Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Die Ära der Passwörter geht zu Ende
Über Passwörter wird viel Unsinn verbreitet. Besonders wiederholte Aufforderungen zum Ändern der Passwörter sind mittlerweile überholt und bringen nicht mehr, sondern möglicherweise sogar weniger Sicherheit. Wir kommentieren die aktuelle Lage und zeigen, wie Sie sich besser vor unerwünschten Eindringlingen schützen.
Am 1. Februar 2022 war es wieder mal so weit: Der „Ändere dein Passwort“-Tag waberte erneut wie ein Gespenst durch Medien und Blogs. An diesem Tag sollen sich möglichst viele Anwender mit ihren Passwörtern beschäftigen und sie durch neue ersetzen. Dabei pfeifen es die Spatzen längst von den Dächern: Dieser Tipp ist überholt!
Warum der „Ändere dein Passwort“-Tag keinen Sinn ergibt
Zum einen können User ein wirklich gutes Passwort unter bestimmten Voraussetzungen, auf die wir noch eingehen, durchaus länger verwenden. Erzwungene Änderungen führen oft nur dazu, dass das Kennwort verwässert oder immer wieder nur minimal angepasst und damit leichter zu knacken wird. Zum anderen sollte statt einem „Ändere dein Passwort“-Tag lieber ein „Ergänze dein Passwort“-Tag stattfinden.
Dafür gibt es mehrere gewichtige Gründe. So gelten Passwörter in der heutigen Zeit nicht mehr als adäquates Mittel zum alleinigen Schutz wichtiger Daten. Die meisten Anwender sind komplett damit überfordert, für jeden einzelnen ihrer Accounts sichere Passwörter zu erstellen und sich diese dann auch noch zu merken. Folglich herrscht bei Passwörtern Schlamperei, dass sich die Balken biegen. Sie werden gerne wiederholt eingesetzt oder nur minimal verändert.
Denken Sie nur an die regelmäßig veröffentlichten Listen der immer gleichen Simpel-Passwörter nach dem Schema „12345“, „geheim“ oder „passwort“. Anpassungen wie „geheim1“ oder „passwort123“ machen sie nicht sicherer. Solche Passwörter knacken Wörterbuchattacken in Bruchteilen von Sekunden.
Top 3 der schlechtesten Passwörter:
Wieso selbst lange und komplexe Passwörter keine Sicherheit bieten
Sicherheitsexperten predigen daher das Mantra: „Wenn Sie sich Ihr Passwort merken können, ist es nicht sicher genug.“ Aber es existieren doch Passwort-Manager wie LastPass oder KeePass, denken Sie jetzt eventuell. Stimmt, diese bringen tatsächlich einen deutlichen Sicherheitsvorteil. Die Voraussetzung dafür ist allerdings, dass sie tatsächlich für jeden einzelnen genutzten Dienst ein individuelles und sicheres Passwort erzeugen und in einer verschlüsselten Datenbank speichern. Das kostet Zeit und Mühe, lohnt sich aber.
Doch auch Passwort-Manager können nicht verhindern, dass etwa ein per Social Engineering geklautes oder per Man-in-the-Middle-Attacke mitgeschnittenes Passwort von einem Angreifer gemütlich aus der Ferne missbraucht wird, um sich bei einem fremden Account über das Internet einzuloggen. Auch das längste, komplexeste und damit sicherste Passwort der Welt kann dagegen nichts ausrichten.
Wie das BSI den regelmäßigen Passwortwechsel einschätzt
Echte Sicherheit verspricht nur die Multi-Faktor-Authentifizierung (MFA). Sie nutzt zusätzlich zur bisherigen Absicherung via Benutzername und Kennwort noch einen weiteren Sicherheitsfaktor wie zum Beispiel ein TOTP (Time-based One-Time-Passwort, zeitbasiertes Einmalpasswort). Neben seiner Benutzerkennung muss der Anwender beim Anmelden bei einem Dienst nicht nur wie bisher sein Passwort eingeben, sondern auch einen TOTP-Code, den er beispielsweise mit einer App wie dem NCP Authenticator auf einem separaten Gerät erzeugt hat. Dieser besitzt auch nur für einen kurzen Zeitraum von etwa 30 Sekunden Gültigkeit.
Natürlich geht die Ära der Passwörter damit noch nicht wirklich zu Ende. Wir benötigen Passwörter auch in Zukunft – aber entweder als Bestandteil einer per MFA geschützten Umgebung oder zum Beispiel als Passphrase zum sicheren Verschlüsseln von Daten. Lang und kompliziert sollten sie dabei immer sein. Auch ändern darf und soll man sie selbstverständlich. Wenn sie beispielsweise kompromittiert wurden, muss das sogar sein. Aber einfach nur, weil jemand einen „Ändere dein Passwort“-Tag dafür ausgerufen hat? Nein, das ist kein überzeugender Grund.
Zu dieser Erkenntnis kommt übrigens mittlerweile auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bis vor Kurzem hatte die Behörde ebenfalls noch zum regelmäßigen Ändern von Passwörtern aufgerufen. In der aktuellen Version des IT-Grundschutzes verzichtet sie jedoch darauf. Nehmen Sie sich das als Beispiel und sichern Sie Ihre Log-ins lieber zusätzlich per TOTP ab – anstatt auf halbseidene Tipps zu vertrauen, die schon längst in die Mottenkiste gehören.
Jetzt mehr zu TOTP erfahren: „Wie 2FA mit zeitbasierten Einmalpasswörtern funktioniert“
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.