Am 5. Mai ist World Password Day. Auch wenn in letzter Zeit viel von passwortloser Sicherheit die Rede ist und dem Passwort schon mehrfach ein leises Versinken in der Bedeutungslosigkeit prophezeit wurde, gehören Passwörter weiterhin zu den wichtigsten IT-Security-Maßnahmen. Werner Thalmeier fasst die Lage zusammen und hat anlässlich des World Password Day einige Tipps für Passwortverwaltung und -erstellung parat.
„Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyberangriff zu vereiteln. Einer der häufigsten Fehler, den Menschen machen, ist der Gebrauch derselben Kombination aus Benutzername bzw. E-Mail-Adresse und Kennwort für verschiedene Websites oder Geräte. Insbesondere angesichts der zunehmenden Anzahl erfolgreicher Phishing-Kampagnen birgt die Wiederverwendung von Kennwörtern ein enormes Risiko. Bei den erwähnten Phishing-Kampagnen werden gefälschte Websites verwendet, die wie die Anmeldeseite eines legitimen Online-Dienstes aussehen, um Benutzernamen und Passwörter zu stehlen.
Unsere Empfehlung an Verbraucher lautet daher, unterschiedliche Passwörter zu verwenden, speziell, wenn es sich um wichtige Konten etwa bei der Bank oder andere sensible Daten handelt. Ferner sollten möglichst viele Konten mit einer Multi-Faktor-Authentifizierung (MFA) geschützt werden, sofern diese verfügbar ist. Steht MFA für einen Account nicht zur Verfügung, sollte zumindest ein Passwort-Manager zum Einsatz kommen. Passwort-Manager erstellen zufällige Kennwörter, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind. Dadurch entfällt der Aufwand, sich komplizierte Anmeldedaten für verschiedene Websites zu merken. Sollten Wörter als Teil des Passworts verwendet werden, sollten die Nutzer darauf achten, dass dies keine gebräuchlichen Wörter oder Phrasen, Namen oder Daten sind, die von Angreifern mit einer Person oder dessen Familienmitgliedern in Verbindung gebracht werden können. Außerdem sollten alle Passwörter zweimal im Jahr geändert werden – im geschäftlichen Umfeld sogar alle drei Monate.
Da 90 Prozent der erfolgreichen Cyberangriffe eine menschliche Interaktion erfordern, ist es für Unternehmen wichtig, einen auf den Menschen ausgerichteten Sicherheitsansatz zu verfolgen. Daher sollte zwingend sichergestellt werden, dass sowohl die Mitarbeiter im Büro als auch die im Außendienst Schulungen und Weiterbildungen zu den besten Methoden erhalten, um Cybersicherheit zu gewährleisten. Dazu zählen beispielsweise Trainings, wie man einen Phishing-Versuch erkennt und sichere Kennwörter erzeugt.“
Tipps zur Passwortverwaltung und -erstellung in aller Kürze:
- Verwenden Sie Multifaktor-Authentifizierung (MFA) für so viele Konten wie möglich. Das Grundkonzept besteht darin, zwei Arten von „Beweisen“ zur Verifizierung der Identität zu nutzen, bevor ein Zugriff gewährt wird. Dadurch erhöht sich der Schutz des Kontos signifikant. Wenn Sie sich beispielsweise in Ihr Konto einloggen möchten, erhalten Sie nach Eingabe von Benutzernamen und Passwort eine Benachrichtigung auf Ihr Telefon, in der Sie um eine Bestätigung gebeten werden, damit die Anmeldung erfolgen kann. Dieser Ansatz schiebt automatisierten Systemen einen Riegel vor, die von Cyberkriminellen verwendet werden, um Kennwörter zu knacken oder Login-Informationen zu erbeuten.
- Verwenden Sie eine sichere Anwendung zur Kennwortverwaltung (Passwort-Manager), die mehrere Kennwörter abrufen und bei Bedarf automatisch in die Formularfelder für den Login eintragen kann. Durch die Verwendung eines Passwort-Managers entfällt die Notwendigkeit, sich mehrere Kennwörter zu merken und sich diese merken zu müssen. So steht einer Verwendung komplexerer, längerer Kennwörter nichts im Wege.
- Vermeiden Sie bei der Erstellung von Kennwörtern häufig vorkommende Wörter, Phrasen, Namen und Daten, die mit Ihnen oder Ihren
Familienmitgliedern in Verbindung gebracht werden können. Denn Cyberkriminelle sind für gewöhnlich sehr einfallsreich und können Querverweise aus allen über Sie zur Verfügung stehenden Daten ziehen, um die richtige Kombination für Ihre Konten zu finden. Außerdem sollten Sie persönliche Passwörter zweimal im Jahr ändern und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden. Für geschäftliche Passwörter empfehlen wir, diese sogar alle 3 Monate zu ändern und eine automatisierte Systemrichtlinie einzuführen, die eine Frist zur Aktualisierung von Kennwörtern festlegt. In einer solchen Richtlinie können auch Vorgaben für die zu erstellenden Passwörter festgelegt werden. Dadurch wird u.a. verhindert, dass das neue Passwort in der Vergangenheit bereits verwendet wurde.