Der Monat Februar beginnt jedes Jahr mit dem „Ändere dein Passwort“-Tag. Doch IT-Sicherheitsexperten raten davon mehr und mehr ab. Stattdessen verweisen sie auf bessere Alternativen. Hier stellen wir sie kurz vor.
Passwort: „password“ oder „123456“
Diese zwei Eingaben gehörten lange zu den beliebtesten Passwörtern der Deutschen und gehören es wahrscheinlich immer noch, wo Systeme keine besonderen Anforderungen wie etwa Sonderzeichen oder Buchstaben-Zahlen-Kombinationen zur Passwortsicherheit stellen. Doch selbst die können durch einfache Verbindungen wie „Passwort123“ oder Ähnliches leicht ins Leere laufen. Tipps für sichere Passwörter raten eindeutig zu mehr Komplexität – häufig verbunden mit der Empfehlung zur regelmäßigen Passwortänderung. Manche Systemadministratoren oder Programmierer zwingen Nutzerinnen und Nutzer sogar dazu, wenn sie ihren Zugang behalten wollen.
Doch Experten wie die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sehen das kritisch. Für sie kann das dazu führen, dass im Rahmen der Systemanforderungen immer schwächere Passwörter gewählt werden oder sich mit einem einzigen Passwort überall angemeldet wird. Beides schwächt die Sicherheit. Nur bei konkreten Anlässen wie dem Verdacht auf einen Hack rät das BSI deshalb noch zu Änderungen, um privat oder bei hybrider Arbeit Sicherheitsrisiken zu verhindern. Eher sollten Sie auf andere oder zusätzliche Sicherheitsmaßnahmen setzen, heißt es beim BSI.
Zwei-Faktor-Authentisierung, Passkeys und Passwortmanager
Die Zwei-Faktor-Authentisierung (2FA) wird von vielen Systemen bereits angeboten oder ist sogar obligatorisch. Hier müssen Sie einen zweiten Anmeldungsschritt über externe Geräte oder Anwendungen gehen. Zum Beispiel erhalten Sie dann einen individuellen Code auf Ihr Handy geschickt oder müssen in einer Authentisierungs-App eine vorgegebene Aktion ausführen. Nutzen Sie 2FA wann immer möglich, um Ihre Sicherheit beziehungsweise die Ihrer Daten merklich zu erhöhen. Eine ebenfalls gute Sicherheitslösung bilden Passkeys.
Dabei wird von einer Anwendung oder Internetseite auf Ihrem Computer, Smartphone oder Tablet ein digitaler Schlüssel mit starker Verschlüsselung hinterlegt. Als Gegenstück gibt es bei den Betreibern einen öffentlichen Schlüssel, der sich in Sekundenbruchteilen mit dem privaten Schlüssel abgleicht und eine berechtigte Anmeldung durch Sie oder Ihr Gerät feststellt. Ein Passwort, das gestohlen oder ausspioniert werden kann, gibt es hier nicht mehr. Ein zusätzlicher Sicherheitslevel entsteht durch die Verbindung der Passkeys mit biometrischen Merkmalen oder auch nur einem Pin-Code. Die Absicherung Ihrer Wahl legen Sie jeweils bei der ersten Anmeldung oder Registrierung fest. Später melden Sie sich dann jeweils bequem und schnell mit Fingerabdruck, Gesichtserkennung oder dem Code an.
Bei vielen ist so das Smartphone schon zum universellen Schlüssel für Dutzende Dienste geworden. Ein Verlust des Handys bedeutet kein Sicherheitsrisiko, weil niemand ohne Ihren Fingerabdruck oder Gesichtsscan die hinterlegten Schlüssel missbrauchen kann. Gleichzeitig werden Sie persönlich selbst ohne das Gerät nicht ausgesperrt. Wo Passkeys zur Anwendung kommen, gibt es ergänzende, mehrstufige Anmeldemöglichkeiten für einen alternativen, aber ebenso sicheren Zugang.
Biometrie sichert daneben häufig bestimmte digitale Signaturen oder einen Passwortmanager. Diese Sicherheitssoftware gehört standardmäßig zu Internetbrowsern oder Handybetriebssystemen. Sie nimmt Ihnen das Merken von Passwörtern ab, füllt Anmeldedaten automatisch aus und erzeugt auf Wunsch besonders starke, lange Passwörter für Anmeldungen auf Internetseiten oder in Anwendungen. Wichtig ist es hier, den Zugang zu dem Manager bestmöglich zu schützen – durch Fingerabdruck oder Gesichtserkennung beziehungsweise ein anspruchsvolles Passwort. Sie müssen sich nun nur noch dieses einprägen und können sich gleichzeitig auf hohe Sicherheit für alle weiteren Anmeldungen verlassen.