World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft

Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

[datensicherheit.de, 02.05.2025] Nach Ansicht von Tony Fergusson, „CISO in Residence“ bei Zscaler, wird der alljährlich begangene „World Password Day“ in nicht allzu ferner Zukunft ausgedient haben, wenn man die jüngsten Entwicklungen in der Authentifizierung verfolgt: „Es zeichnet sich schon heute der Trend weg von komplexen Passwörtern hin zu längeren, einprägsameren Versionen ab. Eine passwortlose Authentifizierung ist der nächste logische Schritt.“

Foto: Zscaler

Tony Fergusson: Einfachheit und Sicherheit lassen sich kombinieren!

Das NIST hat Empfehlungen aktualisiert – hin zu längeren Passwörtern oder Passphrasen anstelle komplexer Passwörter

Der Mensch neige bei der Erstellung seiner Passwörter dazu, vorhersehbaren Mustern zu folgen, wie beispielsweise die Platzierung von Großbuchstaben am Anfang oder Sonderzeichen am Ende. „Durch dieses nur allzu menschliche Verhalten lassen sich Passwörter mit Hilfe von KI und Rechenpower allerdings leichter vorhersagen“, warnt Fergusson.

In der Folge habe das National Institute of Standards and Technology (NIST) bereits vor einigen Jahren seine Empfehlungen aktualisiert hin zu längeren Passwörtern oder Passphrasen anstelle von komplexen Passwörtern. „Indem mehrere Wörter zu einer einzigen, langen Kette kombiniert werden, werden diese Fassungen mathematisch schwerer zu knacken, und gleichzeitig sind sie für User leichter zu merken.“ Doch selbst Jahre später seien diese Empfehlungen noch nicht flächendeckend umgesetzt.

Fehleinschätzung: Passwörter höherer Komplexität gleichbedeutend mit besserer Sicherheit

Während Organisationen an überholten Praktiken der Komplexität festhielten, zeige die Realität, dass schwache Passwortstrategien Möglichkeiten für moderne Bedrohungen eröffnen. Viele Organisationen setzten nach wie vor Passwort-Komplexität mit besserer Sicherheit gleich. „Allerdings ist längst bewiesen, dass Länge einen wirksameren Schutz gegen Angriffe wie Brute-Force darstellt.“

Regulatorische Standards hinken demnach oft hinter der Wirklichkeit hinterher, und alte Systeme gehen mit Einschränkungen wie Zeichenlimits einher, welche die Umsetzung von längeren Passphrasen behindern. Der Mensch folge gerne seinen angestammten Gewohnheiten der Verwendung kurzer, komplexer Passwörter und halte an diesen Mustern über Jahrzehnte fest.

Zunehmende Gefährdung durch Diebstahl von Passwörtern

Das größte Problem bei Passwörtern jeglicher Art ist laut Fergusson jedoch die zunehmende Anzahl von Cyber-Angriffen, welche durch Passwortdiebstahl und sogenannte „Adversary-in-the-Middle“-Attacken (AiTM-Angriffe) verursacht werden.

„Viele Methoden der Multifaktor-Authentifizierung (MFA), wie einmalige Passcodes, die per SMS oder E-Mail gesendet werden, oder sogar app-basierte Codes, sind anfällig für Abfangversuche während AiTM-Angriffen.“ Diese Methoden beruhten auf dem Prinzip geteilter Geheimnisse, welche sich abfangen ließen. „Ausgeklügelte Phishing-Versuche, die legitime Websites nachahmen, um Anmeldedaten und Sitzungsdaten zu stehlen sind auf dem Vormarsch laut dem jüngsten ,ThreatLabz Phishing Report’.“

Statt Passwörter besser an die Hardware gekoppelte kryptographische Schlüssel einsetzen

Im Gegensatz dazu böten moderne Authentifizierungsmethoden wie biometrische Verfahren und physische Sicherheitsschlüssel auf Basis der „FIDO2“-Standards robusten Schutz. „,FIDO2‘ verwendet Hardware wie USB-Sicherheitsschlüssel, um eine sichere Authentifizierung durchzuführen. Anders als traditionelle Multifaktorauthentifizierung (MFA) verwendet ,FIDO2‘ Public-Key-Kryptographie, wodurch Phishing- und AiTM-Angriffe verhindert werden.“

Die eingesetzten kryptographischen Schlüssel seien an das Hardwaregerät gebunden und würden niemals mit dem Dienstanbieter geteilt. Durch die Eliminierung der Abhängigkeit von Passwörtern und abfangbaren MFA-Methoden ebneten diese Innovationen den Weg für eine sicherere, passwortlose Zukunft.

Wiederverwendung von Passwörtern bei frustrierten Anwendern

In Wirklichkeit lasse sich Komplexität nicht mit höherer Sicherheit gleichsetzen. Komplizierte Authentifizierungsmethoden führten im Gegenteil nicht selten zu Frustration und riskanten Abkürzungen, wie beispielsweise der Wiederverwendung von Passwörtern. Unternehmen sollten Lösungen wie Passphrasen, Biometrie und passwortlose Technologien (,FIDO2‘) evaluieren, die nicht nur mit Komfort einhergehen, sondern auch besseren Schutz vor modernen Bedrohungen bieten.

Fergusson abschließend: „Dieser Wandel ermöglicht einen stärkeren Schutz und eine benutzerfreundliche Möglichkeit, auf Ressourcen zuzugreifen, und beweist, dass sich Einfachheit und Sicherheit kombinieren lassen – der ,World Password Day’ sollte also eher eine passwort-lose Zukunft einläuten.“

Weitere Informationen zum Thema:

Days or the Year
World Password Day / Protect your privacy and self by taking some time to update your passwords. Avoid pet or family names, important dates, and other identifying information

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig