Die Antwort scheint ganz klar zu sein und je nach Ihrer Haltung in Sachen Sicherheit könnte sie Ja oder Nein lauten. Sie kann auch je nach Situation unterschiedlich ausfallen. Betrachten wir das Thema einmal aus der Sicht von Verbrauchern bzw. von Benutzern von Softwaresystemen.
Was sind Passwörter?
Heutzutage findet ein großer Teil unseres Lebens online statt und wir verwenden mehrere Systeme, um unsere unterschiedlichen Bedürfnisse und Wünsche zu erfüllen. Für jedes System gibt es einen eigenen Benutzernamen und ein eigenes Passwort. Bei fast jeder Website oder App, die Sie verwenden, müssen Sie sich anmelden. Laut einer Studie hat eine durchschnittliche Person über 100 Passwörter. Einfach gesagt schaffen ein Benutzername und ein Passwort eine Identität, mit der Sie sich in der digitalen Welt identifizieren können. Benutzernamen sind an sich keine Geheimnisse, sondern einfach nur einzigartig für die Website oder App, die Sie verwenden. Es kann sich dabei beispielsweise um eine E-Mail-Adresse oder einen Namen handeln. Ein Passwort hingegen ist streng vertraulich und darf nicht weitergegeben werden.
Die Kombination von einem Benutzernamen und einem Passwort reicht aus, um auf gesicherte Ressourcen zuzugreifen. Daher ist es ein Muss, Ihr Passwort zu sichern, um Ihre Ressourcen vor Hackern zu schützen.
Die Yubico-Studie zeigt, dass die meisten Unternehmen– etwa 59 % – immer noch den Benutzernamen und das Passwort als einzige Anmeldeoption verwenden, wenn sie sich bei Anwendungen anmelden. Das ist zwar bedenklich, andererseits aber auch nachvollziehbar.
Das erste Problem ist die schiere Anzahl der Konten, die wir derzeit haben. Die Covid-Pandemie hat die Anzahl der Konten um fünfundzwanzig Prozent erhöht. Alle diese Konten haben eine Benutzer-ID und ein Passwort. Die Benutzer-ID ist häufig dieselbe, d. h. eine E-Mail-Adresse oder eine Kombination aus Vor- und Nachnamen. Infolge von Datenschutzverletzungen könnten einige Passwörter mit den zugehörigen Benutzernamen offengelegt worden sein – das wäre Fundgruben für Hacker.
Es gibt mehrere Benutzernamen und Passwörter, die Benutzer sich merken müssen, da sie möglicherweise mehrere Benutzerkonten haben, um auf verschiedene Dienste zuzugreifen.
Dies hat dazu geführt, dass Benutzer oft dasselbe Passwort für mehrere Konten verwenden, und einige erstellen einfache Passwörter, die sie sich leicht merken können, beispielsweise basierend auf ihrem Geburtstag oder den Namen von Lieblingspersonen oder Haustieren.
Untersuchungen haben ergeben, dass Menschen dazu neigen, ein Muster zu wiederholen, wenn sie neue Passwörter einrichten, und die Mehrheit es überhaupt vorzieht, ihr altes Passwort zu behalten und es gar nicht erst zu erneuern.
Ein Passwort-Manager kann Ihnen dabei helfen, sichere Passwörter zu verwalten und zu pflegen, aber er fügt dem Anmeldeprozess einen weiteren Schritt hinzu und ist oft mit zusätzlichen Kosten verbunden.
Das andere Problem ist, dass auch Hackern mehrere Tools zur Verfügung stehen:
- Listen bereits bekannt offengelegter Passwörter und Benutzernamen
- Skripte und Software zum Verursachen von Brute-Force- und Wörterbuchangriffen
- KI-Systeme, die Passwörter erraten können
- Methoden zum Hacken von Browsern, um Browser-Cookies und Speicherinformationen zu stehlen
Der Browser ist ein unsicherer Ort, um Passwörter Ihrer täglich verwendeten Konten zu speichern.
Ganz zu schweigen von den Kosten für das Zurücksetzen von Passwörtern, die ebenfalls beträchtlich sind.
Aufgrund all dieser Tatsachen müssen wir alle umdenken … Sind Passwörter im wirklichen Leben sicher?
Warum können Passwörter leicht kompromittiert werden?
