[datensicherheit.de, 04.05.2025] Aufgrund zunehmender Phishing-Angriffe hat auch Sophos noch eine Stellungnahme zum „World Password Day 2025“ abgegeben – dabei schwingt ebenfalls die Erwartung mit, dass dieser am 1. Mai 2025 begangene Tag der letzte gewesen sein könnte, denn wenn es nach Chester Wisniewski, „Director“ und „Global Field CISO“ bei Sophos, geht, könnte dieser Tag obsolet werden.

Für die meisten Einzelpersonen Verwendung von Passkeys der einfachste Ansatz

Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie sechsstellige Codes per SMS oder in Apps oder Push-Benachrichtigungen griffen angesichts der Raffinesse heutiger Cyber-Krimineller zu kurz. Wisniewski führt aus: „Der nächste Schritt heißt phishing-resistente MFA wie ,FIDO2‘ und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben.“ Für die meisten Einzelpersonen sei die Verwendung von Passkeys der einfachste Ansatz, da diese Technologie in der Mehrheit der mobilen Geräte und Desktop-Browsern, Passwortmanagern und Betriebssystemen integriert sei.

Für Hochsicherheitsumgebungen werde die Verwendung sogenannter Smartcards oder Hardware-Tokens empfohlen, welche mit einer PIN oder einem biometrischen Merkmal entsperrt werden müssten. „Für die meisten von uns sind Passkeys, die mit den biometrischen Daten unserer Geräte entsperrt werden, die naheliegende und einfache Art der Authentifizierung.“ Die Authentifizierung an PC oder mobilen Geräten mit eigenem Fingerabdruck oder „Gesichtsabdruck“ werde den Nutzer in Sekundenschnelle sicher bei seinen Sozialen Medien, Finanzinstituten oder E-Mail-Konten anmelden, ohne dass er sich mit Passwörtern herumschlagen muss.

Tipps für ein sichereres Passwort, solange Wechsel zu anderer Strategie noch nicht erfolgt

Für diejenigen, die den Wechsel zu Tokens und Passkeys aber noch nicht vollzogen haben, hier drei nützliche, schnell umzusetzende Sophos-Tipps für ein sichereres Passwort:

1. Jede Seite mit einem eigenen Log-In benötige ein eigenes Passwort. „Das kann mit kleinen Veränderungen wie Zahlen, Sonderzeichen, etc. gelingen.“
2. „Ein Passwort am besten ,anreichern’, sprich: Man wählt ein Grundwort und addiert Zahlen, Sonderzeichen und Großbuchstaben dazu.“ Noch besser wäre eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ohne Wortbedeutung. Das könne man sich natürlich unmöglich alles merken, daher:
3. Einen bewährten Passwortmanager nutzen, welcher wie ein Hausmeister alle Schlüssel parat habe. „Hier muss sich der Nutzer nur ein Generalpasswort ausdenken und merken.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 02.05.2025] Nach Ansicht von Tony Fergusson, „CISO in Residence“ bei Zscaler, wird der alljährlich begangene „World Password Day“ in nicht allzu ferner Zukunft ausgedient haben, wenn man die jüngsten Entwicklungen in der Authentifizierung verfolgt: „Es zeichnet sich schon heute der Trend weg von komplexen Passwörtern hin zu längeren, einprägsameren Versionen ab. Eine passwortlose Authentifizierung ist der nächste logische Schritt.“

Foto: Zscaler

Tony Fergusson: Einfachheit und Sicherheit lassen sich kombinieren!

Das NIST hat Empfehlungen aktualisiert – hin zu längeren Passwörtern oder Passphrasen anstelle komplexer Passwörter

Der Mensch neige bei der Erstellung seiner Passwörter dazu, vorhersehbaren Mustern zu folgen, wie beispielsweise die Platzierung von Großbuchstaben am Anfang oder Sonderzeichen am Ende. „Durch dieses nur allzu menschliche Verhalten lassen sich Passwörter mit Hilfe von KI und Rechenpower allerdings leichter vorhersagen“, warnt Fergusson.

In der Folge habe das National Institute of Standards and Technology (NIST) bereits vor einigen Jahren seine Empfehlungen aktualisiert hin zu längeren Passwörtern oder Passphrasen anstelle von komplexen Passwörtern. „Indem mehrere Wörter zu einer einzigen, langen Kette kombiniert werden, werden diese Fassungen mathematisch schwerer zu knacken, und gleichzeitig sind sie für User leichter zu merken.“ Doch selbst Jahre später seien diese Empfehlungen noch nicht flächendeckend umgesetzt.

