Chester Wisniewski: Weltpassworttag sollte überflüssig werden

Als nächster Schritt werden phishing-resistente MFA wie „FIDO2“ und Passkeys empfohlen

[datensicherheit.de, 04.05.2025] Aufgrund zunehmender Phishing-Angriffe hat auch Sophos noch eine Stellungnahme zum „World Password Day 2025“ abgegeben – dabei schwingt ebenfalls die Erwartung mit, dass dieser am 1. Mai 2025 begangene Tag der letzte gewesen sein könnte, denn wenn es nach Chester Wisniewski, „Director“ und „Global Field CISO“ bei Sophos, geht, könnte dieser Tag obsolet werden.

Für die meisten Einzelpersonen Verwendung von Passkeys der einfachste Ansatz

Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie sechsstellige Codes per SMS oder in Apps oder Push-Benachrichtigungen griffen angesichts der Raffinesse heutiger Cyber-Krimineller zu kurz. Wisniewski führt aus: „Der nächste Schritt heißt phishing-resistente MFA wie ,FIDO2‘ und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben.“ Für die meisten Einzelpersonen sei die Verwendung von Passkeys der einfachste Ansatz, da diese Technologie in der Mehrheit der mobilen Geräte und Desktop-Browsern, Passwortmanagern und Betriebssystemen integriert sei.

Für Hochsicherheitsumgebungen werde die Verwendung sogenannter Smartcards oder Hardware-Tokens empfohlen, welche mit einer PIN oder einem biometrischen Merkmal entsperrt werden müssten. „Für die meisten von uns sind Passkeys, die mit den biometrischen Daten unserer Geräte entsperrt werden, die naheliegende und einfache Art der Authentifizierung.“ Die Authentifizierung an PC oder mobilen Geräten mit eigenem Fingerabdruck oder „Gesichtsabdruck“ werde den Nutzer in Sekundenschnelle sicher bei seinen Sozialen Medien, Finanzinstituten oder E-Mail-Konten anmelden, ohne dass er sich mit Passwörtern herumschlagen muss.

Tipps für ein sichereres Passwort, solange Wechsel zu anderer Strategie noch nicht erfolgt

Für diejenigen, die den Wechsel zu Tokens und Passkeys aber noch nicht vollzogen haben, hier drei nützliche, schnell umzusetzende Sophos-Tipps für ein sichereres Passwort:

1. Jede Seite mit einem eigenen Log-In benötige ein eigenes Passwort. „Das kann mit kleinen Veränderungen wie Zahlen, Sonderzeichen, etc. gelingen.“
2. „Ein Passwort am besten ,anreichern’, sprich: Man wählt ein Grundwort und addiert Zahlen, Sonderzeichen und Großbuchstaben dazu.“ Noch besser wäre eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ohne Wortbedeutung. Das könne man sich natürlich unmöglich alles merken, daher:
3. Einen bewährten Passwortmanager nutzen, welcher wie ein Hausmeister alle Schlüssel parat habe. „Hier muss sich der Nutzer nur ein Generalpasswort ausdenken und merken.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr