Passwörter – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Thu, 14 May 2026 14:39:23 +0000 de hourly 1 Erstmals seit Jahren: Anzahl der pro Person verwalteten Passwörter sinkt laut NordPass-Studie https://www.datensicherheit.de/anzahl-person-passwoerter-abnahme-nordpass-studie Sat, 16 May 2026 22:59:00 +0000 https://www.datensicherheit.de/?p=54500 Diese Trendwende nach einem Höchststand von 168 persönlichen Passwörtern im Jahr 2024 könnte laut NordPass einen „Wendepunkt in der digitalen Sicherheit“ markieren

[datensicherheit.de, 17.05.2026] Eine aktuelle Untersuchung von NordPass zeigt demnach einen überraschenden Trend: Erstmals seit 2020 sei die durchschnittliche Anzahl der Passwörter pro Person gesunken. Diese Trendwende nach einem Höchststand von 168 persönlichen Passwörtern im Jahr 2024 könnte laut NordPass einen „Wendepunkt in der digitalen Sicherheit“ markieren. Die quantitative Untersuchung sei von NordPass vom 4. bis 15. April 2026 durchgeführt worden und habe 1.509 „NordPass“-Nutzer umfasst. Karolis Arbačiauskas, Cybersicherheitsexperte und „Head of Product“ bei NordPass, erläutert in seiner Stellungnahme, was hinter dieser Entwicklung steckt – vom zunehmenden Login über bestehende Konten (etwa von Google, Apple oder Facebook) bis hin zur wachsenden Verbreitung von Passkeys und anderen Passwort-Alternativen:

nordpass-karolis-arbaciauskas

Foto: NordPass

Karolis Arbačiauskas warnt, dass „Single Sign-On“ (SSO) nicht immer die sicherste Option sei – insbesondere wenn Nutzer ihre Passwörter mehrfach verwenden

Durchschnittliche Passwortanzahl sinkt laut NordPass-Studie von 168 auf 120

Erstmals seit NordPass die Entwicklung der Passwortnutzung im Jahr 2020 zu beobachten begann, sei die durchschnittliche Anzahl der von einer Person verwalteten Passwörter gesunken.

  • Eine neue Studie zeige, dass ein Nutzer im Jahr 2026 im Durchschnitt rund 120 persönliche und 67 berufliche Passwörter verwalte.

Damit kehre sich ein mehrjähriger Trend um, in dessen Kontext die Zahl der zu verwaltenden Passwörter stetig gestiegen sei. Der Höchststand sei 2024 erreicht worden, als Nutzer im Schnitt 168 persönliche und 87 berufliche Passwörter verwaltet hätten.

NordPass hat Entwicklung des „digitalen Fußabdrucks“ der Nutzer über Jahre hinweg beobachtet

NordPass habe die Entwicklung des „digitalen Fußabdrucks“ der Nutzer über Jahre hinweg beobachtet. Eine erste Erhebung im Februar 2020, kurz vor der „Corona-Pandemie“, habe durchschnittlich rund 80 Passwörter pro Person ergeben. Innerhalb der ersten acht Monate der „Pandemie“ sei diese Zahl um 25 Prozent auf 100 gestiegen – „der Beginn eines stetigen Anstiegs“. Nun scheine sich erstmals eine deutliche Abnahme abzuzeichnen.

  • „Die Daten haben uns selbst etwas überrascht, angesichts des weltweiten Wachstums bei digitalen Diensten und Konten“, so Arbačiauskas.

Er führt aus: „Wir haben jedoch mehrere Erklärungsansätze, warum die durchschnittliche Anzahl gesunken sein könnte. Nutzer entscheiden sich zunehmend für den bequemeren Weg und melden sich per ,Single Sign-On’ über ihr Hauptkonto an – etwa über Google, Apple oder Facebook.“

NordPass rät dazu, Passwörter durch Passkeys zu ersetzen

Auch die wachsende Verbreitung von Passwort-Alternativen wie Passkeys, „Apple Face ID“ und „WebAuthn“ trügen zu diesem lang erwarteten Rückgang bei. „Unser eigenes Passkey-Angebot könnte ebenfalls eine Rolle bei dieser Entwicklung gespielt haben“, merkt Arbačiauskas an.

  • Diese neuen Daten gäben Anlass zur Hoffnung, dass Passwörter nach und nach durch Passkeys und andere Anmeldemethoden ersetzt würden. Er betont jedoch, dass die Zahlen mit Vorsicht zu genießen seien, da die Gesamtzahl der Konten und der damit verbundenen Zugangsdaten weiterhin wachse.

Er ergänzt, dass „Single Sign-On“ (SSO) nicht immer die sicherste Option sei – insbesondere wenn Nutzer ihre Passwörter mehrfach verwenden, was bei rund 50 Prozent der Deutschen der Fall sei. „Ich persönlich würde empfehlen, Passwörter durch Passkeys zu ersetzen. Meiner Einschätzung nach sind sie derzeit die sicherste und bequemste Authentifizierungs- und Anmeldemethode auf dem Markt“, sagt Arbačiauskas.

Das Problem zu vieler Konten – NordPass empfiehlt Datenleck-Scanner

Es sei ein bekanntes Sicherheitsrisiko: „Wer zu viele Passwörter verwalten muss, neigt dazu, sie mehrmals zu verwenden oder nur minimal abzuwandeln – etwa durch das Ändern eines einzelnen Buchstabens oder einer Zahl.“ Diese Praxis schaffe erhebliche Schwachstellen: „Wird eines dieser Konten gehackt, sind automatisch auch alle anderen Konten mit demselben oder einem ähnlichen Passwort gefährdet.“

  • Auch vergessene oder nicht mehr genutzte Konten stellten ein Sicherheitsrisiko dar, da Nutzer Benachrichtigungen über Datenlecks möglicherweise übersehen und gar nicht mitbekommen könnten, dass ihre Daten offengelegt wurden.

In solchen Fällen könnten „Tools“ wie ein Datenleck-Scanner helfen. Ein solcher durchsuche das Internet und das sogenannte Darknet aktiv nach den Zugangsdaten der Nutzer und warne sie, wenn ihre Informationen offengelegt wurden – so könnten auch ungenutzte Konten geschützt werden.

Weitere Informationen zum Thema:

NordPass
NordPass: A password manager designed to make online security as easy as it gets — for individuals and companies of all sizes. With a global team of experts dedicated to our customers‘ safety, we prove that cybersecurity can be exceptional and effortless at the same time.

iTKEY MEDIA
Karolis Arbačiauskas

NordPass, Kamile Viezelyte, 07.05.2026
Juggling security: How many passwords does the average person have in 2026?

NordPass, Lukas Grigas, 29.04.2025
Stoppen Sie die Wiederverwendung von Passwörtern: Was die neue NordPass-Studie zeigt

NordPass
Erkennen Sie, wann Ihre Daten gefährdet sind: Mit dem Datenleck-Scanner von NordPass erfahren Sie, wann Ihre Anmeldedaten – seien es E-Mail-Konten, Passwörter oder Kreditkartendaten – bei einer Datenschutzverletzung auftauchen.

datensicherheit.de, 04.02.2026
Benutzerkonten: Pauschaler Passwortwechsel laut BSI keine zeitgemäße Schutzmaßnahme mehr / Wiederkehrende Änderungen des Passworts könnten dazu führen, dass Verbraucher eher vermehrt zu schwachen – etwa leicht vorhersehbaren – Passwörtern neigen

datensicherheit.de, 01.02.2026
Ändere Dein Passwort Tag 2026: Least Privilege und Zugangskontrolle gilt es flankierend zu beachten / Darren Guccione warnt, dass ein einziges kompromittiertes Passwort Cyberkriminellen Zugang und Zugriff verschaffen kann

datensicherheit.de, 14.12.2025
Passwort-Manager: BSI-Untersuchung identifiziert Verbesserungsbedarf / Aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit – das BSI hat diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik untersucht

]]>
Cyberresilienz: Echtzeiteinblick in das Netzwerk für zentralisierte IT-Teams https://www.datensicherheit.de/cyberresilienz-echtzeiteinblick-netzwerk-zentrale-it-teams Mon, 04 May 2026 22:45:00 +0000 https://www.datensicherheit.de/?p=54288 Thomas Lo Coco warnt anlässlich des „Welt-Passwort-Tages“ am 7. Mai 2026 vor einer eindimensionale IT-Sicherheitsstrategie

[datensicherheit.de, 05.05.2026] Thomas Lo Coco, „Sales Manager Central Europe“ bei Absolute Security, nimmt den „Welt-Passwort-Tag“ am 7. Mai 2026 zum Anlass, für zentralisierte IT-Teams Echtzeiteinblick in das Netzwerk zu empfehlen. „Gute Passwörter sind lang, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. So weit, so gut. Aber wie sieht es aus, wenn ein Mitarbeiter das Unternehmen verlässt und die Passwörter – etwa die BitLocker-Keys oder die BIOS-Zugangsdaten – auch gleich mitgehen lässt, wenn Cyberkriminelle diese umgehen oder durch einen erfolgreichen Brute-Force-Angriff die richtige Kombination ermitteln?“ Auch wenn Passwörter eine notwendige erste Verteidigungslinie darstellten, seien dies nur einige Beispiele dafür, wie eine eindimensionale IT-Sicherheitsstrategie leicht scheitern könne – „eine einzige Schutzebene reicht nicht aus, um den Risiken in der heutigen feindlichen digitalen Umgebung zu begegnen“.

absolute-security-thomas-lo-coco

Foto: Absolute Security

Thomas Lo Coco: Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv!

Herkömmliche IT-Sicherheitsmaßnahmen reichen nicht mehr aus

Deshalb brauchten Unternehmen eine robuste Strategie zur Cyberresilienz, welche die Endpunktsicherheit stärkt und es ihnen ermöglicht, zeitnah zu reagieren. Herkömmliche, auf geschützten Büroverbindungen basierende IT-Sicherheitsmaßnahmen reichten nicht mehr aus.

  • Lo Coco warnt: „Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv, so dass Geräte an 76 Tagen im Jahr nicht vollständig geschützt sind und die Sicherheitsrichtlinien nicht einhalten.“

Angesichts der zahlreichen von Remote-Mitarbeitern genutzten Geräte sei die Gewährleistung der Cyberresilienz entscheidend, um Schäden und Ausfallzeiten zu minimieren. Störungen könnten den Betrieb empfindlich treffen, die Produktivität beeinträchtigen und zu erheblichen finanziellen Verlusten führen.

Zentralisierte IT-Teams müssen bei verdächtigen Aktivitäten entschlossen handeln

Eine umfassende Verteidigungsstrategie müsse Maßnahmen für eine sofortige Reaktion definieren, präventiv Schwachstellen schließen und Protokolle zur schnellen Wiederherstellung der IT-Funktionalität umfassen. „Eine aktualisierte Software, die Überwachung aller Geräte und eine gewährleistete Netzwerktransparenz sind zentrale Maßnahmen, um Risiken zu mindern“, so Lo Coco.

  • Der Schutz des Netzwerks allein reiche nicht aus, „wenn Endgeräte aufgrund veralteter Sicherheitsmaßnahmen anfällig bleiben oder Passwörter wirkungslos geworden sind“. Zentralisierte IT-Teams benötigten einen Echtzeiteinblick in das Netzwerk und müssten bei verdächtigen Aktivitäten entschlossen handeln.

Lo Coco erläutert: „Wird ein ungewöhnliches Verhalten festgestellt, sollten sie kompromittierte Geräte sperren oder herunterfahren, um den Vorfall einzudämmen, bevor er sich ausbreitet. Darüber hinaus bietet die Isolation von Geräten, die von unbekannten Standorten aus genutzt werden, eine zusätzliche Schutzebene und ermöglicht ein schnelles und effizientes Vorfallmanagement.“

Proaktiver Ansatz zur schnellen Wiederherstellung nach IT-Sicherheitsvorfällen

Durch einen proaktiven Ansatz zur Cyberresilienz könnten Unternehmen Ausfallzeiten reduzieren und eine schnelle Wiederherstellung nach IT-Sicherheitsvorfällen gewährleisten, „wodurch sensible Daten geschützt sind und der Betrieb aufrechterhalten bleibt“.

  • Ein sicherer und reibungsloser Betriebsablauf hänge – neben einer funktionierenden „Passworthygiene“ – von einer starken Endpunktsicherheit, Echtzeitüberwachung und der Konzentration auf einen aktuellen Status der Systeme ab.

Abschließend gibt Lo Coco zu bedenken: „Die sichersten Passwörter schützen nicht, wenn Sie in die falschen Hände geraten oder Insider sie missbrauchen. Diese Tatsache sollte man sich im Sinne einer gut funktionierenden Cyberresilienz bewusst machen! Denn es ist egal, wie hoch die Mauer ist, sobald jemand den Schlüssel zur Hintertür hat.“

Weitere Informationen zum Thema:

ABSOLUTE
We’re on a mission to help organizations strengthen cyber resiliency

LinkedIn
Thomas Lo Coco – Country Manager DACH & ROE / Absolute Security

datensicherheit.de, 01.02.2026
Ändere Dein Passwort Tag 2026: Least Privilege und Zugangskontrolle gilt es flankierend zu beachten / Darren Guccione warnt, dass ein einziges kompromittiertes Passwort Cyberkriminellen Zugang und Zugriff verschaffen kann

datensicherheit.de, 14.12.2025
Passwort-Manager: BSI-Untersuchung identifiziert Verbesserungsbedarf / Aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit – das BSI hat diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik untersucht

datensicherheit.de, 07.11.2025
Schwache Passwortregeln für Websites prägen Unsicherheitskultur / Eine neue Studie von NordPass zeigt warnend auf, dass selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen wird

datensicherheit.de, 04.05.2025
Chester Wisniewski: Weltpassworttag sollte überflüssig werden / Als nächster Schritt werden phishing-resistente MFA wie „FIDO2“ und Passkeys empfohlen

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

]]>
World Password Day 2026: ESET-Empfehlung zur MFA-Nutzung für zentrale Zugänge zu Netzwerken und Konten https://www.datensicherheit.de/world-password-day-2026-eset-empfehlung-mfa-nutzung-netzwerke-konten Thu, 30 Apr 2026 22:34:00 +0000 https://www.datensicherheit.de/?p=54201 Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis – und kann damit verhindern, dass sich Cyberkriminelle wie berechtigte Nutzer einfach einloggen können

[datensicherheit.de, 01.05.2026] Der „World Password Day“, nun wieder am 7. Mai 2026, soll jedes Jahr daran erinnern, unbedingt sichere Kennwörter zu verwenden. ESET betont in einer Stellungnahme zu diesem Tag, dass Passwörter wichtig blieben. Indes: „Allein tragen sie die Sicherheit von Unternehmen aber nicht mehr!“ Denn die ursprüngliche Botschaft dieses Jahrestages greife inzwischen zu kurz: „,Cloud’-Dienste, VPN-Zugänge, ,Remote Desktop’, E-Mail-Konten und Administrationsoberflächen brauchen mehr Schutz als Benutzername und Passwort!“ Der Grund sei einfach: Angreifer müssten heute nicht immer technische Schwachstellen ausnutzen – oft genüge eine gültige Identität. Gestohlene oder wiederverwendete Zugangsdaten öffneten den Weg in Postfächer, „Cloud“-Umgebungen oder interne Systeme. Für IT-Sicherheitsabteilungen sei dies besonders tückisch: Im ersten Moment sehe ein solcher Zugriff nicht wie ein Einbruch aus, sondern eben wie eine normale Anmeldung.