Fehleinschätzung: Passwörter höherer Komplexität gleichbedeutend mit besserer Sicherheit

Während Organisationen an überholten Praktiken der Komplexität festhielten, zeige die Realität, dass schwache Passwortstrategien Möglichkeiten für moderne Bedrohungen eröffnen. Viele Organisationen setzten nach wie vor Passwort-Komplexität mit besserer Sicherheit gleich. „Allerdings ist längst bewiesen, dass Länge einen wirksameren Schutz gegen Angriffe wie Brute-Force darstellt.“

Regulatorische Standards hinken demnach oft hinter der Wirklichkeit hinterher, und alte Systeme gehen mit Einschränkungen wie Zeichenlimits einher, welche die Umsetzung von längeren Passphrasen behindern. Der Mensch folge gerne seinen angestammten Gewohnheiten der Verwendung kurzer, komplexer Passwörter und halte an diesen Mustern über Jahrzehnte fest.

Zunehmende Gefährdung durch Diebstahl von Passwörtern

Das größte Problem bei Passwörtern jeglicher Art ist laut Fergusson jedoch die zunehmende Anzahl von Cyber-Angriffen, welche durch Passwortdiebstahl und sogenannte „Adversary-in-the-Middle“-Attacken (AiTM-Angriffe) verursacht werden.

„Viele Methoden der Multifaktor-Authentifizierung (MFA), wie einmalige Passcodes, die per SMS oder E-Mail gesendet werden, oder sogar app-basierte Codes, sind anfällig für Abfangversuche während AiTM-Angriffen.“ Diese Methoden beruhten auf dem Prinzip geteilter Geheimnisse, welche sich abfangen ließen. „Ausgeklügelte Phishing-Versuche, die legitime Websites nachahmen, um Anmeldedaten und Sitzungsdaten zu stehlen sind auf dem Vormarsch laut dem jüngsten ,ThreatLabz Phishing Report’.“

Statt Passwörter besser an die Hardware gekoppelte kryptographische Schlüssel einsetzen

Im Gegensatz dazu böten moderne Authentifizierungsmethoden wie biometrische Verfahren und physische Sicherheitsschlüssel auf Basis der „FIDO2“-Standards robusten Schutz. „,FIDO2‘ verwendet Hardware wie USB-Sicherheitsschlüssel, um eine sichere Authentifizierung durchzuführen. Anders als traditionelle Multifaktorauthentifizierung (MFA) verwendet ,FIDO2‘ Public-Key-Kryptographie, wodurch Phishing- und AiTM-Angriffe verhindert werden.“

Die eingesetzten kryptographischen Schlüssel seien an das Hardwaregerät gebunden und würden niemals mit dem Dienstanbieter geteilt. Durch die Eliminierung der Abhängigkeit von Passwörtern und abfangbaren MFA-Methoden ebneten diese Innovationen den Weg für eine sicherere, passwortlose Zukunft.

Wiederverwendung von Passwörtern bei frustrierten Anwendern

In Wirklichkeit lasse sich Komplexität nicht mit höherer Sicherheit gleichsetzen. Komplizierte Authentifizierungsmethoden führten im Gegenteil nicht selten zu Frustration und riskanten Abkürzungen, wie beispielsweise der Wiederverwendung von Passwörtern. Unternehmen sollten Lösungen wie Passphrasen, Biometrie und passwortlose Technologien (,FIDO2‘) evaluieren, die nicht nur mit Komfort einhergehen, sondern auch besseren Schutz vor modernen Bedrohungen bieten.

Fergusson abschließend: „Dieser Wandel ermöglicht einen stärkeren Schutz und eine benutzerfreundliche Möglichkeit, auf Ressourcen zuzugreifen, und beweist, dass sich Einfachheit und Sicherheit kombinieren lassen – der ,World Password Day’ sollte also eher eine passwort-lose Zukunft einläuten.“

Weitere Informationen zum Thema:

Days or the Year
World Password Day / Protect your privacy and self by taking some time to update your passwords. Avoid pet or family names, important dates, and other identifying information

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig

[datensicherheit.de, 04.05.2023] Zum diesjährigen „World Password Day“ plädiert Yubico eher für einen „World Password(less) Day“ und möchte nach eigenen Angaben über das Passwort hinaus absichern. Alexander Koch, „VP Sales EMEA“ bei Yubico, erläutert in seinem aktuellen Kommentar die Position seine Hauses:

Foto: Yubico

Alexander Koch rät, auf moderne MFA in Form von hardware-basierten Sicherheitsschlüsseln zu setzen

Digitale Identitäten über das klassische Passwort hinaus absichern!

