Auf der Suche nach der Wahrheit: Login-Mythen

Was ist dran an den beliebten Login-Mythen: 12-stelliges Passwort, häufiges Wechseln oder 2FA? Nevis bringt für Sie Licht ins Dunkel der IT-Sicherheit.

Okt 28, 2021 - 4 Min.
Picture of: Sebastian Ulbert
Sebastian Ulbert

Gross- und Kleinbuchstaben, Sonderzeichen und mindestens 12 Ziffern – so sieht das perfekte Passwort für einen Online-Account aus, oder? Die vermeintlich einfache Frage ist berechtigt, schliesslich häufen sich die Mythen um die Passwortsicherheit im Login-Prozess. Denn fast alles, was wir über Passwörter zu wissen glauben, ist eigentlich falsch. Die Folge: Die IT-Security wird für User zum leidigen Thema. Sich damit auseinanderzusetzen, kostet sie Zeit und Nerven. Gleichzeitig möchten sie sicher sein, dass ihre persönlichen Daten in der Onlinewelt umfassend geschützt sind. Doch wie macht man es nun richtig: Darf der Name der Schwester für den Onlinebanking-Account verwendet werden, oder sollte lieber die Two Factor Authentication (2FA) bevorzugt werden? Nevis klärt auf und zeigt die Top 6 Mythen rund um den Login-Prozess, um das beliebte Einfallstor für Cyber-Kriminelle frühzeitig zu schliessen.

Auslöser für die gestiegene Anzahl der Datenschutzverletzungen ist die digitale Verschmelzung der privaten und beruflichen Gewohnheiten im Internet. Denn der Mensch als schwächstes Glied der Sicherheitsstrategie reagiert meist unbedarft, wenn es um die Wahl eines neuen Passwortes geht. Ob es dabei nun um den Zugang zu Lieblings-Onlineshops geht oder um den Login des Firmen-Laptops: Wiederverwendete oder zu schwache Passwörter sind die ideale Möglichkeit für Hacker, um in die sensiblen Systeme vorzudringen und immensen Schaden anzurichten. Für Unternehmen ist die Bedrohung dadurch stets präsent – denn nicht einmal die verschärften Datenschutzrichtlinien des DSGVO können da helfen. Im Fokus stehen deshalb die Passwort- und Login-Gewohnheiten, die sich mit geringem Aufwand optimieren lassen. 

Mythos Nr. 1: Meine Daten sind für Hacker uninteressant 

Bei dem ersten Mythos handelt es sich um eine beliebte Ausrede für User, deren Zeit vermeintlich zu wichtig ist, um sich mit lästigen Login-Verfahren zu beschäftigen. Das ist ein Trugschluss, denn für Kriminelle ist jedes Passwort von Interesse: Entscheidend ist dabei nicht etwa der einzelne Nutzer, sondern der Umfang des Schadens, der durch das gehackte Passwort erzielt werden kann. Ist ein Online-Konto erstmal gehackt, dient es als Einfallstor. Die Möglichkeiten sind dann unbegrenzt und gehen von Kontoplünderungen über das Versenden von Spam bis zum Kauf von Produkten auf Kosten des Opfers. Doch auch der Zugriff auf weitere Konten ist möglich, sollte man sich mit den Daten auch bei weiteren Diensten einloggen können. Damit nicht genug: Das eigene Konto kann auch für weitere Phishing-Attacken verwendet werden, indem etwa Freunden gezielt Schadsoftware gesendet wird. Dadurch wächst der Kreis der betroffenen Personen in kürzester Zeit. 

Mythos Nr. 2: Je komplizierter das Passwort desto besser

Diese Aussage ist falsch, denn die Passwortsicherheit hängt nur bedingt mit der Komplexität zusammen. Entscheidender ist hingegen, wie zufällig es ausgewählt wurde und wie viele Stellen es aufweist. Je weniger sich das Passwort also am persönlichen Leben des Nutzers orientiert, desto schwieriger kann es geknackt werden. Deshalb merke: Das Passwort sollte zwar kompliziert sein, sprich 12- oder noch besser 16-stellig sein und Sonderzeichen aufweisen. Doch es kommt auch darauf an, dass es keinem System folgt. Ein Passwort bestehend aus dem Namen der Schwester, das um das Geburtsdatum ergänzt wurde, ist daher noch stark ausbaufähig. 