eset-external-networks-intrusion-vectors-2025

Abbildung: ESET

„External network intrusion vectors reported by unique clients in H2 2025“: Das Erraten von Passwörtern ist Haupt-Angriffsvektor für cyberkriminelle Zugänge

MFA sollte ordentlich eingeführt und im Alltag akzeptiert werden

Wie konkret dieses Risiko ist, zeigt demnach die aktuelle ESET-Telemetrie: Laut „ESET Threat Report H2 2025“ sind E-Mail-Bedrohungen gegenüber der ersten Jahreshälfte um 36 Prozent gestiegen. Unter den Top-Bedrohungen bei E-Mails habe „HTML/Phishing.Agent“ mit 30,8 Prozent klar vorne gelegen.

  • Auch klassische Passwortangriffe blieben relevant. Bei externen Netzwerkangriffsvektoren sei mit 43,3 Prozent der größte Anteil auf „Password Guessing“ entfallen. Hinzu kämen sogenannte Infostealer wie „Formbook“, „Agent Tesla“ oder „SnakeStealer“, welche Zugangsdaten, Browser-Daten und weitere sensible Informationen von kompromittierten Geräten abgreifen könnten.

„Viele Angriffe beginnen heute mit einer ganz normalen Anmeldung“, erläutert Michael Schröder, „Head of Product Marketing“ bei ESET Deutschland. Er mahnt: „Genau deshalb dürfen Unternehmen Passwörter nicht länger alleinlassen. Multi-Faktor-Authentifizierung sorgt dafür, dass ein gestohlenes Passwort nicht automatisch zum Zugang ins Unternehmen wird. Wichtig ist aber, dass MFA sauber eingeführt und im Alltag akzeptiert wird!“

MFA-Nutzung eine Verpflichtung

Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis: Das kann eine App-Freigabe sein, ein Einmalcode, ein Hardware-Token, ein biometrisches Merkmal oder ein FIDO-basierter Sicherheitsschlüssel. Der Nutzen ist offensichtlich: Selbst wenn ein Passwort kompromittiert wurde, fehlt Angreifern ein weiterer Faktor für den Zugang.

  • Auch regulatorisch gewinnt MFA offenbar an Bedeutung. Das BSI verweist jedenfalls im NIS-2-Kontext auf MFA und gesicherte Kommunikation als Teil der Risikomanagementmaßnahmen für wichtige und besonders wichtige Einrichtungen. Damit wird MFA für viele Unternehmen in Deutschland, aber auch in Österreich und der Schweiz, nicht nur zu einer technischen Empfehlung, sondern zu einem Baustein professioneller Unternehmensführung.

ESET rät Unternehmen deshalb, MFA nicht als Einzelprojekt zu betrachten. Entscheidend sei eine Strategie, welche kritische Zugänge priorisiere, Nutzergruppen einbinde und Sonderfälle sauber regele. Dazu gehörten verlorene Smartphones, Gerätewechsel, Dienstleister-Zugänge, Notfallkonten und ältere Anwendungen, welche moderne Authentifizierung nur eingeschränkt unterstützten.

Trotz MFA sind gute Passwörter entscheidend

Aber auch mit MFA blieben gute Passwörter wichtig: Diese sollten lang, einzigartig und nicht mehrfach verwendet werden. Passwortmanager könnten helfen, sichere Zugangsdaten praktikabel zu machen. Der regelmäßige Zwangswechsel ohne konkreten Anlass sei hingegen kein Allheilmittel.

  • Wichtiger sei, unsichere oder kompromittierte Kennwörter zu erkennen und kritische Zugänge zusätzlich abzusichern. Der diesjährige „World Password Day“ sollte für Unternehmen deshalb mehr sein als ein Hinweis auf Sonderzeichen und Mindestlängen:

Er sei ein guter Anlass, die eigene Identity-Security-Strategie zu prüfen. „Welche Konten sind besonders kritisch? Wo fehlt MFA noch? Welche Dienstleister haben Zugriff? Welche Altanwendungen umgehen moderne Sicherheitsregeln? Und wie schnell erkennt das Unternehmen, wenn Zugangsdaten missbraucht werden?“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung

welivesecurity by eseT, Jiří Kropáč, 16.12.2025
ESET Research / ESET Threat Report H2 2025: A view of the H2 2025 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: Multi-Faktor-Authentisierung, kontinuierliche Authentifizierung und gesicherte Kommunikation

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

datensicherheit.de, 01.05.2026
Einloggen statt Einbruch: Warnung vor cyberkriminellem Trend / Rich Greene nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass, IT-Sicherheitsteams mit einer unangenehmen Wahrheit über Passwörter zu konfrontieren – Cyberkriminelle suchen vermehrt den direkten Zugang

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

]]>
Einloggen statt Einbruch: Warnung vor cyberkriminellem Trend https://www.datensicherheit.de/einloggen-statt-einbruch-warnung-cyberkrimineller-trend Thu, 30 Apr 2026 22:33:00 +0000 https://www.datensicherheit.de/?p=54200 Rich Greene nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass, IT-Sicherheitsteams mit einer unangenehmen Wahrheit über Passwörter zu konfrontieren – Cyberkriminelle suchen vermehrt den direkten Zugang

[datensicherheit.de, 01.05.2026] Rich Greene, „Instructor“ beim SANS Institute, nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass zu mahnen, dass sich IT-Sicherheitsteams einer unangenehmen Wahrheit über Passwörter stellen müssten: Cyberkriminelle würden für Angriffe nicht mehr einbrechen„sie loggen sich ein!“ Für den Report „Verizon DBIR 2025“ hatten die Autoren demnach über 22.000 Sicherheitsvorfälle analysiert und festgestellt, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Web-Anwendungen steige diese Zahl sogar auf 88 Prozent. An anderer Stelle hätten die Autoren eines Reports von „IBM X-Force“ einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei sogenannter Infostealer-Malware verzeichnet, welche über Phishing-E-Mails verbreitet worden sei. Dabei handele es sich eben nicht um ausgeklügelte Zero-Day-Exploits: „Dabei handelt es sich um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.“

sans-institute-rich-greene

Foto: SANS Institute

Rich Greene berichtet: Zugangsdaten werden in Logs gebündelt und an „Initial Access Broker“ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen…

In mehr als der Hälfte der Fälle öffnet ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Zugänge

Greene warnt: „Und die Wiederverwendung von Passwörtern gießt weiterhin Öl ins Feuer. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren.“

  • Dies bedeute, dass in mehr als der Hälfte der Fälle ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Türen öffnen könne. „Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil.“

Die „Infostealer“-Wirtschaft habe sich industrialisiert. Im „KELA-Bericht 2025“ hätten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten verzeichnet. „Diese Zugangsdaten werden in Logs gebündelt und an ,Initial Access Broker’ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen.“

MFA kann helfen – sollte aber nicht als „die Wunderwaffe“ gegen Cyberkriminelle verstanden werden

„MFA hilft, aber sie ist nicht ,die Wunderwaffe’, als die sie gerne dargestellt wird. Angreifer umgehen sie durch ,Prompt-Bombing’, ,Session-Hijacking’ und ,Adversary-in-the-Middle’-Phishing-Kits, die Token in Echtzeit erfassen“, berichtet Greene. Der „Verizon DBIR“ habe „Prompt-Bombing“ erstmals als eine der häufigsten Angriffsmethoden identifiziert. Eine Multi-Faktor-Authentifizierung (MFA) aktiviert zu haben, sei das Mindeste. „Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.“

  • Doch es gebe Licht am Horizont für die IT-Security-Community, denn Passkeys funktionierten. „Die FIDO Alliance berichtet, dass 69 Prozent der Verbraucher mittlerweile mindestens einen Passkey besitzen, gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren.“ Passkeys erreichten eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern.