„Es ist wieder soweit: Der ,World Password Day’ dient jedes Jahr als Anlass, die Sicherheit von Online-Zugängen in den Mittelpunkt zu stellen. Bei Yubico gilt dieser Sicherheitsgedanke 365 Tage im Jahr, denn wir streben rund um die Uhr eine passwortlose und phishing-resistente Zukunft an“, so Koch. Um dies zu erreichen, müsse man angesichts immer komplexerer und sich weiterentwickelnder Cyber-Angriffe zunächst die Bedeutung einer modernen Authentifizierung hervorheben.

Längst sei bekannt, dass auch sehr komplexe Passwörter, welche die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Qualitätsmerkmale erfüllen, keinen ausreichenden Schutz mehr böten. Yubico habe sich deshalb zum Ziel gesetzt, Einzelpersonen und Unternehmen dabei zu helfen, ihre digitalen Identitäten über das klassische Passwort hinaus abzusichern.

Zu Beginn sei es jedoch wichtig, sich einen Überblick der verschiedenen Authentifizierungsoptionen zu verschaffen, um die richtige Wahl hinsichtlich der individuellen Sicherheitsbedürfnisse zu treffen. Koch: „Denn Entscheider müssten ein Verständnis vermittelt bekommen, wie diese modernen Alternativen für sie funktionieren können. Unternehmen sollten sich über Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA), passwortlose Anmeldungen, FIDO-basierte Authentifizierung und vieles mehr informieren, bevor sie sich für eine Methode entscheiden.“

Auch einmaliges Passwort kann von Angreifern leicht umgangen werden

Denn nicht alle Authentifizierungsverfahren seien in ihrer Wirkungsweise und Effektivität deckungsgleich. Auch vermeintlich sichere 2FA-Methoden wie sogenannte One-Time-Passwords oder SMS könnten von Angreifern leicht umgangen werden.

„Wer also wirklich auf dem neuesten Stand der Entwicklung sein will, setzt auf moderne MFA in Form von hardware-basierten Sicherheitsschlüsseln“, betont Koch. Denn diese seien nicht nur einfach zu implementieren, sondern auch resistent gegen Phishing, was angesichts der ständig wachsenden Anzahl an Phishing-Angriffen heute unumgänglich sei.

Der „World Password Day“ diene auch dieses Jahr – 2023 – wieder dazu, Einzelpersonen und Unternehmen weltweit auf die Verbesserung ihrer Passwort-Hygiene und die Sicherheit ihrer Online-Zugänge aufmerksam zu machen. Koch rät abschließend: „Jeder sollte bei dieser Gelegenheit seine Identitäten, Daten und Konten schützen, indem er über die Verwendung von einfachen Benutzernamen und Passwörtern hinausgeht und eine sichere MFA für seine Online-Anwendungen und -Dienste aktiviert.“

Weitere Informationen zum Thema:

yubico
The Total Economic Impact Of Yubico YubiKeys

[datensicherheit.de, 03.05.2022] Am 5. Mai 2022 ist der diesjährige „World Password Day“. Auch wenn derzeit oft schon von einer passwortlosen Sicherheit die Rede ist – und dem Passwort schon mehrfach ein leises Verschwinden in der Bedeutungslosigkeit prophezeit wurde –, gehören Passwörter sehr wohl noch immer zu den wichtigsten IT-Security-Maßnahmen. Auch Proofpoint-Experte Werner Thalmeier geht in seiner aktuellen Stellungnahme auf den „World Password Day 2022“ ein und hat einige Tipps zur Passwortverwaltung sowie -erstellung parat.

Foto: Proofpoint

Werner Thalmeier: Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyber-Angriff zu vereiteln!

