AMB, Stuttgart
Internationale Messe für Metallbearbeitung
10. bis 14. September
www.messe-stuttgart.de/amb
Bild: Pixabay
Jeden Monat werden tausende von Kennwörtern bei Hacker-Angriffen gestohlen. Zudem verwenden immer noch viele Menschen schlechte Kennwörter. Das Beliebteste ist noch immer 123456, gefolgt von password oder hallo. Wenn das gleiche Kennwort noch für diverse Zugänge genutzt wird, wird es gefährlich. Doch es gibt inzwischen Alternativen. Die Top 200 Passwörter können unter nordpass.com/most-common-passwords-list/ abgerufen werden.
Dass Passwörter unsicher sind, ist schon lange bekannt. Viele Firmen definieren daher Vorgaben an Kennwörter. Dies könnten beispielsweise sein:
Idealerweise wird ein Satz gebildet und jeweils das erste Zeichen davon benutzen. Aus «Heute ist ein wunderschöner Tag zum etwas Neues zu lernen!» wird «Hi1wsTzeNzl!».
Passwort testen
Der Datenschutzbeauftrage des Kantons Zürich hat eine Seite ins Internet gestellt, mit welcher die Qualität des eigenen Passworts getestet werden kann. Sie finden diese unter www.passwortcheck.ch. Folgende Beispiele zeigen, welche Zeit benötigt wird, um ein Passwort zu knacken:
Viele Webseiten verlangen heute zusätzlich einen weiteren Faktor. Daher wird von 2-Factor- (2FA) oder Multifactor Authentication (MFA) gesprochen. Bekannt sind unter anderem Google Authenticator oder der Microsoft Authenticator. Zweiterer hat den Vorteil, dass eine Push-Nachricht geschickt wird und diese muss bestätigt werden. Hacker haben versucht, auch dies zu überlisten, indem sie so viele Push-Nachrichten schicken, bis der Benutzer entnervt eine anklickt. Daher hat Microsoft Mitte Mai damit begonnen, nicht nur einen Klick zu akzeptieren, sondern es muss die angezeigte Zahl ebenfalls eingegeben werden. Dies ist zwar mühsam, erhöht die Sicherheit aber massiv.
Nie Passworte aufschreiben
Weitere allgemeine Regeln, die für Kennwörter eingehalten werden sollen:
Um zu wissen, ob ein Passwort bereits gestohlen wurde, lohnt sich ein Blick auf die Seite https://haveibeenpwned.com/. Aktuell sind dort 12,5 Milliarden Accounts aufgeführt, die in einem Hacker-Angriff kompromittiert wurden.
Alternativen zum Passwort
Es gibt aber auch Alternativen zum Passwort. Der Standard FIDO2 (Fast Identity Online) ist schon länger verfügbar. Dabei kommt ein Hardware-Schlüssel zum Einsatz. Wie auf dem Bild ersichtlich, werden verschiedene Schnittstellen unterstützt: USB-A, USB-C, Lightning (iPhone/iPad) oder NFC (Near Field Communication, Funkschnittstelle).
In den Startlöchern steht zudem FIDO Multi-Device-Credentials, oder kurz als Passkey bezeichnet. Es wird anstelle des Hardware-Tokens der PC oder das Handy genutzt. Google hat Anfang Mai damit begonnen, alle Logins auf dieses Verfahren umzustellen. Andere werden sicherlich bald folgen. Passkeys verwenden kryptografische Schlüssel. Ein Passkey besteht aus einem asymmetrischen Schlüsselpaar (einem öffentlichen und privaten Schlüsselteil), das beim Anlegen eines Kontos automatisch erzeugt wird. Der öffentliche Schlüssel wird zum Dienstanbieter übertragen, der private Schlüssel bleibt im Sicherheitschip auf dem Handy oder PC gespeichert. Bei der nächsten Anmeldung auf der Webseite, wird eine mit dem öffentlichen Schlüssel verschlüsselte Aufgabe verschickt, die nur der private Schlüssel mit einer passenden Antwort lösen kann. Das alles läuft im Hintergrund ab. Damit kein Missbrauch durch eine fremde Person erfolgen kann, muss dieser Vorgang per Gesichtserkennung oder Fingerabdruck-Scan bestätigt werden. Unter https://passkeys.directory/ sind einige Anbieter aufgelistet. Laufend kommen weitere dazu.
Ein privater Passkey-Schlüssel lässt sich nicht erraten oder durch Ausspionieren von privaten Informationen ermitteln. Eine gefälschte Webseite, die heute ganz einfach ein Passwortfeld nachbauen kann, wird mit der kryptografischen Anmeldung nicht mehr funktionieren. Da der private Schlüssel nie an Webseiten oder Apps geschickt wird, kann er dort auch nicht gestohlen werden. Einen kleinen Wermutstropfen gibt es aber. Für die «Bequemlichkeit» der Benutzer, die mehrere Geräte nutzen, wird der private Schlüssel in die Apple, Google und Microsoft Cloud übertragen. Mit der Ende-zu-Ende-Verschlüsselung bei der Übertragung soll das allerdings sicher ablaufen.
Trotz der Alternativen wird es noch ein langer Weg sein, bis keine Kennwörter mehr genutzt werden. Erst wenige Anbieter unterstützen die neuen Technologien FIDO2 oder Passkeys. Am weitesten ist Apple, wobei die Verfügbarkeit derzeit auf die eigenen Geräte beschränkt ist. Windows- und Android-Nutzer können mit Chrome-Passkeys nutzen. Doch auch wenn diese Technologie verbreitet genutzt werden kann, bleibt eine Herausforderung bestehen: Nutzer mit vielen Passwörtern wartet eine Menge Arbeit, diese auf Passkeys umzustellen.
ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch
Internationale Messe für Metallbearbeitung
10. bis 14. September
www.messe-stuttgart.de/amb
Fachmesse für Prozess- und Labortechnologie
18. und 19. September
www.ilmac.ch
Weltleitmesse für Bildbearbeitung
8. bis 10. Oktober
www.messe-stuttgart.de/vision
Internationale Fachmesse für Produktions- und Montageautomatisierung
8. bis 11. Oktober
www.motek-messe.de
Internationale Fachmesse für industrielle Klebetechnologie
8. bis 11. Oktober
www.bondexpo-messe.de