Auf Unternehmensseite hätten laut Untersuchungen von HID und der FIDO Alliance 87 Prozent der Organisationen Passkeys eingeführt oder seien dabei, diese einzuführen. Google habe über 800 Millionen Passkeys nutzende Konten mit 2,5 Milliarden Passkey-Anmeldungen. „Das ist also keine Theorie mehr, sondern Realität.“

Zur Abwehr cyberkrimineller Angriffe Passkeys einführen – ein Prozess mit Zeitbedarf

Passkeys seien eine erstaunliche Technologie mit echten Hürden bei der Einführung, welche IT-Sicherheitsteams nicht einfach wegwinken könnten: „Unternehmensumgebungen mit veralteter Infrastruktur, lokalem ,Active Directory’, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne ,Trusted Platform Module’ (TPM) oder biometrische Hardware stehen vor echten Schwierigkeiten.“

  • Die plattformübergreifende Interoperabilität zwischen „Ökosystemen“ verbessere sich zwar, sei aber immer noch umständlich. Die Kontowiederherstellung und die Delegierung von Anmeldedaten in großen Organisationen seien noch nicht vollständig gelöst.

Greene führt aus: „Und man kann nicht einfach einen Schalter umlegen und Passwörter über Nacht abschaffen, wenn man Tausende von Mitarbeitern mit unterschiedlicher Hardware hat.“ Organisationen müssten während der Umstellung eine hybride Authentifizierung betreiben – und diese Umstellung könnte je nach Umgebung Jahre dauern. „Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein.“

Passwörter einst ein notwendiges Übel zum Schutz vor Cyberkriminellen

„Die Zeit nach dem besseren Passwort zu suchen ist abgelaufen!“, stellt Green klar. Stattdessen sollten IT-Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen, denn jedes Passwort sei eine Angriffsfläche, und jeder Passkey beseitige eine.

  • Sie sollten stattdessen Passwortmanager nutzen und überall phishing-resistente MFA einsetzen.

„Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel.“ Je schneller IT-Sicherheitsteams diese nun ablösten desto besser. „Organisationen müssen jedoch auch dort abgeholt werden, wo sie stehen. Nicht jedes Unternehmen verfügt über glänzende neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen“, gibt Greene abschließend zu bedenken.

Weitere Informationen zum Thema:

SANS
About SANS Institute

SANS
Rich Greene – Certified InstructorSenior Solutions Engineer at SANS Institute

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

verizon, Sebrina Kepple, 23.04.2025
Verizon’s 2025 Data Breach Investigations Report: System intrusion breaches double in EMEA

IBM, 17.04.2025
IBM X-Force Threat Index 2025: Der umfangreiche Diebstahl von Anmeldedaten nimmt zu, Bedrohungsakteure wenden heimlichere Taktiken an

KELA, 2025
2025 Midyear Threat Report: Evolving Tactics and Emerging Dangers / A Guide to Prepare for the Growing Threats of Hacktivists, Infostealers, Ransomware and More

fido ALLIANCE
Passkeys

datensicherheit.de, 01.05.2026
World Password Day 2026: ESET-Empfehlung zur MFA-Nutzung für zentrale Zugänge zu Netzwerken und Konten / Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis – und kann damit verhindern, dass sich Cyberkriminelle wie berechtigte Nutzer einfach einloggen können

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

]]>
Benutzerkonten: Pauschaler Passwortwechsel laut BSI keine zeitgemäße Schutzmaßnahme mehr https://www.datensicherheit.de/benutzerkonten-pauschal-passwortwechsel-bsi-ungenuegend-schutzmassnahme Tue, 03 Feb 2026 23:20:00 +0000 https://www.datensicherheit.de/?p=52245 Wiederkehrende Änderungen des Passworts könnten dazu führen, dass Verbraucher eher vermehrt zu schwachen – etwa leicht vorhersehbaren – Passwörtern neigen

[datensicherheit.de, 04.02.2026] Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den diesjährigen „Ändere-dein-Passwort-Tag“ vom 1. Februar 2026 als Anlass zu einer Stellungnahme genommen. Dieser Tag soll daran erinnern, Passwörter regelmäßig zu erneuern – eben für den Fall, dass ein Passwort unbemerkt zur Kenntnis Unbefugter gelangt. Tatsächlich aber sei ein pauschaler Passwortwechsel jedoch keine zeitgemäße Schutzmaßnahme mehr – stattdessen führten wiederkehrende Änderungen des Passworts oftmals dazu, dass Verbraucher vermehrt zu schwachen – z.B. leicht vorhersehbaren – Passwörtern griffen.

Notwendig, aber noch nicht hinreichend: Das Passwort muss stark und einzigartig sein

Karin Wilhelm, BSI-Expertin für Verbraucherschutz, führt aus: „Die meisten Menschen haben zahlreiche Benutzerkonten – etwa in Onlineshops, Sozialen Netzwerken und bei E-Mail-Anbietern. Viele dieser Konten enthalten sensible Daten wie beispielsweise Klarnamen, Adressen oder Kreditkarteninformationen.“

  • Daher gelte es, diese vor Fremdzugriffen zu schützen. Ein routinemäßiger Passwortwechsel aber erhöhe die Sicherheit nicht automatisch. „Wichtiger ist, dass ein Passwort stark und einzigartig ist. Außerdem sollte es durch einen zweiten Faktor ergänzt oder durch einen Passkey ersetzt werden!“, betont Wilhelm.

Einzigartigkeit bedeutet hier demnach, dass für jedes Benutzerkonto ein eigenes Passwort gewählt wird. „Gerät ein Passwort z.B. im Rahmen eines Datenlecks oder Phishing-Angriffs in fremde Hände, sind dann nicht gleich mehrere Benutzerkonten der jeweiligen Person betroffen.“

Passkeys als moderne Alternative zu klassischen Passwörtern

Passwortmanager könnten dabei helfen, den Überblick zu behalten. Selbst ein komplexes Passwort biete jedoch keinen hundertprozentigen Schutz. Deshalb empfiehlt das BSI, eine Zwei-Faktor-Authentisierung (2FA) zu aktivieren. Neben dem Passwort würden Nutzer dann auch beispielsweise einen Code eingeben, welcher beim Login über eine vorab installierte „Authenticator App“ an ihr Smartphone geschickt wird. Diese zusätzliche Sicherheitsebene erschwere es Angreifern erheblich, an Konten zu gelangen – „selbst wenn sie das Passwort kennen“.

