mit dem Passwort-Humbug und hin zur Problemlösung!

Anlässe wie der „Welt-Passwort-Tag“ sind seit Jahren ein gefundenes Fressen, um die Passwort-Sau öffentlichkeitswirksam durchs Dorf zu treiben. Dabei ist die menschliche Resistenz gegen solche Tipps gar nicht das eigentliche Übel, sondern vielmehr eine fast selbstverständliche Rahmenbedingung, meint unser Autor und fordert, den Fokus auf zusätzliche Sicherheitsebenen zu legen.

2 Min. Lesezeit
Bild World Password Day mit Logo
Foto: ©AdobeStock/Bilal

Von Michael Haas

Pünktlich zum „Ändere-dein Passwort“-Tag oder zum „Welt-Passwort-Tag“ im Mai überschlagen sich wieder die Experten allerorts mit schlauen Hinweisen, wie ein sicheres Kennwort auszusehen hat. Zeichenlänge, Kombination von Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen, regelmäßige Änderungszyklen …. nichts, was wir nicht schon tausendmal gehört hätten – und die meisten Anwender genauso oft wieder vergessen. Dabei ist die menschliche Resistenz gegenüber solchen Tipps gar nicht das eigentliche Übel, sondern vielmehr eine nahezu selbstverständliche Rahmenbedingung.

Es wird immer Leute geben, die der eigenen Bequemlichkeit trotz allen besseren Wissens den Vorrang einräumen. Fatal ist jedoch, dass die Rumreiterei auf Passwort-Best-Practices den Blick auf die eigentliche Problemlösung verstellt. Wir müssen lernen, die Gewohnheiten, die sich sowieso nicht ändern lassen, hinzunehmen. Viel wichtiger ist es, solchen Schwächen in anderer Form etwas entgegenzusetzen.

Schwächen der Passwortnutzung

Sehen wir uns doch mal die gängigsten Methoden an, mit denen Angreifer in den Besitz von Kennwörtern gelangen: Beim sogenannten Wörterbuchangriff wird mittels elektronischer Wörterbücher versucht, das Passwort zu erraten. Natürlich umfassen diese Listen in der Regel die am häufigsten verwendeten Passwörter. Wer immer noch „123456“ verwendet, macht Angreifern das Leben extrem leicht. Das Gleiche gilt im Zuge von Brute-Force-Attacken, bei denen automatisierte Tools zum Einsatz kommen, die so lange jede mögliche Kombination aus Buchstaben, Zahlen und Symbolen ausprobieren, bis das Passwort geknackt ist. In beiden Fällen mögen die bereits angesprochenen Tipps zur Erstellung komplizierterer Passwörter also noch in gewissem Maße ihre Berechtigung haben – zumindest, wenn es um die Zeitachse geht. Aber das war es dann auch schon.

Am Ende kommt es nicht darauf an, dass ein Passwort extrem lang ist, sich dabei aus einem Potpourri aus Zahlen, Buchstaben und Sonderzeichen aus aller Welt bedient und täglich geändert wird. Denn wenn via Social-Engineering – also das Ausnutzen menschlicher Schwächen und Manipulation bzw. Täuschen von Anwendern – so geschickt vorgegangen wird, dass der Anwender persönlich sein Passwort über Phishing-Websites preisgibt, spielt es überhaupt keine Rolle, ob dieses aus drei oder 256 Zeichen besteht. Verschärft wird die Situation durch Datenlecks, bei denen aus Unternehmenssystemen ganze Listen mit gültigen Login-Daten jeder Länge und Komplexität abfließen, die dann nicht selten und ganz schnell im Dark Web wieder auftauchen.

Einsatz von MFA sinnvoll

Der Fokus muss also weg vom Passwort und hin zu zusätzlichen Sicherheitsebenen. An einem einfachen Passwort ist grundsätzlich nichts Verwerfliches – solange dessen Verwendung bloß der erste Schritt im Rahmen von Multifaktor-Authentifizierung (MFA) ist. Anstatt sich alle Nase lang mit neuen Passwörtern zu beschäftigen, ist es gerade im Unternehmensumfeld für die Mehrzahl der Beschäftigten beim Zugriff sogar deutlich einfacher, das bestehende Passwort beispielsweise per Klick auf die an das eigene Smartphone gesendete Authentifizierungsnachricht zu bestätigen.

Und wenn es im Zuge dessen einen begründeten Verdacht gibt, dass die Daten in die falschen Hände geraten sind, kann die Passphrase immer noch geändert werden. Es steht außer Frage, dass die Absicherung des Zugangs zu vertraulichen Informationen wichtig ist, aber dies gelingt nie und nimmer mithilfe eines „Welt-Passwort-Tages“, ganz im Gegenteil. Also Schluss mit Passwort-Feiertagen! Wenn überhaupt, sollte es den „Welt-MFA-Tag“ geben. Und noch sinnvoller ist es, über MFA nicht nur zu reden, sondern sie einzusetzen!

Porträtfoto Michael Haas
Foto: WatchGuard Technologies

Michael Haas ist Regional Vice President Central Europe bei WatchGuard Technologies.

Andere interessante Fachbeiträge

Hacker stielt Daten aus Laptop

Learnings aus dem Microsoft Crashdump-Hack

Wenn in einem der sichersten IT-Support-Center der internationalen Softwareindustrie ein Master-Key gezielt aus einem Crash-Dump gestohlen wird, dann zeigt dies zweierlei: Zum einen nutzen Hacker IT-Diagnosedateien als „Fundgrube“ für sicherheitskritische und sensible Informationen, und zum anderen sind diese Inhalte in keinem IT-Betrieb oder IT-Support dieser Welt wirklich sicher.

Porträt Mann mit verwundertem Blick

Raus aus der Opfer-Starre

Vor dem Hintergrund zunehmender hybrider Bedrohungen stehen Führungskräfte mehr denn je vor der Herausforderung, manipulativen Cyberangriffen bestmöglich zu begegnen. Dazu sind Kompetenzen jenseits von Sicherheitssoftware gefragt. Hier setzen Methoden des Change-Managements an.

Zwei ineinanderliegende Masken, Deepfakes

Wie Cyberkriminelle und der Einsatz von KI unsere Sicherheit bedrohen

Der Global Risk Report des Weltwirtschaftsforums wählte KI-gepowerte Informationsmanipulation zum größten Risiko des Jahres, weil generative künstliche Intelligenz (KI) durch Deepfakes, Fake News und ultrapersonalisierte Wahlwerbung die Demokratie gefährden kann. Doch KI hat noch viel mehr Risiken.