Enormes Risiko: Mehrfach- bzw. Wiederverwendung von Passwörtern

Thalmeier unterstreicht: „Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyber-Angriff zu vereiteln. Einer der häufigsten Fehler, den Menschen machen, ist der Gebrauch derselben Kombination aus Benutzername bzw. E-Mail-Adresse und Kennwort für verschiedene Websites oder Geräte.“

Insbesondere angesichts der zunehmenden Anzahl erfolgreicher Phishing-Kampagnen berge die Wiederverwendung von Kennwörtern ein enormes Risiko. Bei den erwähnten Phishing-Kampagnen würden gefälschte Websites verwendet, welche wie die Anmeldeseite eines legitimen Online-Dienstes aussähen, um Benutzernamen und Passwörter zu stehlen.

Empfehlung, unterschiedliche Passwörter und Multi-Faktor-Authentifizierung zu verwenden!

„Unsere Empfehlung an Verbraucher lautet daher, unterschiedliche Passwörter zu verwenden, speziell, wenn es sich um wichtige Konten etwa bei der Bank oder andere sensible Daten handelt“, so Thalmeier. Ferner sollten möglichst viele Konten mit einer Multi-Faktor-Authentifizierung (MFA) geschützt werden, sofern diese verfügbar ist.

Steht MFA für ein Account nicht zur Verfügung, sollte zumindest ein Passwort-Manager zum Einsatz kommen. Thalmeier erläutert: „Passwort-Manager erstellen zufällige Kennwörter, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind.“ Dadurch entfalle der Aufwand, sich komplizierte Anmeldedaten für verschiedene Websites zu merken.

Schutz durch Passwörter: Auf den Menschen ausgerichteten Sicherheitsansatz verfolgen!

Wenn Wörter als Teil des Passworts verwendet werden, „sollten die Nutzer darauf achten, dass dies keine gebräuchlichen Wörter oder Phrasen, Namen oder Daten sind, die von Angreifern mit einer Person oder dessen Familienmitgliedern in Verbindung gebracht werden können“. Thalmeier empfiehlt ferner: „Außerdem sollten alle Passwörter zweimal im Jahr geändert werden – im geschäftlichen Umfeld sogar alle drei Monate.“

Da 90 Prozent der erfolgreichen Cyber-Angriffe eine menschliche Interaktion erforderten, sei es für Unternehmen wichtig, einen auf den Menschen ausgerichteten Sicherheitsansatz zu verfolgen. „Daher sollte zwingend sichergestellt werden, dass sowohl die Mitarbeiter im Büro als auch die im Außendienst Schulungen und Weiterbildungen zu den besten Methoden erhalten, um Cyber-Sicherheit zu gewährleisten.“ Dazu zählten beispielsweise Trainings, wie man einen Phishing-Versuch erkennt und sichere Kennwörter erzeugt.

3 Tipps zur Verwaltung und -erstellung von Passwörtern:

1. Verwendung von Multifaktor-Authentifizierung (MFA) für so viele Konten wie möglich
Das Grundkonzept bestehe darin, zwei Arten von „Beweisen“ zur Verifizierung der Identität zu nutzen, bevor ein Zugriff gewährt wird. Dadurch erhöhe sich der Schutz des Kontos signifikant. „Wenn Sie sich beispielsweise in Ihr Konto einloggen möchten, erhalten Sie nach Eingabe von Benutzernamen und Passwort eine Benachrichtigung auf Ihr Telefon, in der Sie um eine Bestätigung gebeten werden, damit die Anmeldung erfolgen kann.“ Dieser Ansatz schiebe automatisierten Systemen einen Riegel vor, welche von Cyber-Kriminellen verwendet würden, um Kennwörter zu knacken oder Login-Informationen zu erbeuten.

2. Verwendung einer sicheren Anwendung zur Kennwortverwaltung (Passwort-Manager)
Diese sollte mehrere Kennwörter abrufen und bei Bedarf automatisch in die Formularfelder für den Login eintragen können. Durch die Verwendung eines Passwort-Managers entfalle die Notwendigkeit, sich mehrere Kennwörter zu überlegen und sich diese merken zu müssen. Thalmeier: „So steht einer Verwendung komplexerer, längerer Kennwörter nichts im Wege.“

3. Vermeidung häufig vorkommender Wörter, Phrasen, Namen und Daten bei der Erstellung von Kennwörtern
Insbesondere solcher, „die mit Ihnen oder Ihren Familienmitgliedern in Verbindung gebracht werden können“. Denn Cyber-Kriminelle seien für gewöhnlich sehr einfallsreich und könnten Querverweise aus allen über eine Person zur Verfügung stehenden Daten ziehen, um die richtige Kombination für die betreffenden Konten zu finden. „Außerdem sollten Sie persönliche Passwörter zweimal im Jahr ändern und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden. Für geschäftliche Passwörter empfehlen wir, diese sogar alle drei Monate zu ändern und eine automatisierte Systemrichtlinie einzuführen, die eine Frist zur Aktualisierung von Kennwörtern festlegt.“ In einer solchen Richtlinie könnten auch Vorgaben für die zu erstellenden Passwörter festgelegt werden. Dadurch werde u.a. verhindert, „dass das neue Passwort in der Vergangenheit bereits verwendet wurde“.