  • Eine moderne Alternative zu klassischen Passwörtern böten zudem Passkeys: Diese auf kryptographische Verfahren basierende Methode ermögliche eine sichere, oft biometrisch unterstützte Authentifizierung ohne Passwort. „Da letzteres hier obsolet wird, kann es auch nicht abgegriffen werden.“

So könnten Nutzer viele Risiken reduzieren, die mit traditionellen Kennwörtern verbunden sind. Anstelle eines pauschalen Passwortwechsels rät das BSI daher zu überprüfen, „bei welchen Benutzerkonten der Umstieg auf Passkeys bereits möglich ist und wo eine Zwei-Faktor-Authentisierung aktiviert werden kann“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Linkedin
Karin Wilhelm / Referatsleitung bei BSI Bundesamt für Sicherheit in der Informationstechnik

Bundesamt für Sicherheit in der Informationstechnik
Online-Account schützen: Sichere Passwörter und Zwei-Faktor-Authentisierung

heise online, Dirk Knop, 01.02.2024
„Ändere Dein Passwort“-Tag: Warum Ändern des Passworts kaum hilft / Alle Jahre wieder am 1. Februar sorgt der „Ändere Dein Passwort“-Tag für Grummeln in der Redaktion. Wir empfehlen: Besser alte Gewohnheiten ändern!

datensicherheit.de, 01.02.2026
Ändere Dein Passwort Tag 2026: Least Privilege und Zugangskontrolle gilt es flankierend zu beachten / Darren Guccione warnt, dass ein einziges kompromittiertes Passwort Cyberkriminellen Zugang und Zugriff verschaffen kann

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig

]]>
Ändere Dein Passwort Tag 2026: Least Privilege und Zugangskontrolle gilt es flankierend zu beachten https://www.datensicherheit.de/andere-dein-passwort-tag-2026-least-privilege-zugangskontrolle Sat, 31 Jan 2026 23:53:00 +0000 https://www.datensicherheit.de/?p=52226 Darren Guccione warnt, dass ein einziges kompromittiertes Passwort Cyberkriminellen Zugang und Zugriff verschaffen kann

[datensicherheit.de, 01.02.2026] Gestohlene Identitäten stellen ein zunehmendes Problem für Unternehmen dar: Cyberkriminelle können damit Zugang auch zu sensiblen Systemen und Daten erlangen. Sichere Passwörter und deren Wechsel könnten an dieser Stelle helfen – aber mindestens ebenso wichtig sei das „Prinzip der geringsten Privilegien“ und die Zugangskontrolle, betont Darren Guccione, CEO und Co-Founder von Keeper Security, in seiner Stellungnahme zum diesjährigen „Ändere Dein Passwort Tag“ zum 1. Februar 2026.

keeper-security-darren-guccione

Foto: Keeper Security

Darren Guccione rät zu zentralem Passwortmanagement in Kombination mit starker Authentifizierung und „Least Privilege“-Prinzipien

„Ändere Dein Passwort Tag“ als Mahnung notwendig – aber noch nicht hinreichend

Der alljährliche „Ändere Dein Passwort Tag“ jeweils am 1. Februar, mache auf ein anhaltendes Problem aufmerksam, mit welchem Unternehmen weiterhin konfrontiert seien:

  • Gestohlene Zugangsdaten zählen nach wie vor zu den effektivsten und zuverlässigsten Wegen, über die Angreifer ersten Zugriff auf Unternehmensumgebungen erlangen.“

Ein einziges kompromittiertes Passwort – insbesondere mit erweiterten Berechtigungen – könne schnell zu sogenannten lateralen Bewegungen im Netzwerk, Datenabfluss oder Ransomware-Angriffen führen, „wenn keine entsprechenden Schutzmaßnahmen greifen“.

Passwortwechsel – auch regelmäßige – allein reichen zum Schutz noch nicht aus

Dieses Risiko lasse sich nicht allein durch regelmäßige Passwortwechsel beheben. Guccione unterstreicht: „Unternehmen müssen starke, eindeutige Zugangsdaten für alle Nutzer durchsetzen, gemeinsam genutzte Konten vermeiden und privilegierte Zugriffe streng kontrollieren!“

  • Zentrales Passwortmanagement in Kombination mit starker Authentifizierung und „Least Privilege“-Prinzipien erhöhe sowohl die Sicherheit als auch die Transparenz im Betrieb.

Abschließend gibt Guccione zu bedenken: „Werden Zugriffe konsequent verwaltet und überwacht, verliert der Diebstahl von Zugangsdaten erheblich an Wirkung – und Unternehmen sind besser in der Lage, Bedrohungen einzudämmen, bevor sie zu ernsthaften Sicherheitsvorfällen eskalieren!“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Darren Guccione

heise online, Dirk Knop, 01.02.2024
„Ändere Dein Passwort“-Tag: Warum Ändern des Passworts kaum hilft / Alle Jahre wieder am 1. Februar sorgt der „Ändere Dein Passwort“-Tag für Grummeln in der Redaktion. Wir empfehlen: Besser alte Gewohnheiten ändern!

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig

]]>
Schwache Passwortregeln für Websites prägen Unsicherheitskultur https://www.datensicherheit.de/schwaeche-passwortregeln-websites-unsicherheitskultur https://www.datensicherheit.de/schwaeche-passwortregeln-websites-unsicherheitskultur#respond Thu, 06 Nov 2025 23:49:21 +0000 https://www.datensicherheit.de/?p=50838 Eine neue Studie von NordPass zeigt warnend auf, dass selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen wird

[datensicherheit.de, 07.11.2025] Laut einer neuen Studie von NordPass zeigen sich arge Sicherheitsprobleme im Internet auf: Demnach wird selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen. Für die Studie seien die 1.000 der weltweit meistbesuchten Websites analysiert worden: Die meisten setzten nicht einmal die einfachsten Passwortregeln durch – und keine halte die Sicherheitsstandards von NIST oder NordPass vollständig ein. Karolis Arbačiauskas, „Head of Product“ bei NordPass, nennt dies „einen stillen Designfehler, der die Ansichten von Milliarden von Menschen beim Thema Sicherheit prägt“. Die vorliegende Studie zeige, dass Behörden- und Gesundheitswebsites am schlechtesten abschnitten – und bei lediglich einem Prozent von 1.000 Web-Plattformen lange, komplexe Passwörter verlangt würden. Da indes Cyberangriffe durch „Tools“ auf Basis Künstlicher Intelligenz (KI) immer effektiver würden, warnt NordPass, dass ein reiner Fokus auf Benutzerfreundlichkeit bei großen Websites weltweit die Passwort-Gewohnheiten verändere – und damit die Sicherheitsstandards für alle senke. Insgesamt seien für die Studie 1.000 der meistbesuchten Websites ausgewählt – basierend auf dem Ranking „Top 1000 Most Visited Websites in the World“ von Ahrefs und den Schätzungen zum organischen Suchdatenverkehr vom Februar 2025. Dieses Ranking spiegele die geschätzte Anzahl monatlicher Besuche wider, welche jede Website über organische Suchanfragen erhält. Anschließend sei überprüft worden, welche Authentifizierungsmethoden und Passwortanforderungen diese Websites zum jeweiligen Zeitpunkt boten. Die Datenerhebung habe im Zeitraum vom 26. Februar bis 6. März 2025 stattgefunden.

nordpass-studie-passwort-management-websites-2025

Abbildung: NordPass

NordPass kritisiert den „stillen Designfehler“, welche die Ansichten von Milliarden von Menschen beim Thema Passwort-Sicherheit auf Websites unvorteilhaft prägt

Beliebteste Websites der Welt fördern stillschweigend schlechte Passwortgewohnheiten

Eine neue Studie von NordPass zeige, dass die beliebtesten Websites der Welt stillschweigend schlechte Passwortgewohnheiten förderten – „nicht mit ihren Inhalten, sondern mit dem, was sie von den Nutzern nicht verlangen“.

