Sichere Logins – Einfacher als du denkst

Neulich im Neuland

Wie leichtfertig Menschen mit ihren Passwörtern umgehen können, zeigt sich anhand der folgenden Anekdote, die sich vor einigen Monaten so zugetragen hat. Thomas bat seinen IT-Freund, nennen wir ihn «Tech-Nick», ihm bei der Einrichtung des neuen WLAN-Routers zu helfen. Auf die Frage, welches WiFi-Passwort er denn haben wolle, entschied sich Thomas für ein vermeintlich sicheres Passwort: eine Kombination aus Gross- und Kleinbuchstaben, Zahlen und einem Sonderzeichen – im Stil von «Bayer04Lev!». Doch zu Hause wurde Tech-Nick neugierig: Er öffnete seinen Browser, tippte «gmail.com» ein und probierte das WLAN-Passwort mit Thomas' Gmail-Adresse aus. Zu seiner Überraschung funktionierte es sofort und er fand sich im Posteingang seines Freundes wieder.

Das zeigt das enorme Schadenspotential: Offenbar verwendet Thomas, wie viele andere auch, ein Passwort für mehrere, wenn nicht alle Dienste. Noch brisanter: Das WLAN-Passwort wird häufig an Besucher weitergegeben und Thomas hatte hier sein allgemeines Passwort verwendet und damit unbedacht weitergegeben.

Obwohl wir oft auf Gedeih und Verderb auf Online-Dienste angewiesen sind, fehlt uns teilweise noch das Bewusstsein für die Sensibilität unserer persönlichen (Login-)Daten. Damit sich solche Fälle nicht wiederholen, untersuchen wir in diesem Beitrag verschiedene Möglichkeiten, die Sicherheit unserer zahlreichen Logins deutlich zu erhöhen. Wie mühsam und schmerzhaft es sein kann, den Zugang zum Online-Banking oder zu einem über ein Jahrzehnt genutzten Apple-Account zu verlieren, merkt man meist erst, wenn es zu spät ist.

Gängige Möglichkeiten zur sicheren Verwaltung von Logins

Ein Login ist das virtuelle Äquivalent eines Schlüssels. Dieser Schlüssel bzw. Login öffnet eine Tür und ermöglicht den Zugang zu allem, was sich dahinter befindet. Kaum jemand würde denselben Schlüssel für das eigene Haus, Auto, Büro, Keller, Briefkasten, Tresor und die Wohnung der Eltern oder Kinder verwenden – schon gar nicht, wenn dieser Schlüssel nur mässig sicher ist.

Passwortmanager verwenden

Ein Passwortmanager ist das virtuelle Äquivalent eines Schlüsseltresors. Ein Passwortmanager funktioniert wie ein digitaler Schlüsseltresor: Mit einem einzigen Master-Login hast du Zugriff auf alle deine gespeicherten Passwörter. So musst du dir nur noch ein Passwort merken, das allerdings besonders komplex und idealweise durch einen zusätzlichen Authentifizierungsfaktor (wie beispielsweise Fingerabdruck oder Einmalcode) gesichert sein sollte.

Für die Verwaltung von Passwörtern gibt es verschiedene Tools auf dem Markt. Von eher behelfsmässigen und daher nicht empfehlenswerten Lösungen wie dem Speichern im Browser (im Klartext), über dedizierte Apps wie Dashlane oder LastPass bis hin zur kompletten Antivirus Security Lösung inklusive Passwortmanager. Ein weiterer Vorteil solcher Tools ist das kinderleichte Anlegen neuer Accounts mit immer wieder neuen, komplexen Passwörtern.

2FA Hardware-Token

Eine Zwei- oder Multifaktor-Authentifizierung ist das digitale Äquivalent einer Türsicherungskette. Sie bietet  eine zusätzliche und unabhängige Sicherheitsebene. Der Hauptvorteil von 2FA Hardware-Token ist ihre Robustheit und Unabhängigkeit von Internetverbindungen oder Mobilfunknetzen, was sie ideal für Umgebungen mit hohen Sicherheitsanforderungen macht. Sie sind widerstandsfähig gegen Phishing-Angriffe, da der generierte Code nur für eine kurze Zeit gültig ist und nicht wiederverwendet werden kann. Durch den Einsatz eines Hardware-Tokens können Unternehmen und natürlich auch Privatpersonen die Sicherheit ihrer sensiblen Daten erheblich erhöhen und das Risiko eines unberechtigten Zugriffs minimieren.

Umstellung auf Passkeys

Ein Passkey ist das virtuelle Äquivalent einer Tür, die ausschliesslich mit einem biometrischen Merkmal geöffnet werden kann. Passkeys stellen sozusagen die nächste Evolutionsstufe der Authentifizierung dar und bieten eine Alternative zu herkömmlichen Passwörtern, die wir allzu oft zu einfach definieren.

Wenn jemand einen Dienst mit einem Passkey verwenden möchte, wird ein Schlüsselpaar, bestehend aus öffentlichem und privatem Schlüssel erstellt. Der öffentliche Schlüssel wird auf dem Server des Dienstes gespeichert, während der private Schlüssel verschlüsselt auf dem Gerät des Nutzenden verbleibt. Bei der Anmeldung wird eine kryptographische Herausforderung vom Server an das Gerät gesendet, die nur mit dem privaten Schlüssel beantwortet werden kann. Wer schon einmal eine Bitcoin- oder Krypto-Wallet erstellt hat, kennt dieses Prinzip. Nur dass dort aus dem Private Key eine für Menschen einfacher zu merkende Seed Phrase generiert wird. Dies ist bei Passkeys nicht der Fall und die Nutzenden müssen ihren Private Key nicht einmal kennen. Ein Passkey ist also wortwörtlich ein No-Brainer.

Ein weiterer Vorteil von Passkeys ist ihre Benutzerfreundlichkeit. Da sie oft in Verbindung mit biometrischen Daten wie Fingerabdruck oder Gesichtserkennung verwendet werden, ist der Anmeldevorgang nicht nur sicherer, sondern auch schneller und bequemer. Passkeys eliminieren das Risiko von Phishing-Angriffen und machen das Erraten und die Mehrfachverwendung von Passwörtern überflüssig, was sie zu einer robusten Lösung für die digitale Sicherheit macht.

Kurz zusammengefasst: Das Einloggen funktioniert ganz einfach.

Empfehlung/Voraussetzungen: Ein aktuelles Smartphone mit biometrischen Funktionen, das mindestens Security-Updates erhält. Ein aktuelles Desktop-Betriebssystem mit einem der gängigen Browser.

Bist du sicher?

Auch im Jahr 2024, knapp 50 Jahre nach der Gründung von Microsoft, sind die drei am häufigsten verwendeten Passwörter immer noch «password», «12345678» und das nur äusserst marginal komplexere «123456789». Mit modernen Methoden ist ein solch einfaches achtstelliges Passwort in einer einzigen Sekunde geknackt. Täglich sind über 3'000'000'000 (Milliarden) Phishing-Mails im Umlauf und jährlich werden über 300'000 Menschen Opfer einer Phishing-Attacke. Und wer glaubt, dass nur "DAUs" auf Phishing hereinfallen, der irrt. Im richtigen oder falschen Moment kann es jeden treffen. Immerhin nutzen rund 33% der Menschen 2FA/MFA für ihre Accounts – du auch für deinen BRACK.CH-Account?

Auf der Webseite haveibeenpwned.com kann man prüfen, ob die eigene E-Mail-Adressen von Leaks und Datendiebstählen betroffen sind. Einfach mal ausprobieren, die Wahrscheinlichkeit ist hoch, dass auch einer deiner Datensätze betroffen ist. Ich selbst war beispielsweise von einem Data Breach bei der malaysischen MalindoAir im Jahr 2019 oder dem unter anderem aus WordPress bekannten Avatar-Service Gravatar im Jahr 2020 betroffen. Viele Sicherheitsprodukte und Antivirensoftware warnen auch proaktiv, sobald ein Leak entdeckt wurde.

Fazit

Passkeys sind wirklich ein grosser Schritt nach vorn, wenn es um digitale Sicherheit und Benutzerfreundlichkeit geht. Sie basieren auf dem WebAuthn-Standard und bieten eine sichere und bequeme Alternative zu den klassischen Passwörtern und helfen dabei, viele gängige Sicherheitsprobleme wie Phishing oder das Erraten von Passwörtern zu vermeiden. Da immer mehr Geräte mit biometrischen Funktionen ausgestattet sind und Passkeys von den meisten Betriebssystemen und Browsern unterstützt werden, ist der Wechsel zu Passkeys ein sinnvoller und notwendiger Schritt, um unsere digitalen Identitäten besser zu schützen. Es wird Zeit, dass wir uns endlich von unseren alten und unsicheren Passwörtern verabschieden!

Wie gehst du mit deinen Logins um? Hast du eine lustige Anekdote zum Thema?