Weitere Informationen zum Thema:

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 15.07.2021
Umfrage zeigt: Passwörter können zur Sicherheitsfalle werden / Im Rahmen einer Studie 1.008 Mitarbeiter zum Umgang mit Passwörtern befragt

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

[datensicherheit.de, 04.05.2016] In einer aktuellen Stellungnahme zum 5. Mai 2016, dem „World Password Day“, weist G DATA darauf hin, dass für immer mehr Geräte und Anwendungen, wie etwa für Online-Banking, Internet-Shopping, E-Mail- und Social-Media-Accounts, sich Nutzer Kennwörter und Pincodes merken müssen. Laut einer Umfrage des Digitalverbands bitkom fühle sich gut ein Drittel (36 Prozent) aller Bundesbürger mit der großen Menge an Passwörtern überfordert; schließlich verwende ein Internet-Nutzer im Durchschnitt 17 unterschiedliche Passwörter.

Viele Passwörter leicht zu merken – und somit auch zu erraten

Viele Anwender benutzen demnach Passwörter, die auf persönlichen Informationen beruhen und somit leichter zu merken sind. Das wüssten auch Angreifer, warnt G DATA. Oftmals ließen sich beispielsweise kurze numerische Passwörter erraten, indem Geburtsjahr oder Tag und Monat des Opfers ausprobiert würden. Andere gängige Merkhilfen wie Namen von Haustieren oder Lebensgefährten seien ebenfalls mit geringem Aufwand durch Angreifer in Erfahrung zu bringen.
Deutlich sicherer seien Kombinationen aus Klein- und Großschreibung, kombiniert mit Ziffern. Sichere Passwörter sollten aus mindestens acht Zeichen bestehen.

Sicheres Passwort als ein Baustein für mehr Sicherheit

Reiht man beispielsweise jeweils das erste Zeichen jedes Wortes und Zahlen aus dem Satz „Heute, am 5. Mai, erstelle ich ein sicheres Passwort mit mindestens 15 Zeichen.“ aneinander, so ergibt sich als Ergebnis das folgende Passwort: Ha05MeiesPmm15Z Ein sicheres Passwort sei allerdings „nur ein Baustein für mehr Sicherheit im Internet“, betont G DATA.

G DATAs „Drei-Punkte-Sicherheits-Check“:

• Passwörter wechseln: Nutzer sollten in regelmäßigen Abständen die Kennwörter für die Online-Benutzerkonten bei Shops oder Sozialen Netzwerken ändern und für jedes Portal ein einzigartiges Passwort einsetzen.
• Virenschutz: In vielen Privathaushalten werden unterschiedliche Geräte zum Surfen im Internet eingesetzt. Daher sollten Anwender beim Sicherheits-Check alle Geräte berücksichtigen – dieser umfasst Desktop-PCs ebenso, wie Notebooks oder Smartphones und Tablets. Alle Geräte sollten mit einer aktuellen Virenschutzlösung zum Schutz vor Computerschädlingen wie Keylogger oder Trojaner ausgestattet werden.
• Betriebssystem und Co.: Alle Sicherheits-Updates für das Betriebssystem und die installierte Software sollten umgehend einspielt werden. So sind bestehende Sicherheitslücken für zukünftige Angriffe geschlossen.

Passwortmanager: Zugriff nur über ein Master-Passwort

Für mehr Sicherheit und eine einfache Übersicht bei den Zugangscodes sorge z.B. der neue Passwortmanager in der „G DATA Total Protection“. Sensible Daten wie Nutzernamen und Kennwörter würden in einer Datenbank auf der Festplatte verschlüsselt.
Zugriff gebe es nur über ein Master-Passwort. Bei der Installation erscheine der Passwortmanager als Icon im Browser und merke sich alle Zugangsdaten von Webseiten. Durch dieses Modul sei Schluss mit Spickzetteln oder unsicheren Passwörtern, so G DATA.