  • Bei der Analyse der 1.000 meistbesuchten Websites weltweit habe das Expertenteam von NordPass herausgefunden, dass es auf bei den meisten immer noch viel zu einfach sei, schwache Passwörter zu erstellen. Von Shopping-Plattformen bis hin zu Portalen von Behörden: Selbst die wichtigsten Online-Präsenzen ignorierten oft die Grundprinzipien für das Erstellen sicherer Passwörter.

Arbačiauskas kommentiert und kritisiert: „Das Internet macht vor, wie man sich einloggen soll – und das schon seit Jahrzehnten auf die falsche Weise. Wenn eine Website ‚Passwort123‘ akzeptiert, denken die Nutzer, es sei in Ordnung, solche schwachen Passwörter zu verwenden. So hat sich eingebürgert, mit minimalem Aufwand ein maximal großes Risiko einzugehen.“

Websites derzeit mit Passwort-Paradoxon

Beim Thema „grundlegende Sicherheit“ würden die meisten Websites also immer noch hinterherhinken. Wie NordPass herausgefunden hat, „gibt es viele Unstimmigkeiten dabei, wie Plattformen mit dem Passwortschutz umgehen“. Einige Websites setzten ein paar grundlegende Anforderungen durch, während andere überhaupt keine festlegten. Zudem folgten nur einige wenige einem klaren, standardisierten Ansatz.

  • 61 Prozent der Websites setzten ein Passwort voraus – aber keine erfülle die Sicherheitsstandards von NIST oder NordPass vollständig.
  • 58 Prozent erforderten keine Sonderzeichen und 42 Prozent erzwängen keine Mindestlänge.
  • Elf Prozent hätten überhaupt keine Anforderungen an Passwörter.
  • Nur ein Prozent der in der Studie geprüften Websites fordere alle wichtigen Punkte – nämlich lange, komplexe Passwörter mit Großbuchstaben, Symbolen und Zahlen.

Dadurch stünden Nutzer je nach Web-Plattform vor ganz unterschiedlichen Anforderungen. Auf der einen Website müssten sie vielleicht ein langes und komplexes Passwort erstellen, während auf einer anderen ein einfaches Kennwort wie „123456“ akzeptiert werde. Diese Inkonsistenz sorge nicht nur für Verwirrung – sie senke auch stillschweigend den weltweiten Standard für Online-Sicherheit.

Website-Anbieter sollten gezielt sichereres Verhalten fördern

Jene Branchen, die mit den sensibelsten Daten arbeiten – Behörden, das Gesundheitswesen und die Lebensmittel- und Getränkeindustrie –, hätten am schlechtesten abgeschnitten.

  • „Es reicht nicht, die Nutzer einfach nur darauf hinzuweisen, vorsichtiger zu sein. Sicherheit muss als eine gemeinsame Aufgabe gesehen werden! Webseiten können sichereres Verhalten fördern, indem sie beispielsweise klare Regeln vorgeben, visuelle Hinweise bieten oder moderne Anmeldemethoden wie Passkeys einführen“, erläutert Arbačiauskas.

Die Studie habe sich jedoch nicht nur mit Passwörtern beschäftigt, sondern auch einen Blick darauf geworden, wie Websites generell mit dem Thema „Authentifizierung“ umgehen. Die Zahlen belegten nun, wie langsam sich Innovationen etablierten.

Auf zu vielen Websites geht Benutzerfreundlichkeit vor Sicherheit

Während einige wenige Websites mit strikten Passwortrichtlinien als positive Beispiele herausstechen würden, gäben die meisten jedoch immer noch der Benutzerfreundlichkeit gegenüber der Sicherheit den Vorzug.

  • 39 Prozent der Websites ließen Nutzer per „Single Sign-On“ (SSO) einloggen, meistens über „Google“.
  • Nur zwei 2 Prozent unterstützten Passkeys„die moderne passwortlose Technologie, die von der FIDO-Allianz unterstützt wird“.
  • Nur fünf Websites – „bahn.de“, „cuisineaz.com“, „fedex.com“, „interia.pl“ und „ups.com“ – erfüllten die strengen Passwortkriterien von NordPass und NIST.

„Die allgemeine Nachlässigkeit beim Umgang mit Passwörtern ist also nicht verwunderlich. Wenn Websites keine starken Anmeldedaten mehr voraussetzen, erstellen die Nutzer auch keine mehr. Was wir hier beobachten, ist ein besorgniserregender Wandel, sowohl bei den Internetnutzern als auch bei den Webseiten-Entwicklern – ein Wandel, den wir dringend umkehren müssen!“, fordert Arbačiauskas.

Passwort-Qualität auch bei Websites erste Verteidigungslinie gegenüber Cyberkriminellen

In einer Zeit zunehmender Datenlecks und automatisierter Hacking-Tools sei die Passwort-Qualität längst kein nebensächliches Detail – sie sei die erste Verteidigungslinie. Schwache Vorgaben bei der Passwortvergabe hätten weitreichende Folgen: Wenn selbst die größten Websites keine hohen Standards setzten, machten das auch kleinere Websites immer seltener.

  • Unzureichende Passwortrichtlinien gefährdeten dabei nicht nur einzelne Nutzer, sondern wirkten sich auch auf Unternehmen, Branchen und sogar Behörden aus. Jedes Mal, wenn eine große Plattform ein schwaches Passwort akzeptiere, bremse dies die Einführung weltweit einheitlicher Sicherheitsstandards aus.

Cyberkriminelle nutzten diese Lücke gezielt aus. Einfache Passwörter, kombiniert mit neuen Technologien wie KI, machten „Brute Force“- und „Credential Stuffing“-Angriffe so einfach wie nie zuvor – und setzten Millionen Nutzerkonten branchenübergreifend erheblichen Risiken aus.

Weitere Informationen zum Thema:

NordPass
NordPass: A password manager designed to make online security as easy as it gets — for individuals and companies of all sizes. With a global team of experts dedicated to our customers‘ safety, we prove that cybersecurity can be exceptional and effortless at the same time.

NordPass
Minimum password requirements met: Top 1,000 most-visited websites

Linkedin
Karolis Arbaciauskas: Head of Product & Business Development | Cyber Security

datensicherheit.de, 04.05.2025
Chester Wisniewski: Weltpassworttag sollte überflüssig werden / Als nächster Schritt werden phishing-resistente MFA wie „FIDO2“ und Passkeys empfohlen

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

]]>
https://www.datensicherheit.de/schwaeche-passwortregeln-websites-unsicherheitskultur/feed 0
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft https://www.datensicherheit.de/world-password-day-ueberfluessig-zukunft-ohne-passwoerter https://www.datensicherheit.de/world-password-day-ueberfluessig-zukunft-ohne-passwoerter#respond Thu, 01 May 2025 22:46:55 +0000 https://www.datensicherheit.de/?p=47523 Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

[datensicherheit.de, 02.05.2025] Nach Ansicht von Tony Fergusson, „CISO in Residence“ bei Zscaler, wird der alljährlich begangene „World Password Day“ in nicht allzu ferner Zukunft ausgedient haben, wenn man die jüngsten Entwicklungen in der Authentifizierung verfolgt: „Es zeichnet sich schon heute der Trend weg von komplexen Passwörtern hin zu längeren, einprägsameren Versionen ab. Eine passwortlose Authentifizierung ist der nächste logische Schritt.“

zscaler-tony-fergusson

Foto: Zscaler

Tony Fergusson: Einfachheit und Sicherheit lassen sich kombinieren!