Nicht alle Passwörter sind so extrem anfällig. Ein Passwort ist eine Reihe von Zeichen. Je mehr Zeichen und je mehr Optionen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) es hat, desto länger dauert es, bis ein sogenannter Brute-Force-Angriff das Passwort erraten kann. Diese Tabelle von Hive Systems sagt alles:
Wohlgemerkt, in diesem Fall sind unbegrenzte Versuche erlaubt und es wird spezielle Hardware verwendet. Aber dennoch sind Passwörter nicht so sicher, wie Sie denken.
Sie sehen: Wenn das System nicht über genügend Sicherheitsrichtlinien wie Kontosperrung nach 3 oder 5 ungültigen Anmeldeversuchen, Re-Captcha und Standard-Passwortrichtlinien wie Großbuchstaben, Kleinbuchstaben, Sonderzeichen, eine Zahl und mindestens 4 bis 8 Zeichen verfügt, ist es wahrscheinlich, dass ein Hacker Ihr Passwort in weniger als einer Stunde herausfinden kann.
Einige Passwörter sind leicht zu erraten. Aufgrund des schlechten Gedächtnisses der Menschen neigen sie dazu, dasselbe Passwort zu wiederholen oder einfache Passwörter für alle ihre Konten zu verwenden. Qwertz ist ein solches Beispiel ebenso wie yaq1!QAY sieht sicherer aus, ist es aber nicht! (Schauen Sie sich Ihre Tastatur an).
Ebenfalls nicht sicher ist die Verwendung einzelner Passwörter für mehrere Konten. Wenn ein Passwort kompromittiert wird, sind alle Konten kompromittiert. Es ist ganz einfach, ein Skript zu erstellen, das den Benutzernamen automatisch auf mehreren bekannten Websites als Passwort ausprobiert.
Gibt es bessere Optionen als Passwörter?
Aufgrund der oben genannten Gründe, die alle mit menschlichen Schwächen zu tun haben, neigen viele Systementwickler heute dazu, andere Optionen zu nutzen als Passwörtern. Es gibt nämlich mittlerweile viele neue Möglichkeiten für die Anmeldung bei Konten. Das liegt auch daran, dass nicht jedes Gerät eine vollwertige Tastatur hat (z. B. Fernsehgeräte oder Spielekonsolen). Hier sind einige der anderen Optionen, die Sie anstelle Ihrer typischen Möglichkeit der Anmeldung mit Benutzernamen und Passwort verwenden können.
Anmeldung mit OTP
Derzeit gelten Ihre E-Mail-Adresse und Ihre Handynummer als Ihre eindeutige Identität. Menschen wechseln ihre private Handynummer nicht mehr so häufig wie früher. Daher gibt es nun diese Option, bei der der Benutzer bei der Anmeldung entweder die vorregistrierte E-Mail-Adresse oder die Handynummer eingibt und dann über den ausgewählten Benachrichtigungsmodus einen OTP (Einmalcode) erhält. Sobald ein gültiges OTP eingegeben wurde, protokolliert das System den Benutzer automatisch und die Authentifizierung war erfolgreich. Dies ist ein Setup, das auch für Fernsehgeräte und Spielkonsolen verwendet werden kann. Wenn Sie Ihr Mobiltelefon verlieren, besteht immer noch eine Sicherheitslücke, diese ist jedoch geringer beim Verlust eines Passworts.
Der Benutzer muss sich kein Passwort merken. Einzige Voraussetzung ist, dass er sein Mobiltelefon bei sich hat. Dadurch muss sich der Endbenutzer keine Gedanken mehr um vergessene Passwörter machen.
Anmeldung mit Magic-Link
Bei dieser Option sendet das Hostsystem anstelle eines OTP einen einmaligen Link an Ihre E-Mail-Adresse. Wenn Sie ihn anklicken, werden Sie erfolgreich beim System authentifiziert. Auch hier besteht ein Risiko, wenn Ihre E-Mail oder Ihr Mobiltelefon kompromittiert wird. Aber es ist immer noch besser, als das Passwort zu verlieren. Das Handy hat oft auch ein Passwort, einen PIN-Code oder eine Gesichtserkennung, sodass ein Verlust des Telefons nicht automatisch bedeutet, dass Hacker Zugriff haben.
Auch hier muss sich der Benutzer kein Passwort merken. Die einzige Voraussetzung ist, dass man E-Mails empfangen kann. So hat der Benutzer keine Probleme mehr aufgrund vergessener Passwörter.
