„Es ist wichtig, dass für jeden Dienst und jedes Konto ein eigenes starkes Passwort gewählt wird.“ Was eigentlich zum Einmaleins der Cyber-Sicherheit gehören sollte, ist nach wie vor ein Satz, den Security-Experten gebetsmühlenartig wiederholen. Worauf es bei der Wahl des Passworts ankommt und welche Gründe für eine externe Passwort-Verwaltung sprechen, verrät Christian Funk, Leiter des deutschsprachigen Forschungs- und Analyseteams beim IT-Sicherheitsunternehmen Kaspersky, im Interview mit der Nachrichtenagentur spot on news.
Der Vorteil unterschiedlicher Passwörter liegt auf der Hand: „Nur so sind weitere Accounts im Ernstfall geschützt, sollte tatsächlich mal ein Passwort kompromittiert werden“, erklärt Funk und sagt, worauf es bei der Wahl eines sicheren Passworts ankommt: „Ein starkes, sicheres Passwort besteht aus mindestens 16 Zeichen und einer Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen.“
Besser stärken als ändern
Dass am „Change Your Password Day“ am 1. Februar dazu aufgerufen wird, sein Passwort zu ändern, weil das die Sicherheit erhöhe, sieht Funk kritisch: „Nach heutigem Verständnis wirkt sich das regelmäßige Ändern von Zugangsdaten eher kontraproduktiv auf die Sicherheit von Online-Konten aus. Das heißt die Passwörter werden tendenziell eher schwächer als stärker gestaltet.“ Das russische Softwareunternehmen schlägt deshalb vor, den Fokus des Jahrestags zu ändern: „Daher plädieren wir bei Kaspersky nicht für einen ‚Ändere-Dein-Passwort-Tag‘, sondern für einen ‚Stärke-Dein-Passwort-Tag‘.
Weil es praktisch ist, nutzen viele die in ihrem Browser implementierte Passwort-Verwaltung. Häufig bietet diese zusätzlich die Option, sichere Passwörter zu generieren. Allerdings ist die Information dann auf dem Computer hinterlegt – eine Gefahr? „Moderne Implementierungen von Passwort-Management in Browsern sind besser und sicherer geworden“, sagt Funk zwar, schränkt aber ein, „dennoch bieten sie als fester Teil des Browsers mehr Angriffsfläche für web-basierte Angriffe und in manchen Fällen Schwächen in der sicheren Verwahrung der Passwörter, etwa der Verschlüsselung.“
Schlimmstenfalls „verlieren“ User ihr Gesicht
Wer völlig auf Nummer sicher gehen möchte oder muss, greift deshalb zu weiterer Software, um seine Passwörter zu verwalten. Ihr Vorteil liegt dem Experten zufolge neben der sicheren Verschlüsselung des Passworts darin, „dass sie auch außerhalb des Browsers ihre Dienste anbieten, etwa bei der Anmeldung bei Game-Launcher-Software wie Steam, Uplay oder anderen Portalen mit eigener Software.“
Zu besonderer Vorsicht mahnt Funk bei biometrischen Daten: „Das Gesicht und der Fingerabdruck sind einzigartig, die Sensorik und der Code zur Überprüfung können aber in manchen Fällen überlistet werden. Im Fall von Fingerabdrücken können diese auch mit einfachen Mitteln von einer Person kopiert und zur Freischaltung von Geräten verwendet werden.“ Im Gegensatz zu einem normalen Passwort ist der Verlust von biometrischen Daten weitreichender, erklärt Funk: „Das große Problem dabei: Wenn ein Passwort in die falschen Hände gerät, kann der Nutzer es einfach ändern. Passiert dies bei biometrischen Informationen, dann sind sie für alle Zeiten für sicherheitsrelevante Authentisierungsmethoden verbrannt.“
IT-Sicherheit bedeutet mehr als Passwörter
Notwendig machen die Wachsamkeit der User kriminelle Machenschaften im Netz. „Nutzer denken fatalerweise immer noch, dass sie und ihre Daten für Cyberkriminelle uninteressant wären“, kommentiert Funk und warnt: „Das macht sie oftmals zu leichten Opfern.“ Auch sichere Passwörter allein schützen nicht vor betrügerischen Absichten, der Rat des Sicherheitsexperten: „Nutzer sollten immer wachsam sein, den eigenen Verstand einschalten und prüfen, woher Mails stammen und aus welchen Quellen sie Dateien herunterladen.“