Das NIST hat Empfehlungen aktualisiert – hin zu längeren Passwörtern oder Passphrasen anstelle komplexer Passwörter

Der Mensch neige bei der Erstellung seiner Passwörter dazu, vorhersehbaren Mustern zu folgen, wie beispielsweise die Platzierung von Großbuchstaben am Anfang oder Sonderzeichen am Ende. „Durch dieses nur allzu menschliche Verhalten lassen sich Passwörter mit Hilfe von KI und Rechenpower allerdings leichter vorhersagen“, warnt Fergusson.

In der Folge habe das National Institute of Standards and Technology (NIST) bereits vor einigen Jahren seine Empfehlungen aktualisiert hin zu längeren Passwörtern oder Passphrasen anstelle von komplexen Passwörtern. „Indem mehrere Wörter zu einer einzigen, langen Kette kombiniert werden, werden diese Fassungen mathematisch schwerer zu knacken, und gleichzeitig sind sie für User leichter zu merken.“ Doch selbst Jahre später seien diese Empfehlungen noch nicht flächendeckend umgesetzt.

Fehleinschätzung: Passwörter höherer Komplexität gleichbedeutend mit besserer Sicherheit

Während Organisationen an überholten Praktiken der Komplexität festhielten, zeige die Realität, dass schwache Passwortstrategien Möglichkeiten für moderne Bedrohungen eröffnen. Viele Organisationen setzten nach wie vor Passwort-Komplexität mit besserer Sicherheit gleich. „Allerdings ist längst bewiesen, dass Länge einen wirksameren Schutz gegen Angriffe wie Brute-Force darstellt.“

Regulatorische Standards hinken demnach oft hinter der Wirklichkeit hinterher, und alte Systeme gehen mit Einschränkungen wie Zeichenlimits einher, welche die Umsetzung von längeren Passphrasen behindern. Der Mensch folge gerne seinen angestammten Gewohnheiten der Verwendung kurzer, komplexer Passwörter und halte an diesen Mustern über Jahrzehnte fest.

Zunehmende Gefährdung durch Diebstahl von Passwörtern

Das größte Problem bei Passwörtern jeglicher Art ist laut Fergusson jedoch die zunehmende Anzahl von Cyber-Angriffen, welche durch Passwortdiebstahl und sogenannte „Adversary-in-the-Middle“-Attacken (AiTM-Angriffe) verursacht werden.

„Viele Methoden der Multifaktor-Authentifizierung (MFA), wie einmalige Passcodes, die per SMS oder E-Mail gesendet werden, oder sogar app-basierte Codes, sind anfällig für Abfangversuche während AiTM-Angriffen.“ Diese Methoden beruhten auf dem Prinzip geteilter Geheimnisse, welche sich abfangen ließen. „Ausgeklügelte Phishing-Versuche, die legitime Websites nachahmen, um Anmeldedaten und Sitzungsdaten zu stehlen sind auf dem Vormarsch laut dem jüngsten ,ThreatLabz Phishing Report’.“

Statt Passwörter besser an die Hardware gekoppelte kryptographische Schlüssel einsetzen

Im Gegensatz dazu böten moderne Authentifizierungsmethoden wie biometrische Verfahren und physische Sicherheitsschlüssel auf Basis der „FIDO2“-Standards robusten Schutz. „,FIDO2‘ verwendet Hardware wie USB-Sicherheitsschlüssel, um eine sichere Authentifizierung durchzuführen. Anders als traditionelle Multifaktorauthentifizierung (MFA) verwendet ,FIDO2‘ Public-Key-Kryptographie, wodurch Phishing- und AiTM-Angriffe verhindert werden.“

Die eingesetzten kryptographischen Schlüssel seien an das Hardwaregerät gebunden und würden niemals mit dem Dienstanbieter geteilt. Durch die Eliminierung der Abhängigkeit von Passwörtern und abfangbaren MFA-Methoden ebneten diese Innovationen den Weg für eine sicherere, passwortlose Zukunft.

Wiederverwendung von Passwörtern bei frustrierten Anwendern

In Wirklichkeit lasse sich Komplexität nicht mit höherer Sicherheit gleichsetzen. Komplizierte Authentifizierungsmethoden führten im Gegenteil nicht selten zu Frustration und riskanten Abkürzungen, wie beispielsweise der Wiederverwendung von Passwörtern. Unternehmen sollten Lösungen wie Passphrasen, Biometrie und passwortlose Technologien (,FIDO2‘) evaluieren, die nicht nur mit Komfort einhergehen, sondern auch besseren Schutz vor modernen Bedrohungen bieten.

Fergusson abschließend: „Dieser Wandel ermöglicht einen stärkeren Schutz und eine benutzerfreundliche Möglichkeit, auf Ressourcen zuzugreifen, und beweist, dass sich Einfachheit und Sicherheit kombinieren lassen – der ,World Password Day’ sollte also eher eine passwort-lose Zukunft einläuten.“

Weitere Informationen zum Thema:

Days or the Year
World Password Day / Protect your privacy and self by taking some time to update your passwords. Avoid pet or family names, important dates, and other identifying information

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig

]]>
https://www.datensicherheit.de/world-password-day-ueberfluessig-zukunft-ohne-passwoerter/feed 0
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren https://www.datensicherheit.de/welt-passwort-tag-1-mai-2025-sicherheit-benutzererfahrung-balance https://www.datensicherheit.de/welt-passwort-tag-1-mai-2025-sicherheit-benutzererfahrung-balance#respond Wed, 23 Apr 2025 22:15:35 +0000 https://www.datensicherheit.de/?p=47391 Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

[datensicherheit.de, 24.04.2025] Eigentlich sollten die Grundlagen einer guten „Passworthygiene“ allgemein bekannt sein – doch es stellt sich die Frage, warum es Nutzern im Unternehmensalltag dennoch schwerfällt, diese einzuhalten… Tom Haak, „CEO“ von Lywand, geht im Vorfeld des „Welt-Passwort-Tages“ am 1. Mai 2025 in seiner aktuellen Stellungnahme auf diese Frage ein. Allein im vergangenen Jahr – 2024 – hat sein Unternehmen demnach bei Kunden mehr als drei Millionen Schwachstellen ausfindig gemacht. Dazu zählte unter anderem das Aufspüren geleakter Unternehmens-Anmeldedaten. In vielen Fällen habe sich herausgestellt, dass es sich um mehrfach verwendete Passwörter für verschiedene Anwendungen gehandelt habe – was offensichtlich ein deutlich vergrößertes Einfallstor für Cyber-Angreifer in Unternehmensumgebungen öffnen könnte. In seinem Kommentar erörtert Haak Ursachen der Problematik und liefert Ideen, wie Unternehmen eine gute „Passworthygiene“ ihrer Mitarbeiter unterstützen können.

lywand-tom-haak

Foto: Lywand

Tom Haak kritisiert: Alles in allem ist die Benutzererfahrung, was Passwörter anbelangt, nicht ideal!

Passwort-Anforderungen für Benutzer im Büroalltag eher notwendiges Übel

Was für Cyber-Kriminelle die „Eintrittskarte“ in Unternehmensumgebungen bedeuten könne, betrachteten deren Besitzer eher als ein notwendiges Übel im Büroalltag: „Passwörter werden angesichts der Vielzahl an Anwendungen, bei denen Nutzer angemeldet sind, als unbequem empfunden, sind sie doch mit einigen Hürden verbunden.“ Auf Grund der Sicherheitsanforderungen verlangen sie nämlich eine gewisse Länge, Abwechslung in der Groß- und Kleinschreibung sowie den Einsatz von Zahlen und Sonderzeichen.