Anmeldung mit Push-Benachrichtigung
Viele Systeme haben derzeit ihre eigenen mobilen Anwendungen, zum Beispiel Lösungen von Finanzdienstleistern oder Behörden. Je sensibler die Daten sind, desto wahrscheinlicher ist es, dass solch eine Anwendung im Einsatz ist. Sie verwenden diese Anwendung, um eine Push-Benachrichtigung zu senden, die vom Benutzer akzeptiert werden muss. Bei Annahme durch den Benutzer wird der Benutzer authentifiziert. Dies ist weitaus sicherer als Passwörter. Die mobile Anwendung selbst wird durch die Biometrie Ihres Mobilgeräts gesichert. Daher ist sie im Vergleich zu Systemen, für die nur Passwörter verwendet werden, (z. B. Authentifizierungsanwendungen von Microsoft oder Google) doppelt geschützt.
Der Benutzer muss sich kein Passwort merken. Die einzigen Voraussetzungen sind, sein Mobiltelefon bei sich zu haben und dass die mobile Anwendung installiert ist. So hat der Benutzer keine Probleme mehr aufgrund vergessener Passwörter.
Wenn Sie sich all diese Möglichkeiten ansehen, ist die beste Option, Ihre Ressourcen zu schützen, nicht mehr, Ihre Passwörter für sich zu behalten. Am besten überlegen Sie sich eine andere Möglichkeit, Ihre Informationen zu sichern.
Wie erhöht man die Sicherheit von Passwörtern?
Wenn Ihnen die anderen Authentifizierungsoptionen nicht zusagen und Sie dennoch auf der Verwendung von Passwörtern bestehen, MÜSSEN Sie Sicherheitsvorkehrungen in Ihrem System aktivieren, wie z. B.:
- Kontosperrung nach 3 ungültigen Anmeldeversuchen. Wenn es sich um ein System handelt, das mit Finanzen zu tun hat, sollte das gesperrte Konto nur vom ADMINISTRATOR entsperrt werden können.
- Aktivieren Sie Re-Captcha nach dem zweiten ungültigen Anmeldeversuch.
- Passen Sie die Einstellungen des Passwortverlaufs an, um zu verhindern, dass Passwörter erneut verwendet werden / um den Zeitraum, nach dem das Passwort erneut verwendet werden kann, zu verlängern.
- Aktivieren Sie beim Erstellen von Passwörtern erweiterte Passwortrichtlinien, d. h. erhöhen Sie die Zeichenlänge auf 8 bis 12.
Diese Vorsichtsmaßnahmen helfen, Probleme der Benutzer durch die Kompromittierung von Passwörtern zu minimieren.
In den nächsten beiden Blogs geht es um sicherere Formen der Authentifizierung, die zusätzlich zur Verwendung von Passwörtern genutzt werden können.
Verwenden Sie die Multi-Faktor-Authentifizerung (MFA) zusammen mit der Authentifizierung mithilfe von Benutzernamen und Passwort.
Dadurch wird ein zweiter Schritt über SMS-OTP-, Push-basierten Benachrichtigung oder gerätebasierte Authentifizierung durchgeführt, um zu überprüfen, ob der Benutzer, der das Passwort eingibt, der ursprüngliche Besitzer des Geräts ist. So wird Ihr System nicht über ein Passwort kompromittiert und Ihre Informationen sind vor Angreifern geschützt. In unserem zweiten Blog erfahren Sie mehr über die Multifaktor-Authentifizierung.
Um eine bessere Benutzererfahrung zu bieten, aktivieren Sie die adaptive MFA-Authentifizierung
Wenn bei der Authentifizierung immer mehrere Faktoren gefordert werden, wirkt sich das auf die Benutzererfahrung der Endbenutzer aus. Um die Balance zwischen Sicherheit und Benutzererfahrung zu halten, kann sich die adaptive Authentifizierung als nützlich erweisen. Weitere Informationen zur adaptiven Authentifizierung finden Sie in unserem dritten Blog.
Fazit. Sind Passwörter sicher?
Die Authentifizierung nur mit Benutzername und Passwort ist aus heutiger Sicht KEINE sichere Art der Authentifizierung mehr. Aufgrund der Anfälligkeit für menschliche Sicherheitsrisiken wird empfohlen, auf Alternativen zu Passwörtern wie OTP, Magic Links und Push-Benachrichtigungen zurückzugreifen oder neben der Passwortauthentifizierung weitere Faktoren in den Authentifizierungsablauf einzubeziehen, um die Sicherheit Ihres Benutzerkontos zu erhöhen.