Zum World Password Day kündigt Google gemeinsam mit FIDO Alliance [FIDO = Fast IDentity Online, deutsch: „schnelle Identität bei digitalen Verbindungen“] und weiteren großen Plattformen wie Apple und Microsoft einen neuen, wichtigen Meilenstein auf dem Weg in eine passwortlose Zukunft an: So plant Google die passwortlose Unterstützung für FIDO-Anmeldestandards in Chrome, ChromeOS und Android zu implementieren.
Für Nutzerinnen und Nutzer bedeutet dieser Schritt, dass die Anmeldung über Geräte, Websites und Anwendungen hinweg vereinfacht wird – unabhängig davon, welche Plattform genutzt wird und ohne, dass ein Passwort erforderlich ist. Wir haben uns das Ganze einmal näher angeschaut, wie das funktioniert.
So funktioniert die Zukunft ohne Passwörter
Statt ein Passwort zu verwenden, speichert das Telefon eine FIDO-Berechtigung, die als sogenannter „Passkey“ – also so etwas wie ein Hauptschlüssel – bezeichnet und zum Entsperren des Online-Kontos verwendet wird. Dieser Passkey macht die Anmeldung weitaus sicherer, da er auf einem öffentlichen Schlüssel mit Kryptographie [Anmerkung: die Wissenschaft der Verschlüsselung von Informationen] basiert und im Online-Konto nur angezeigt wird, wenn man das Telefon entsperrt.
Um sich auch auf seinem Computer auf einer Website anmelden zu können, muss man nur sein Telefon griffbereit haben. Denn in weiterer Folge wird man aufgefordert, das Telefon für den Zugriff zu entsperren. Sobald das passiert ist, braucht man das Telefon nicht mehr und die Anmeldung ist möglich, indem man einfach den Computer entsperrt. Selbst wenn das Telefon verloren geht, werden die Passkeys aus der Cloud-Sicherung sicher mit dem neuen Telefon synchronisiert, sodass man genau dort weitermachen kann, wo das alte Gerät aufgehört hat.
Aber warum geht die Entwicklung überhaupt in diese Richtung?
Nun könnte man – einer alten Weisheit aus dem IT-Bereich folgend – meinen: „Never change a running system“ – also frei übersetzt: Ändere nie ein funktionierendes System. Warum gibt es dann Entwicklungen in Richtung Passkey?
Zugegeben, aktuell sind Passwörter ein wichtiger Baustein für die Online-Sicherheit. Doch aufgrund zunehmender Phishing-Attacken, zu schwachen oder gar mehrfach genutzten Passwörtern wird ihre Verwendung immer unsicherer. In diesem Sinn lautet die einfach klingende Überlegung: Um das Problem mit den Passwörtern wirklich anzugehen, müssen wir diese langfristig abschaffen. Oder anders formuliert: Wenn es keine Passwörter mehr gibt, können auch keine missbräuchlich verwendet werden.
Passkey heißt also der Weg in eine Zukunft ohne Passwörter. Doch bis diese Zukunft ohne Passwörter Realität wird, sind starke, einzigartige Passwörter weiterhin ein wichtiger Bestandteil der Online-Sicherheit. Daher hier ein paar Infos, was ein Passwort zu einem »starken« Passwort macht.
5 Tipps für mehr Passwort-Sicherheit – nicht nur am World Password Day
Egal ob aus beruflichen Gründen oder in unserer Freizeit – für viele findet der Alltag zu weiten Teilen online statt. Und das auf zahlreichen verschiedenen Plattformen und Webseiten, die oftmals eine Registrierung, sprich ein eigenes Online-Konto mit Passwort verlangen. Dass dieses so sicher wie möglich sein sollte, wissen viele.
Tipp #001: Bleiben sie mit ihren eigenen Geräten auf Webseiten angemeldet
Der Mythos, dass eine automatische oder manuelle Abmeldung von Websites sinnvoll ist, hält sich hartnäckig. Tatsächlich neigen Nutzerinnen und Nutzer, die immer wieder ihre zahlreichen verschiedenen Passwörter eingeben müssen, eher dazu, das gleiche Passwort für mehrere Accounts zu verwenden. In diesem Sinn ist ein ständiges Ab- und Anmelden auf Webseiten sogar kontraproduktiv.
Bleiben sie also auf Webseiten angemeldet und sichern stattdessen ihren Computer oder Smartphone mit einem PIN, Gesichts- oder Fingerabdruckerkennung.
Tipp #002: keine „logischen“ Passwörter verwenden
Auch wenn sie in regelmäßigen Abständen ihre Passwörter ändern – was nur dann die Online-Sicherheit ihrer Online-Konten erhöht, wenn sie »starke« Passwörter verwenden – wird aus einem Passwort nur durch das hinzufügen einer weiteren Zahl oder eines Sonderzeichens kein starkes Passwort. So ist zum Beispiel Pa55WORT1 mit großer Gewissheit genauso unsicher wie Pa55WORT2. Viele Nutzerinnen und Nutzern verwenden gerne Worte oder Zahlen, die einen persönlichen Bezug haben. Namen von Familienmitgliedern oder Haustieren sowie Geburts- und Jubiläumsdaten sind aber für Passwörter tabu, denn sie sind für Herrn und Frau Hacker ziemlich leicht herauszufinden.
Eselsbrücken unterstützen sie beim Merken von Passwörtern. „HiepT,uenPf!“ bedeutet: Heute ist ein perfekter Tag, um ein neues Passwort festzulegen!“ Natürlich können sie ihrem Passwort auch eine „persönliche Note“ verleihen, indem sie einen Satz mit ihrem Lieblingslied oder einem wichtigen Ereignis formulieren: „A12.8.hmFuiaSg!!!“ was „Am 12.8. haben meine Frau und ich am Standesamt geheiratet!!!“ bedeutet. [Anmerkung an die Männer unter uns: Damit schlagen sie gleich zwei Fliegen mit einer Klappe, denn sie werden nie mehr ihren Hochzeitstag vergessen ;)].
Tipp #003: verwenden sie lange Passwörter
„Ein sicheres Passwort sollte möglichst lang und komplex aufgebaut sein – diesen Rat hat wahrscheinlich jede bzw. jeder schon einmal gehört und ist auch grundsätzlich richtig. Sollte es ihnen allerdings – trotz der oben beschriebenen „Eselsbrücken-Methode“ – schwer fallen, sowohl Länge als auch Komplexität in einem Passwort unterzubringen, verwenden sie nach Möglichkeit zumindest ein langes Passwort. Denn: Je länger das Passwort ist, desto schwieriger ist es für Bots und Hacker, ihren Account zu knacken.
Generell sollte ein Passwort mindestens aus acht Zeichen bestehen, besser sind 12- oder sogar 16-stellige Passwörter. Dabei sollten sowohl Groß- und Kleinbuchstaben, Zahlen und das eine oder andere Sonderzeichen verwendet werden.
Tipp #004: auch gute Passwörter brauchen Unterstützung
Egal, wie lang oder kompliziert ihr Passwort ist: Durch das oftmalige Verwenden des gleichen Passworts oder durch Cyber-Angriffe wie beispielsweise Phishing wird selbst das komplexeste Passwort immer wieder auf die Probe gestellt. Daher ist ein Kennwort allein nie der sicherste Weg, um die eigenen Daten zu sichern.
Wenn möglich, sollten sie immer eine 2-Faktor-Authentifizierung verwenden. Dabei wird nach einem ersten Login-Schritt zumeist ein PIN-Code per SMS an ihr Handy gesendet, den sie in einem 2 Schritt eingeben müssen, um sich einloggen zu können. Selbst wenn Passwörter in die falschen Hände gelangen sollten, haben auf diese Weise Unbefugte zumindest keinen Zugriff auf ihr Benutzerkonto.
Tipp #005: Prüfen sie Passwortregeln auf Webseiten
Viele Webseiten bieten ihren Nutzerinnen und Nutzern Hilfestellungen bei der Erstellung eines Kontos und geben Hinweise für den Aufbau eines sicheren Passworts, sprich Passwortregeln. Dabei raten die Dienste oft bei der Passworterstellung zu einer Mischung aus Ziffern, Sonderzeichen sowie Klein- und Großbuchstaben, geben aber zumeist keinen Hinweis zur Reihenfolge. Es gibt allerdings bereits Untersuchungen, die zeigen, dass die meisten Menschen am Anfang ihres Passworts eher Großbuchstaben und am Ende eher Zahlen verwenden – eine Tendenz, die sich auch Cyber-Kriminelle gern zu Nutzen machen.
Nur weil das Passwort den Regeln einer Website entspricht, heißt das noch lange nicht, dass es auch wirklich sicher ist. Achten sie daher bei der Erstellung eines neuen Passworts lieber auf dessen Länge und eine gute Durchmischung der verwendeten Zeichen.
(Bilder: AdobeStock)