Haak: „Die zulässigen Zeichen-Konstrukte sind derart abstrakt, dass man sie sich keineswegs so einfach merken kann, wie zum Beispiel den Namen des eigenen Haustiers. Vergisst man das erforderliche Passwort, muss man den Zurücksetzungsprozess durchlaufen und ein neues vergeben, was häufig als umständlich empfunden wird.“ Alles in allem sei die Benutzererfahrung im Passwort-Kontext nicht ideal.

Passwort-Änderung vs. Vermeidungsstrategien

Es überrascht laut Haak daher wenig, dass Anwender bestimmte Strategien wählen, um solche Unbequemlichkeiten zu vermeiden: „Beispielsweise, indem sie dasselbe Passwort immer wieder in sämtlichen neuen Anwendungen verwenden. Oder sie wählen, sofern die Eingabe-Vorgaben es erlauben, ein Passwort, das zwar schwach konstruiert ist, sie sich aber gut merken können.“

Egal indes, ob schwach oder stark: „In der Regel ändern Nutzer ihre Passwörter äußerst ungern. Wie wir heraus gefunden haben, gilt dies insbesondere für Webservices: Anwender lassen das Passwort – oftmals handelt es sich um das generische Standardpasswort für die Erstanmeldung – von ihrem Browser speichern, um sich künftig mit nur einem Klick anmelden zu können.“ Von diesem Zeitpunkt an blieben die Zugangsdaten in der Regel über Jahre unverändert.

Die Passwort-Benutzererfahrung sollte stets mitgedacht werden

Kurios daran sei: „Die Empfehlungen und Maßnahmen einer guten ,Passworthygiene’ – starke Kennwörter für jede Anwendung, sichere Verwahrung, eine Änderung in regelmäßigen Abständen, das Aktivieren der Multi-Faktor-Authentifizierung, der Einsatz von Passwortmanagement-Tools – sind allen Unternehmen und Anwendern geläufig. Und dennoch sind in der Realität alle bereit, Abstriche zu Gunsten ihres Komforts zu machen, was jedoch letztendlich zu Lasten der Sicherheit geht.“

Um dieser Entwicklung entgegenzuwirken und nicht Gefahr zu laufen, dass eingerichtete Passwortverfahren letztendlich mehr umgangen als befolgt werden, könne es Unternehmen helfen, die Benutzererfahrung mitzudenken und das „Feedback“ ihrer Angestellten einzubeziehen:

  • „Welche Mitarbeiter benötigen wie häufig Zugriff auf welche Anwendungen?
  • Wann haben sie in ihren täglichen Abläufen geeignete Zeitfenster, um sich in Ruhe mit der Neuvergabe von Passwörtern für ständig genutzte Anwendungen auseinanderzusetzen?“

Starkes Passwort empfohlen – welches auf Grund persönlicher Bezüge einfach zu merken ist

Auf dieser Grundlage ließen sich praktikable Regeln aufsetzen. Zusätzlich könne man seine Mitarbeiter anregen, kreativ zu werden: „Beispielsweise ergeben schöne persönliche Erinnerungen, als Satz formuliert, auf einzelne Buchstaben eingekürzt und mit Zahlen und Sonderzeichen angereichert, starke Passwörter – die auf Grund des persönlichen Bezugs auch einfacher zu merken sind.“

Haben Unternehmen einen Überblick über die „Workflows“ ihrer Mitarbeiter gewonnen, könnten sie darüber nachdenken, „inwieweit sie diese mit geeigneten Tools, zum Beispiel Passwort-Generatoren oder Passwort-Manager, unterstützen können“. Für kleine Unternehmen könne es zudem sinnvoll sein, die Maßnahmen zur „Passworthygiene“ in einer Betriebsvereinbarung festzuhalten. „Damit lässt sich ein Prozess etablieren, der Benutzererfahrung und Sicherheitsstandards miteinander in Einklang bringt“, so Haak abschließend.

Weitere Informationen zum Thema:

LDI NRW
Tipps zum Welt-Passwort-Tag / An jedem ersten Donnerstag im Mai begeht die Online-Gemeinschaft den Welt-Passwort-Tag. Ursprünglich geht er auf die Initiative eines Herstellers von PC-Komponenten zurück. Seit geraumer Zeit wird er zum Anlass genommen, um auf die Sicherheit von Passwörtern hinzuweisen.

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 06.05.2021
G DATA CyberDefense: 5 Tipps zum Welt-Passwort-Tag 2021 / Änderung des Passworts aus wichtigem Grund erforderlich – aber nicht pauschal sinnvoll

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

]]>
https://www.datensicherheit.de/welt-passwort-tag-1-mai-2025-sicherheit-benutzererfahrung-balance/feed 0
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig https://www.datensicherheit.de/passkeys-ersatz-passwoerter-mangel-zweckmaessigkeit https://www.datensicherheit.de/passkeys-ersatz-passwoerter-mangel-zweckmaessigkeit#comments Mon, 13 May 2024 18:55:34 +0000 https://www.datensicherheit.de/?p=44674 Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

[datensicherheit.de, 13.05.2024] „Passwörter sind nicht mehr zweckmäßig – sie sind leicht zu knacken und sind für den Anwender zu komplex!“, so Simon McNally, „Technical Director IAM EMEA“ bei Thales, in seiner aktuellen Stellungnahme. Die jüngste Ausgabe des „Digital Trust Index“ von Thales zeigt demnach auf, dass 64 Prozent der Befragten vom umständlichen Zurücksetzen von Passwörtern frustriert sind. Menschliches Versagen sei immer noch die Hauptursache für Datenschutzverletzungen. Für Unternehmen sollte nicht zuletzt deshalb das Passwort-Thema ein wichtiges Anliegen sein. Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) und des Quantencomputings machten dies nur noch dringlicher. McNally kommentiert: „Passwörter sollten der Vergangenheit angehören, den Passkeys gehört die Zukunft. Die von einigen Tech-Konzernen eingeleitete Entwicklung sollte gefördert werden.“

thales-simon-mcnally

foto: Thales

Simon McNally: Passkeys ermöglichen besseren Schutz der Privatsphäre

Es ist Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben

McNally: „Wenn also ein Tag für die Sensibilisierung dieses Themas benötigt wird, dann ist es an der Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben.“ Durch den Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und damit wesentlich sicherer. „Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden.“ Für den Anwender sei die Verwendung einfacher und er brauche sich nicht mehr komplizierte Passwörter oder Phrasen zu überlegen.

Schließlich ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten. Letztes Jahr – 2023 – habe Google angekündigt, dass Passkeys nun standardmäßig für Nutzer aktiviert seien, und auch Amazon und Apple hätten diesen Schritt vollzogen.

3 Schritte, um Einsatz von Passkeys zu beginnen

Anwender könnten die folgenden Schritte gehen, um mit dem Einsatz von Passkeys zu beginnen. „Der Einsatz hängt von den Konten ab, über die die Anwender verfügen sowie die Websites, die sie nutzen“, erläutert McNally und führt weiter aus:

1. Bestehende Konten auf den Einsatz von Passkeys überprüfen!
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass der Umstieg einfach sei.

2. Passkeys auf den Geräten aktivieren!
In den Sicherheitseinstellungen des Telefons, Tablets oder Computers gebe es die Option zum Erstellen eines Hauptschlüssels. Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

3. Eine Authentifizierungsmethode einrichten!
„Wenn das Gerät oder Betriebssystem dies unterstützt, muss eine Authentifizierungsmethode eingerichtet werden.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Weitere Informationen zum Thema:

THALES
2024 Thales Digital Trust Index / Building Digital Experiences that Enhance Consumer Trust

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 16.06.2022
Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet / Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen

]]>
https://www.datensicherheit.de/passkeys-ersatz-passwoerter-mangel-zweckmaessigkeit/feed 2