Mythos Nr. 3: Passwortwechsel spätestens alle acht Wochen 

Ein regelmässiger Passwortwechsel stand früher hoch im Kurs – doch so sinnvoll ist dieses Vorgehen gar nicht. Denn wie sich gezeigt hat, steigt mit jedem neuem Passwort der Frust der Nutzer, sich neue Kombination ausdenken zu müssen. Mit der Folge, dass häufig bestehende Passwörter bei jedem weiteren Wechsel nur geringfügig abgewandelt werden. Im Laufe der Zeit sinkt dadurch die Sicherheit der Login-Daten erheblich. Deshalb sollte das Passwort nur dann regelmässig geändert werden, wenn es tatsächlich durch ein völlig neues und vor allem zufälliges Passwort ersetzt wird. Nur dann kann die Sicherheit optimiert und eine Ähnlichkeit ausgeschlossen werden. Alternativ kann auch langfristig auf ein gutes Passwort vertraut werden – der Wechsel sollte allerdings spätestens dann vollzogen werden, wenn ein Hackerangriff vermutet wurde oder erfolgt ist.

Mythos Nr. 4: Die Zukunft des Passwortes ist das Passwort 

Ganz so einfach ist es mit der Zukunft dann doch nicht. Denn bereits jetzt häufen sich die Überlegungen der IT-Branche, einen langfristigen Ersatz für das anfällige Login-Verfahren mittels Passwortes zu entwickeln. Die Tendenz geht in Richtung passwortfreie Authentifizierung, bei der ein Gerät wie etwa das eigene Smartphone zum Einsatz kommt. In Kombination mit der Biometrie, wie sie in Form des Fingerabdrucks oder des Gesichtsscans bereits für das Entsperren des Handys genutzt wird, soll die Methode nun auch für Websites und Web-Dienste implementiert werden. Das Vorgehen wird dadurch doppelt abgesichert: Nachdem auf dem PC der Benutzername eingegeben wird, muss der Zugriff beispielsweise über eine auf dem Smartphone installierte App per Fingerabdruck genehmigt werden. Erst im Anschluss ist der User erfolgreich eingeloggt.

Mythos Nr. 5: Der biometrische Login ist mir zu heikel 

Der Fingerabdruck ist einmalig und dadurch die optimale Möglichkeit, um die eigene digitale Identität zweifelsfrei nachzuweisen und eigene Online-Accounts zu sichern. Bedenken hinsichtlich der Datenverarbeitung und des Datenschutzes sind zwar verständlich, jedoch völlig unbegründet: Denn die Speicherung der biometrischen Daten erfolgt beispielsweise auf iPhones nur lokal auf dem Gerät in einem besonders gesicherten Bereich. Auch muss kaum jemand fürchten, dass die eigenen Fingerabdrücke von einer Türklinke oder einem Glas kopiert werden: Das mag in Einzelfällen für Geheimdienste ein gangbares Verfahren sein; für aus der Ferne operierende Cyberkriminelle ist ein solcher Aufwand undenkbar.

Mythos Nr. 6: Eine Two Factor Authentication (2FA) ist unnötig

Besonders sensible Nutzerkonten, die regelmässig genutzt werden, sollten in der Onlinewelt durch die Two Factor Authentication (2FA) geschützt werden. Sie geht über den Passwort-Login hinaus und besteht aus einer weiteren Sicherheitsstufe, die für die Autorisierung erforderlich ist: Nachdem der User sein Passwort im Login-Bereich einer Website hinterlegt hat, wird er aufgefordert, einen weiteren Code einzugeben. Dieser kann beispielsweise unkompliziert per App generiert oder per SMS an die Handynummer geschickt werden. Fehlt jedoch der zweite Faktor, erhält der Nutzer keinen Zugang zu seinem Account. Dadurch ähnelt die 2FA dem Geldabheben am Bankschalter: Was der Pin und die Bankkarte im Finanzbereich sind, stellen das Passwort und der Code im IT-Sektor dar. Für Kriminelle steigt dadurch der Aufwand, da sie zusätzlich zum Passwort an das Smartphone des Opfers gelangen müssen. Gerade die grossen Player wie Amazon, Apple und Google bieten diesen Mechanismus bereits an. 

Endlich Schluss mit den Mythen – die Lösung lautet MFA

Fest steht: Das Passwort hat ausgedient und ist anfällig für die Schwächen des Menschen. Daher braucht es eine Alternative, die Nutzerkonten sorgfältig schützt und keinen Mehraufwand benötigt. Mit der Multi-Faktor-Authentisierung (MFA) ist das möglich: Sie kombiniert die 2FA mit der Biometrie, indem Nutzer durch mehrere Sicherheitsverfahren authentifiziert werden. Dafür basiert das MFA auf den Faktoren Besitz, Wissen, Standort und biometrischen Merkmalen – mit dem Ziel, Identitätsdiebstahl vorzubeugen, die Benutzerfreundlichkeit zu erhöhen und die Sicherheit zu verbessern. Dadurch wird sichergestellt, dass der Nutzer tatsächlich der ist, für den er sich ausgibt.

 

Was ist CIAM?