Unverzichtbar, Passwörter sind auch ein Ärgernis und eine geistige Übung. Aber neue Techniken wie die Zwei-Faktor-Authentifizierung machen sie noch sicherer und deuten sogar auf ihren Untergang hin.
Gleich zu Beginn sei eine ernste Warnung angebracht: Das Passwort eines E-Mail-Kontos für andere Zwecke zu verwenden, kommt dem Einstecken des Wohnungsschlüssels in den Briefkasten gleich. Tatsächlich kann jeder mit Zugriff auf das E-Mail-Konto praktisch jedes Passwort für andere Dienste zurücksetzen.
Ein starkes, einmaliges E-Mail-Passwort zu haben, ist ein guter Anfang, aber Sie müssen immer noch darauf verzichten, Standardpasswörter für andere Dienste zu übernehmen. Ansonsten bietet eine solche Situation nicht mehr Sicherheit, als den Wohnungsschlüssel in der Milchkiste zu lassen.
Zahlen des National Cyber Security Center (NCSC) zeigen, dass digitale Risiken real sind. Im vergangenen Jahr stieg die Zahl der Anzeigen im Zusammenhang mit Internetkriminalität um 58 %. Ein Großteil davon betraf Betrug und Passwortdiebstahl (Phishing).
Milliarden von gehackten Zugangsdaten
Ein Besuch auf haveibeenpwned.com gibt Ihnen eine Vorstellung davon, welche Milliarden Kontodaten bereits gehackt wurden und ob Ihre auch darunter ist. Derzeit wurden mehr als 12,4 Milliarden Zugangsdaten gehackt.
Am sichersten ist es natürlich, für jeden digitalen Dienst ein anderes Passwort zu verwenden und noch besser, es sporadisch zu ändern. In der Praxis erfordert eine solche Übung jedoch ein gutes Gedächtnis oder viele Notizblöcke.
Es ist am einfachsten, Passwortverwaltungssoftware wie KeePassXC (keepassxc.org) und die zugehörigen mobilen Apps KeePassDX (Android) und KeePassium (iOS) zu verwenden. Diese speichern nicht nur eine Liste mit Passwörtern, sondern füllen auch automatisch die dafür vorgesehenen Felder aus.
2FA – doppelte Sicherheit
Banken und andere sicherheitsbewusste Anbieter verlassen sich jedoch nicht mehr nur auf Benutzernamen und Passwörter, sondern haben eine zusätzliche Sicherheitsebene integriert. Dieses System wird als Zwei-Faktor-Authentifizierung (2FA) bezeichnet und erfordert in der Regel zusätzlich zum Passwort ein Smartphone.
In der Praxis erhält der Internetnutzer, der sich mit einer Website, beispielsweise einer Online-Bank, verbindet, per SMS auf seinem Mobiltelefon nach Eingabe seiner Kennung und seines Passworts einen eindeutigen Code, den er in das entsprechende Feld eintragen muss. Oft gibt es sogar spezielle Sicherheits-Apps, die Sie bei der Anmeldung auf Ihrem Handy öffnen müssen.
Die Zwei-Faktor-Authentifizierung ist etwas komplexer in der Verwendung und bietet zusätzliche Sicherheit. Denn Kriminelle können nur mit dem Passwort nicht auf Daten oder Geld zugreifen.
Ein Sicherheitsstandard: Fido
Allerdings hat das Handy als zweiter Sicherheitsfaktor auch Schwächen, da es sperrig ist, schnell verloren geht oder beschädigt wird und auch gehackt werden kann. Wer noch mehr Sicherheit braucht, kann spezielle USB-Sticks verwenden.
Zum Verbinden müssen Sie den Dongle mit dem PC verbinden. Die Hersteller dieser Instrumente haben sich der Fido-Allianz (Fast IDentity Online) angeschlossen und immer mehr Websites unterstützen den Fido-Standard für die Verbindung. Schweizer Banken sind jedoch nicht enthalten.
Die erwähnten Passworttresore bieten bereits heute eine sinnvolle Anwendung für Fido-Keys. Diese können nur geöffnet werden, wenn der USB-Stick angeschlossen oder drahtlos per NFC gekoppelt wird, indem man ihn auf die Rückseite des Handys legt.
Bekannte Hersteller solcher USB-Sticks sind die schwedische Firma Yubico (www.yubico.com) und Token2 aus Genf (www.token2.swiss).
Bald ohne Passwörter?
Die von Fido verwendete Technik ist so sicher, dass sie ohne Passwörter auskommen könnte. Diese Meinung teilend, schlossen sich die Giganten Apple, Microsoft und Google der Allianz an und integrierten Fido direkt in ihre Betriebssysteme. Alles funktioniert unter dem Namen „Passkey“ auf Apple, Google (Chrome, Android) und Windows 11.
Passkey verwendet dann ein Mobiltelefon als Fido-Schlüssel. Als zweiten Sicherheitsfaktor müssen Sie sich beim Login jedoch zusätzlich per Fingerabdruck oder Gesichtserkennung ausweisen.
Auf dem Mobiltelefon ist es möglich, Websites oder Anwendungen völlig sicher zu nutzen, ohne ein Passwort eingeben zu müssen. Am PC muss man das Handy neben den Computer legen und per Bluetooth koppeln. Da Passkey mit allen Herstellern kompatibel ist, kann ein iPhone sogar neben einem Windows-PC platziert werden.
Damit Passkey funktioniert, müssen Internetdienste jedoch auch ihre Anmeldeseiten und -verfahren anpassen. Ein Schritt, der sich noch als schwierig erweist, da die Liste der unterstützten Dienste (https://passkeys.directory) derzeit sehr bescheiden ist.
Dieser Artikel wurde automatisch veröffentlicht. Quelle: ats
„Food-Nerd. Amateur-Problemlöser. Beeraholic. Neigt zu Apathieanfällen.“