[datensicherheit.de, 04.05.2025] Aufgrund zunehmender Phishing-Angriffe hat auch Sophos noch eine Stellungnahme zum „World Password Day 2025“ abgegeben – dabei schwingt ebenfalls die Erwartung mit, dass dieser am 1. Mai 2025 begangene Tag der letzte gewesen sein könnte, denn wenn es nach Chester Wisniewski, „Director“ und „Global Field CISO“ bei Sophos, geht, könnte dieser Tag obsolet werden.

Für die meisten Einzelpersonen Verwendung von Passkeys der einfachste Ansatz

Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie sechsstellige Codes per SMS oder in Apps oder Push-Benachrichtigungen griffen angesichts der Raffinesse heutiger Cyber-Krimineller zu kurz. Wisniewski führt aus: „Der nächste Schritt heißt phishing-resistente MFA wie ,FIDO2‘ und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben.“ Für die meisten Einzelpersonen sei die Verwendung von Passkeys der einfachste Ansatz, da diese Technologie in der Mehrheit der mobilen Geräte und Desktop-Browsern, Passwortmanagern und Betriebssystemen integriert sei.

Für Hochsicherheitsumgebungen werde die Verwendung sogenannter Smartcards oder Hardware-Tokens empfohlen, welche mit einer PIN oder einem biometrischen Merkmal entsperrt werden müssten. „Für die meisten von uns sind Passkeys, die mit den biometrischen Daten unserer Geräte entsperrt werden, die naheliegende und einfache Art der Authentifizierung.“ Die Authentifizierung an PC oder mobilen Geräten mit eigenem Fingerabdruck oder „Gesichtsabdruck“ werde den Nutzer in Sekundenschnelle sicher bei seinen Sozialen Medien, Finanzinstituten oder E-Mail-Konten anmelden, ohne dass er sich mit Passwörtern herumschlagen muss.

Tipps für ein sichereres Passwort, solange Wechsel zu anderer Strategie noch nicht erfolgt

Für diejenigen, die den Wechsel zu Tokens und Passkeys aber noch nicht vollzogen haben, hier drei nützliche, schnell umzusetzende Sophos-Tipps für ein sichereres Passwort:

1. Jede Seite mit einem eigenen Log-In benötige ein eigenes Passwort. „Das kann mit kleinen Veränderungen wie Zahlen, Sonderzeichen, etc. gelingen.“
2. „Ein Passwort am besten ,anreichern’, sprich: Man wählt ein Grundwort und addiert Zahlen, Sonderzeichen und Großbuchstaben dazu.“ Noch besser wäre eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ohne Wortbedeutung. Das könne man sich natürlich unmöglich alles merken, daher:
3. Einen bewährten Passwortmanager nutzen, welcher wie ein Hausmeister alle Schlüssel parat habe. „Hier muss sich der Nutzer nur ein Generalpasswort ausdenken und merken.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 03.02.2025] „Passwörter haben ausgedient: Sie sind oft schwach, werden wiederverwendet oder sind leicht zu knacken!“, so kommentiert Simon McNally, „Solution Consultant Director for Workforce IAM, Europa“ bei Thales, den „Change your Password Day“ vom 1. Februar 2025. Er führt hierzu weiter aus: „Die durchschnittliche Person verwaltet sage und schreibe 100 Passwörter und verwendet daher Umgehungslösungen, wie die Wahl von leicht zu merkenden Passwörtern oder die Wiederverwendung desselben Passworts für mehrere Dienste. Klingt das bekannt? Das Hinzufügen eines ,!‘ ist nicht gut genug für jede Passwortänderung!“

foto: Thales

Simon McNally rät: Verwenden Sie eine einfache 2FA für mäßig sensible und eine erweiterte für hochsensible Konten!

McNally plädiert für Verwendung von Passkeys

Aus Anlass des „Change your Password Day 2025“ könne man nur die üblichen bewährten Verfahren empfehlen: „Zehn Zeichen, eine Mischung aus Buchstaben und Sonderzeichen, eine Passphrase anstelle eines Passworts“.

Aber McNally plädiert dafür, einen Schritt weiter zu gehen – hin zur Verwendung von Passkeys. Mittels Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und wesentlich sicherer.

„Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden, so dass keine langen, komplizierten Passwörter oder Phrasen mehr erstellt werden müssen.“ Ferner ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten.

Google, Amazon, Sony, Nintendo und Apple haben bereits Passkeys für Nutzer eingeführt

McNally berichtet: „Wir sehen bereits große Fortschritte in diesem Bereich: Google, Amazon, Sony, Nintendo und Apple haben alle Passkeys für Nutzer eingeführt. Diese Art von Entwicklung muss gefördert werden und deshalb sind wir der festen Überzeugung, dass es beim ,Change your Password Day’ darum gehen sollte, die Normen für Passwörter zu ändern!“

Der „Change Your Password Day 2025“ sei nun der perfekte Anlass, um Passkeys einzurichten, „wo immer es möglich ist“. Viele Unternehmen hätten bereits damit begonnen, sie als Standard zu verwenden. „Die Schritte zur Einführung von Passkeys hängen von den Konten ab, die man besitzt, und von den Websites, die man nutzt, aber im Großen und Ganzen gilt Folgendes:“

Überprüfung der Konten
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass ein Wechsel leicht möglich sei.

Passkeys auf den Geräten einrichten
„Unabhängig davon, ob es sich um ein Telefon, ein Tablet oder einen Computer handelt, kann in den Sicherheitseinstellungen nach einer Option zum Erstellen eines Passkeys gesucht werden.“ Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

Einrichten einer Authentifizierungsmethode
„Wenn das Gerät oder Betriebssystem dies unterstützt, sollte man eine Authentifizierungsmethode einrichten.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Unternehmen sollten Passkeys und phishing-resistente Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung einführen

Im Jahr 2025 müssten Unternehmen ihre Cyber-Sicherheit stärken, indem sie moderne Sicherheitspraktiken wie Passkeys und phishing-resistente Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) einführten, um eine sicherere, stärkere Authentifizierung nicht nur für einige wenige Mitarbeiter, sondern für alle zu gewährleisten.

