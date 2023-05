Am Welt-Passwort-Tag sollen Mitarbeitende über Passwortsicherheit aufgeklärt werden. Laut Mark Stockley, Cyber Evangelist bei Malwarebytes, wird die Verantwortung so aber auf die Angestellten abgewälzt. "Unternehmen werden nicht müde, ihre Mitarbeitenden über Passwortsicherheit aufzuklären und ihre Passwortrichtlinien zu verschärfen", erklärt er. "Die Liste der Passwortkriterien ist lang. Einmalige Passwörter mit Sonderzeichen und Grossbuchstaben, die so oft gewechselt werden sollen wie die eigene Zahnbürste. Je mehr Regeln vorgegeben werden, desto wahrscheinlicher ist es, dass Mitarbeitende nach Schlupflöchern und Workarounds suchen, sodass es für Cyberkriminelle ein leichtes Spiel bleibt, Passwörter mit verschiedenen Hacking-Methoden wie Phishing oder Brute-Force-Angriffen zu stehlen."

Genau aus diesem Grund gibt es den Welt-Passwort-Tag am 4. Mai: Dieser soll für bessere Login-Gewohnheiten werben. Doch eine Zukunft mit einem Login ohne Passwort ist nicht unvorstellbar.

Mitarbeitende sträuben sich gegen viele Regeln

Am Welt-Passwort-Tag sollen Mitarbeitende über Passwortsicherheit aufgeklärt werden. Laut Mark Stockley, Cyber Evangelist bei Malwarebytes, wird die Verantwortung so aber auf die Angestellten abgewälzt. "Unternehmen werden nicht müde, ihre Mitarbeitenden über Passwortsicherheit aufzuklären und ihre Passwortrichtlinien zu verschärfen", erklärt er. "Die Liste der Passwortkriterien ist lang. Einmalige Passwörter mit Sonderzeichen und Grossbuchstaben, die so oft gewechselt werden sollen wie die eigene Zahnbürste. Je mehr Regeln vorgegeben werden, desto wahrscheinlicher ist es, dass Mitarbeitende nach Schlupflöchern und Workarounds suchen, sodass es für Cyberkriminelle ein leichtes Spiel bleibt, Passwörter mit verschiedenen Hacking-Methoden wie Phishing oder Brute-Force-Angriffen zu stehlen."

Sein Vorschlag: Unternehmen müssen eine Lösung finden, um ihre Mitarbeitenden besser zu schützen. Dafür würden sich zum Beispiel die Multi-Faktor-Authentifizierung (MFA) oder Account Lockout Policy anbieten.

Doch es gibt auch andere Massnahmen. "Durch die Nutzung von passwortfreien und KI-geschützten Authentifizierungslösungen können Unternehmen Risiken eliminieren", erläutert Eve Maler, CTO bei Forgerock.

Passkeys für passwortfreie Zukunft

Erst kürzlich hat Google damit begonnen, "Passkeys" in Google-Konten auf allen wichtigen Plattformen einzuführen. Sie dienen als zusätzliche Option, mit denen man sich neben Passwörtern, 2-Faktor-Authentifizierung und anderen anmelden kann.

Mit den Passkeys könnten sich Userinnen und User bei Apps und Websites auf die gleiche Weise einloggen, wie sie beispielsweise ihre Geräte entsperren: mit einem Fingerabdruck, einem Gesichtsscan oder einer PIN für die Bildschirmsperre. Die Login-Variante sei "resistent gegen Online-Angriffe wie Phishing", verspricht Google in einer Mitteilung.

Auch Apple und Microsoft machen mit. Schon letztes Jahr haben die Hersteller damit begonnen, das Feature in ihre Systeme zu integrieren. Man ruft beispielsweise eine Website auf, gibt seinen Login-Namen oder seine E-Mail-Adresse an. Das System erstellt automatisch einen Passkey. Beim nächsten Login wird mithilfe von Autofill der entsprechende Key automatisch ausgewählt und der User oder die Userin muss sich anschliessend autorisieren. Auf dem Smartphone, wie eingangs erwähnt, per Fingerabdruck oder Gesichtserkennung. Solche Passkeys sind lang, komplex und werden nicht wiederverwendet.

Dabei gibt es jedoch auch Nachteile. Man ist etwa stärker von einzelnen Softwareherstellern und deren Diensten abhängig.

So kam es um Passworttag

Wenn sich dieses Feature etabliert, könnte es in Zukunft also bald keinen Welt-Passwort-Tag mehr geben. Dieser wurde erstmals vom Sicherheitsforscher Mark Burnett ins Leben gerufen. In seinem 2005 erschienenen Buch "Perfect Passwords" sprach er die Idee eines "Passworttags" an, an dem wichtige Passwörter aktualisiert werden sollen. Intel Security griff erst Jahre später die Überlegung auf und erklärte den ersten Donnerstag im Mai 2013 zum World Password Day.