E-mail senden E-Mail Adresse kopieren
2021-02-19
Oliver Schedler

Das sagt CISPA-Faculty Sven Bugiel über Zwei Faktor-Authentifizierung und Passwortmanager 

Zentrale Aussagen aus Radio-Interview

Die Frage nach dem richtigen, sichersten, ja gar dem besten Passwort ist immer aktuell - sowohl für  Medienvertreter, als natürlich auch für Cybersicherheit-Forscher. In den Fokus besonders vieler Menschen rückt diese Frage am 1. Februar. Dann ist “Ändere-dein-Passwort-Tag”. Ziel des Aktionstages ist es, das allgemeine Bewusstsein für Passwortsicherheit zu verbessern. Denn z.B. die Regel, das Passwort ohne Anlass regelmäßig zu ändern, hat sich in der Praxis nicht bewährt. Experte auf diesem Gebiet und häufig angefragter Gesprächspartner ist CISPA-Faculty Dr. Sven Bugiel. In diesem Jahr hat er mit verschiedenen Medien über dieses Thema gesprochen. Wir haben hier einige seiner zentralen  Aussagen aus einem ausführlichen Interview mit SR1 - Die Europawelle zusammengefasst.

Zwei Faktor-Authentifizierung aktivieren falls möglich

  • Nutzen Sie, wo immer möglich, die 2-Faktor-Authentifizierung, wie z. B. einen Fingerabdruck, Face ID oder eine Authentifizierungsapp. Das Hinzufügen dieser zweiten Verteidigungslinie reduziert das Risiko eines Einbruchs in den eigenen Account erheblich.

  • Allerdings sind einige zweite Faktoren besser als andere. Vor allem ist eine SMS als zweiter Faktor weniger sicher als die Verwendung einer Authentifizierungs-App, da SMS selbst anfällig für Angriffe sind. Als am sichersten gelten Hardware-basierte Lösungen (z.B. Security USB Key oder Fingerabdruck) oder Push-Benachrichtigungen, da sie den besten Schutz gegen Phishing bieten.

  • Das erklärte Ziel ist ohne Passwörter auszukommen, wie im Rahmen der FIDO Alliance mit ihrem FIDO/WebAuthn Standard. Dieser stellt eine Schnittstelle zur Verfügung, die es erlaubt sich auf möglichst viele unterschiedliche Arten anzumelden, z.B. mit biometrischen Daten wie Fingerabdruck oder Face ID. Jedoch werden Passwörter bis auf Weiteres nicht verschwinden und man sollte bis dahin diese Arten als einen zweiten Faktor verwenden. 

Passwort-Manager verwenden für stärkere Passwörter

  • Passwort-Manager sind derzeit die beste Möglichkeit, mit Login-Informationen umzugehen, solange wir Passwörter nutzen müssen.

  • Das automatische Ausfüllen von Passwörtern durch Passwort-Manager ist besser als das Kopieren und Einfügen (was an sich schon ein Sicherheitsrisiko darstellt). Sie sind mittlerweile ausgesprochen gut darin, gültige Webseiten zu erkennen, um Phishing zu verhindern.
    Außerdem ist es angenehmer, Passwörter nicht mehr eintippen zu müssen.
    Leider werden Passwort-Manager nicht immer bequem auf allen Geräten unterstützt, zum Beispiel auf mobilen Geräten, im Smart Home oder für IoT (Internet der Dinge).

  • Passwort-Manager nicht nur zum Speichern und Einfügen, sondern vor allem auch zum Erzeugen von Passwörtern verwenden. Passwort-Manager sind nicht nur ein Schlüsselbund, der das Merken von Passwörtern ersetzt, sondern sie sind auch sehr gut beim Erzeugen starker Passwörter. Solche Passwörter erfüllen dann alle erforderlichen Merkmale wie die ausreichende Länge, Komplexität und dass sie nicht in bestehenden Wörterbüchern zu finden sind.
    Es ergibt wenig Sinn, schwächere, selbst erstellte Passwörter zu speichern.

  • Verwenden Sie keine Passwörter wieder für verschiedene Konten und Webseiten. Einzigartige Passwörter anzulegen, ist quasi eingebaut bei Passwort-Managern. Andernfalls kann der Verlust eines einzelnen (möglicherweise als weniger kritisch empfundenen) Kontos alle Konten gefährden die gleiche oder sehr ähnliche Passwörter verwenden.

Und was gibt es noch zu beachten: Immer wachsam bleiben

  • Diese Regeln entbinden nicht von allgemeiner Vorsicht beim Öffnen einer E-Mail (oder eines Anhangs) oder beim Surfen im Internet im Allgemeinen. Das beste Passwort wird in dem Moment nutzlos, in dem es nicht mehr geheim ist. Phishing ist aktuell ein großes Problem bei dem Benutzer hereingelegt werden um ihre Passwörter selber herauszugeben oder sich Schadsoftware zu installieren, die Passwörter vom Gerät des Benutzers stiehlt.

Steckbrief:

Sven Bugiel ist Faculty am CISPA Helmholtz-Center for Information Security in Saarbrücken und beschäftigt sich mit der Sicherheit mobiler Systeme und mit hardwarebasierten Sicherheitsarchitekturen. Dazu zählen auch hardwaregestützte Authentifizierungsmethoden und die damit verbundenen Fragen der Benutzbarkeit solcher Lösungen.