Warum Passwörter auf Dauer nicht sicher sind

In unseren vergangenen Blogbeiträgen haben wir bereits über verschiedene IT-Sicherheitslücken gesprochen – eines der weltweit häufigsten Einfallstore sind verlorene oder gestohlene Passwörter.

Im Falle einer einfachen Authentifizierung werden nur Username und Passwort abgefragt – diese Maßnahme ist äußerst unsicher. Passwörter als Kombination von Buchstaben, Zahlen und Zeichen können mithilfe der Brute Force Methode neu berechnet werden. Diese Methode ist in der Praxis häufig erfolgreich, da die meisten Nutzer eher einfache Passwörter (z.B. Zahlenreihen oder Wortkombinationen) verwenden.

Für die meisten Menschen ist es nicht nur schwer, sich lange, abstrakte Passwörter zu merken, sondern auch viele verschiedene Passwörter. Daher werden einfache Passwörter häufig mehrfach verwendet. Besonders fatal wird es, wenn privat verwendete Passwörter für auch für Geschäftsanwendungen genutzt werden. Beispiele aus der Vergangenheit haben das mehrfach gezeigt.

Doch selbst der vermeintliche Schutz durch komplexe Passwörter in Kombination mit einem Passwort Manager kann mit Brute Force Angriffen oder gezielten Phishing Angriffen ausgehebelt werden. Das Risiko, Opfer von Phishing-Attacken zu werden, ist höher denn je –  seit der Pandemie haben Cyberkriminelle ihre Bemühungen in diesem Bereich stark intensiviert.

Lösung: Passwortlose Authentifizierung?
Was also tun, wenn Passwörter langfristig nicht ausreichen? Anstelle von Passwörtern können Identitäten auch auf Grundlage eines Besitzfaktors verifiziert werden, wie beispielsweise eines Einmalpasswortes, eines registrierten mobilen Gerätes oder eines Hardware-Tokens. Alternativ ist auch eine Verifizierung anhand eines inhärenten Faktors möglich, wie des biometrischen Merkmals einer Person (z.B. Fingerabdruck, Gesicht, Netzhaut usw.). Vorteil ist hier, dass Objekte wie ein Hardware-Token oder biometrische Merkmale für Cyberkriminelle erheblich schwerer zu entwenden sind.

Der Mobile Authenticator, eine mobile Anwendung, die auf dem Smartphone des Benutzers installiert wird, kann das Hardware-Sicherheitsmodul des Smartphones nutzen und somit eine weitaus höhere Sicherheit bieten. Da das Smartphone so weit verbreitet ist, erfordert diese Option in der Regel keine zusätzliche Hardware.