Der 1. Februar 2022 ist „Ändere dein Passwort“-Tag. Doch aus unserer Sicht ist das kein zeitgemäßes Vorgehen mehr.
Natürlich ist dieser Tag gut gemeint. Nutzer sollten mindestens einmal im Jahr ihr Passwort ändern, um nicht Ziel von irgendwelchen Angriffen zu werden. Dazu sollten die Passwörter noch mindestens 8 Zeichen lang sein und ein Sonderzeichen und eine Zahl enthalten. Außerdem sollten keine Verwandten, Bekannten, Geburtsdaten, Floskeln oder ähnliches verwendet werden.
In der Praxis führt das Ändern von Passwörtern regelmäßig dazu, dass kleine, gelbe Zettelchen an den PCs hängen. Oder sogar als „passwort.txt“ auf dem Desktop versauern.
Das andere Extrem ist das eine Passwort, dass uns schon seit Jahren begleitet und für Online-Banking genauso verwendet wird, wie für Katzenbildchen auf Reddit und welches in diversen Shops schon gehackt und ausgelesen wurde. Passenderweise natürlich direkt mit der immergleichen E-Mail Adresse.
Doch natürlich gibt es inzwischen moderne Alternativen 3 davon stelle ich euch hier vor.
Passwordless Authentication
Das aktuell schärfste Schwert im Rahmen der Authentifizierungsmöglichkeiten hat Microsoft im Petto. Die passwordless Authentication ermöglicht es dem Nutzer lediglich mit biometrischen Merkmalen auf den PC zuzugreifen. Dafür wird ein Fingerabdruckscanner oder eine Windows Hello-fähige Kamera benötigt.
Der User erhält bei seiner allerersten Einrichtung von dem Administrator eine PIN-Nummer, mit der er sich initial am Client als neuer Benutzer:in anmeldet. Dort werden direkt die biometrischen Informationen erfasst und zukünftig steht der Nutzer:in die Passwordless Authentication zur Verfügung. Dabei bietet es sich an, neben den biometrischen Merkmalen auch den Authenticator für das eigene Smartphone einzurichten. Dies verhindert, dass die Authentifizierung an einem nicht Hello-fähigen Gerät fehlschlägt. Beispielsweise wenn sich die Nutzer:in an dem Spezial-PC anmelden will.
Durch den Verzicht auf das Passwort kann hier nichts verloren gehen. Die eigenen biometrischen Merkmale hat man ja immer dabei. Und es entfällt ebenfalls die Notwendigkeit das Passwort zu merken. Intern hat die passwortlose Verschlüsselung dann auch eine erheblich höhere Sicherheitsstufe, weil man nicht auf 8 Zeichen oder ähnliches limitiert ist.
Multifaktor Authentifizierung
Leider bietet noch nicht jede Firma und jedes Tool passwortlose Authentifizierung an. Hier bietet es sich an, den biometrischen Faktor wenn möglich über die Multifaktor-Authentifizierung mit reinzunehmen. Dabei installiert der User den Authenticator auf seinem Smartphone und muss nach der Eingabe des Passworts noch einen zweiten Faktor nutzen. Dies kann beispielsweise der Fingerabdruck auf dem eigenen Smartphone sein. Somit wird auch hier ein sehr hohes Schutzniveau erreicht. Verfügt das Tool dann noch über Conditional Access lässt sich auch das Frustrationsniveau verringern, indem der Nutzer diesen 2. Faktor nur außerhalb seines Heimarbeitsplatzes und des Firmennetzwerkes nutzen muss. Also beispielsweise mit dem Laptop am Bahnhof.
Kennwort-Tresor
Die schwächste der Verschlüsselungsalternativen ist der Kennwort-Tresor. Beispielsweise KeePass. Dabei wird ein Masterschlüssel vergeben, der eine Datenbank voller Kennwörter absichert. Diesen Masterschlüssel kann man dann auch noch über eine Zertifikatsdatei absichern, sodass an dieser Stelle beides benötigt wird. Nun hat man die Möglichkeit mit nur einem Passwort auf alle anderen Zuzugreifen. Das erlaubt es den Nutzer:innen, sich die Passwörter für Websiten und andere Zugriffstool nicht extra merken zu müssen. Sie können an dieser Stelle also auch hochkomplexe 256-Bit Schlüssel oder sogar noch mehr vergeben. Über diesen Weg werden zumindest Brute Force Angriffe einigermaßen wirksam verhindert. Und der „Ändere dein Passwort-Tag“ führt nicht dazu, dass man plötzlich überall gelbe Zettelchen hat. Man muss sich lediglich ein Passwort merken. Das dann allerdings bitte auch den gängigen Standards entsprechen muss. Also mindestens 16 Zeichen lang, komplex, mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen und bitte nicht der Name des Enkelchens. Jedes zusätzliche Zeichen erhöht die Komplexität für Angreifer exponentiell.
In diesem Sinne, Happy Zero Password Day.
0 Kommentare