15 Milliarden Zugangsdaten im Darknet

Die zivile Verbreitung von Passwörtern begann Anfang der 1960er Jahre, parallel zur Entwicklung von Computern mit Mehrnutzer-Fähigkeit. Bis heute sind Passwörter zur Benutzer-Autorisierung ein Standard, der mit vielen Nachteilen behaftet ist. Wir haben Daniel Holzinger von der Unternehmensberatung colited dazu befragt, warum Passwörter immer mehr zu eine Herausforderung werden, wie man mit ihnen umgehen sollte und ob er sich unter Umständen auch eine passwortlose Zukunft vorstellen kann.

Herr Holzinger, was ist das Problem im Zusammenhang mit Passwörtern?

Ein Großteil der Sicherheitsvorfälle steht in Zusammenhang mit dem Faktor Mensch. Und wenn wir über den Faktor Mensch sprechen, sprechen wir auch über Passwörter. Der aktuelle Verizon-Report unterstreicht die Bedeutung von Passwörtern, da über 80% der Sicherheitsvorfälle auf schwache bzw. gestohlene Kennwörter zurückzuführen sind. Grundsätzlich hat sich die Sicherheitslage im Kontext Cybersicherheit in den letzten Jahren deutlich verschärft und eine Abflachung der Entwicklung ist nicht zu erwarten. Mittlerweile befinden sich mehr als 15 Milliarden Zugangsdaten im Darknet, die von Cyberkriminellen zur Verfügung gestellt, getauscht und verkauft werden.

Erstaunlich ist auch, dass die beliebtesten Passwörter in Deutschland “123456”, “passwort” und “12345” sind. International ist es nicht viel anders, denn die drei beliebtesten Passwörter bestehen ausschließlich aus Zahlen. Sehr viele Unternehmen sind nach wie vor im Blindflug unterwegs, wenn es darum geht, einen Überblick über das Passwortverhalten der Mitarbeitenden zu bekommen.

Wie schaut ein mögliches Lösungsszenario aus?

Immer starke Passwörter verwenden. Ein starkes Passwort hat mindestens 12 Zeichen und beinhaltet Groß- und Kleinbuchstaben in einer zufälligen Kombination mit Zahlen und Sonderzeichen. Ein starkes Passwort ist am Ende des Tages auch nur dann sicher, wenn es nur für eine einzige Anwendung verwendet wird.

Für die meisten Menschen ist es allerdings schwer, sich eine hohe Anzahl von komplexen und eineindeutigen Passwörtern zu merken. Dementsprechend bietet sich der Einsatz eines Passwortmanagers an. Ein Passwortmanager ist eine Anwendung für PC, Mac, Tablet und Smartphone, die es ermöglicht, Zugangsdaten wie Benutzername und Passwörter sicher zu speichern. Ein Passwortmanager fügt gespeicherte Zugangsdaten automatisch in Webseiten und Anwendungen ein. Anwender werden somit unterstützt, stets starke und einzigartige Passwörter zu verwenden.

Zudem bieten Passwortmanager ja auch die Möglichkeit, Passwörter zu teilen.

Ganz genau. Im beruflichen Umfeld können das beispielsweise gemeinsam betreute Social-Media Zugänge sein. Neben Passwörtern können die meisten Passwortmanager auch Kreditkarteninformationen, Notizen, Adressen, Dokumente und so weiter speichern. Darüber hinaus überwacht ein Passwortmanager laufend, ob die eigenen Zugangsdaten oder persönliche Informationen im Darknet vorhanden sind.

Passwortmanager liefern auch eine Sicherheits-Kennzahl, die sich aus Parameter wie Passwortlänge, Komplexität und Eindeutigkeit errechnet. Wird ein schwaches Passwort beispielsweise mehrfach verwendet, muss dies zu einer schlechteren Bewertung der Passwortqualität führen. Aber auch ein begleitendes Darknet-Monitoring sollte eine Bewertung beeinflussen, sofern eine durch den Anwender verwendete E-Mail-Adresse im Darknet auftaucht, oder eine verwendete Anwendung von einem Sicherheitsvorfall betroffen ist.

Wird es eine passwortfreie Zukunft geben?

Seit vielen Jahren arbeiten Unternehmen und Organisationen daran, das Passwort durch neue und sicherere Methoden zur Authentifizierung abzulösen. Erwähnenswert ist hier die nicht-kommerzielle FIDO-Allianz (Fast Identity Online), die bereits 2012 ins Leben gerufen wurde. Aber auch Unternehmen wie Microsoft, Apple und Google haben den Passwörtern den Kampf angesagt und fördern die Verbreitung von sogenannten Passkeys.

Die Idee hinter Passkeys ist, dass diese immer stark sind und dadurch ein sehr hoher Schutz vor Hackerangriffen besteht. Passkeys sind dabei ausschließlich mit der Webseite oder der Anwendung verknüpft, für die sie erstellt wurden. Dadurch wird verhindert, dass Passkeys auf einer betrügerischen Webseite oder Anwendung verwendet werden können.

Hier stellt sich dann allerdings die Frage, wie sich Passkeys plattformunabhängig verwalten lassen.

Das ist richtig. Ein Lösungsansatz ist, dass Passkeys neben Passwörtern und sicheren Notizen in einem Passwortmanager verwaltet werden. Trotz einer steigenden Verbreitung von Passkeys werden uns Passwörter sicherlich noch einige Jahre begleiten. Was liegt also näher, als sämtliche Zugänge in einer Lösung zu verwalten.

Über unseren Gesprächspartner

Daniel Holzinger ist Gründer und Geschäftsführer der Unternehmensberatung colited. Er blickt auf mehr als 30 Jahre Erfahrung in der Beratungs- und Informationstechnologie-Branche zurück.