Fast die Hälfte der Unternehmen habe laut der Thales-Studie 2024 zur „Cloud“-Sicherheit bereits eine Datenschutzverletzung in der „Cloud“ erlebt. Die Nichtverwendung der Multi-Faktor-Authentifizierung (MFA) sei ein wesentlicher Faktor bei 17 Prozent dieser Verstöße, was die dringende Notwendigkeit unterstreiche, über Passwörter hinauszugehen. Die Daten zeigten, dass die Zwei-Faktor-Authentifizierung (2FA) 99,9 Prozent der automatisierten Angriffe blockieren und Phishing-Versuche drastisch reduzieren könne.

Unternehmen müssten eine einfache 2FA, wie SMS oder Authentifizierungs-Apps, für mäßig sensible Konten wie Soziale Medien einführen. Für hochsensible Konten wie Bankgeschäfte, E-Mail oder Unternehmenszugänge seien fortgeschrittene 2FA-Methoden wie Sicherheitsschlüssel oder biometrische Verfahren entscheidend. „Dies ist eine einfache, aber wirksame Methode für Unternehmen, um die Daten ihrer Kundinnen und Kunden vor Cyber-Kriminellen zu schützen“, so McNally.

„Change your Password Day 2025“ wichtige Erinnerung daran, sich von der Ein-Faktor-Authentifizierung zu verabschieden

Der „Change your Password Day 2025“ sollte nun auch eine wichtige Erinnerung daran sein, „dass Unternehmen, die sich von der Ein-Faktor-Authentifizierung verabschieden, ihre Sicherheit erheblich verbessern können“. Unternehmen müssten umfassenden Sicherheitsmaßnahmen den Vorrang geben, um verheerende Cyber-Angriffe zu verhindern und ihren Kunden zu zeigen, dass sie sich für den Schutz ihrer Daten einsetzten – „ganz gleich, um welche Daten es sich handelt“.

Die Notwendigkeit einer Zwei-Faktor-Authentifizierung sei nicht verhandelbar: „Jeder, überall, muss sie für alle seine Konten und jedes Gerät aktivieren.“ Da KI Phishing immer raffinierter mache, sei eine fortschrittliche, phishing-resistente 2FA – wie Hardware-Sicherheitsschlüssel oder „FIDO2“-konforme Methoden – von entscheidender Bedeutung, insbesondere für den Zugriff auf sensible Systeme.

McNally rät abschließend: „Verwenden Sie eine einfache 2FA für mäßig sensible Konten wie Soziale Medien oder Online-Shopping und eine erweiterte 2FA für hochsensible Konten wie Bankgeschäfte, E-Mails oder Unternehmenszugänge, bei denen Datenschutzverletzungen schwerwiegende Folgen haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 13.05.2024] „Passwörter sind nicht mehr zweckmäßig – sie sind leicht zu knacken und sind für den Anwender zu komplex!“, so Simon McNally, „Technical Director IAM EMEA“ bei Thales, in seiner aktuellen Stellungnahme. Die jüngste Ausgabe des „Digital Trust Index“ von Thales zeigt demnach auf, dass 64 Prozent der Befragten vom umständlichen Zurücksetzen von Passwörtern frustriert sind. Menschliches Versagen sei immer noch die Hauptursache für Datenschutzverletzungen. Für Unternehmen sollte nicht zuletzt deshalb das Passwort-Thema ein wichtiges Anliegen sein. Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) und des Quantencomputings machten dies nur noch dringlicher. McNally kommentiert: „Passwörter sollten der Vergangenheit angehören, den Passkeys gehört die Zukunft. Die von einigen Tech-Konzernen eingeleitete Entwicklung sollte gefördert werden.“

foto: Thales

Simon McNally: Passkeys ermöglichen besseren Schutz der Privatsphäre

Es ist Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben

McNally: „Wenn also ein Tag für die Sensibilisierung dieses Themas benötigt wird, dann ist es an der Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben.“ Durch den Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und damit wesentlich sicherer. „Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden.“ Für den Anwender sei die Verwendung einfacher und er brauche sich nicht mehr komplizierte Passwörter oder Phrasen zu überlegen.

Schließlich ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten. Letztes Jahr – 2023 – habe Google angekündigt, dass Passkeys nun standardmäßig für Nutzer aktiviert seien, und auch Amazon und Apple hätten diesen Schritt vollzogen.

3 Schritte, um Einsatz von Passkeys zu beginnen

Anwender könnten die folgenden Schritte gehen, um mit dem Einsatz von Passkeys zu beginnen. „Der Einsatz hängt von den Konten ab, über die die Anwender verfügen sowie die Websites, die sie nutzen“, erläutert McNally und führt weiter aus:

1. Bestehende Konten auf den Einsatz von Passkeys überprüfen!
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass der Umstieg einfach sei.

2. Passkeys auf den Geräten aktivieren!
In den Sicherheitseinstellungen des Telefons, Tablets oder Computers gebe es die Option zum Erstellen eines Hauptschlüssels. Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

3. Eine Authentifizierungsmethode einrichten!
„Wenn das Gerät oder Betriebssystem dies unterstützt, muss eine Authentifizierungsmethode eingerichtet werden.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Weitere Informationen zum Thema:

THALES
2024 Thales Digital Trust Index / Building Digital Experiences that Enhance Consumer Trust

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 16.06.2022
Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet / Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen