Passwörter? Es gibt intelligentere Lösungen für mehr Sicherheit – davon sind wir bei Microsoft überzeugt. Wir arbeiten intensiv daran, Kennwörter zum Beispiel bei Windows 10 komplett überflüssig zu machen, mit Windows Hello und Multifaktor-Authentifizierung (MFA) mit dem Microsoft Authenticator. Erst vor wenigen Wochen haben wir angekündigt, dass es nun auch für Privatpersonen möglich ist, sich bei ihrem persönlichen Microsoft-Konto ohne Passwort anzumelden. Bis Passwörter ganz der Vergangenheit angehören, wird es noch dauern. Deswegen zeigen wir euch, wie ihr eure Geräte und Accounts mit starken Passwörtern, Biometrie und MFA besser schützen könnt.
„Hacker*innen brechen nicht ein, sie melden sich an“, sagt Bret Arsenault, Chief Information Security Officer bei Microsoft. Passwörter dienen tatsächlich bei den meisten Angriffen auf Unternehmens- und Privatkonten als Eintrittspunkt für Hacker*innen. So greifen Kriminelle die Zugänge zu online erreichbaren Konten 579-mal pro Sekunde an – insgesamt macht das rund 18 Milliarden Angriffsversuche pro Jahr. Dennoch gewinnt bei der Wahl des Passworts oft die Bequemlichkeit über die Sicherheit. Um euch zu zeigen, wie einfach der sichere Umgang mit Passwörtern sein kann, habe ich euch sechs Tipps zusammengestellt:
1. Ein gutes Kennwort ist mindestens acht Zeichen lang
Viele Hacker arbeiten mit so genannten Brute-Force-Methoden, um das Passwort eines Geräts oder eines Kontos zu knacken. „Rohe Gewalt“ heißt im Grunde nichts anderes als: Jede mögliche Kombination wird ausprobiert. Da moderne Rechner das in atemberaubender Geschwindigkeit können, führt die Methode sehr oft zum Erfolg, zumal viele Menschen eher kurze und einfache Passwörter verwenden.
Schon 2013 konnten Computer in Sekundenbruchteilen (!) neunstellige Passwörter erraten, wenn sie nur aus Ziffern bestanden. Nutzt jemand alle 26 Kleinbuchstaben des Alphabets, dauert die Entschlüsselung eines achtstelligen Passworts rund vier Minuten. Stehen Groß- und Kleinbuchstaben sowie Ziffern dafür zur Verfügung (insgesamt 62 verschiedene Zeichen), dann dauert es über einen Tag lang, um alle 218.340.105.584.896 möglichen Kombinationen durchzuprobieren. Also: Eine optimale Passwortlänge gibt es nicht, aber die Mindestlänge von acht Zeichen, so eine gängige Empfehlung, sollte nicht unterschritten werden.
2. Welche Zeichen gehören in ein gutes Passwort?
Viele Webseiten und Domänenverwaltungen verlangen bei der Vergabe von Passwörtern nicht nur eine bestimmte Mindestlänge, sondern auch die Verwendung von Sonderzeichen. Logisch, denn das verhindert, dass jemand zum Beispiel relativ leicht zu erratende lexikalische Begriffe verwendet. Andererseits hilft das beste Passwort nicht, wenn man es sich nicht merken kann. Genau dafür gibt es ein paar hilfreiche Tricks:
- Statt einer beliebigen Zeichenfolge einfach die Anfangsbuchstaben eines einfach zu merkenden Satzes verwenden. So wird aus „Lieber den Spatz in der Hand als die Taube auf dem Dach“ LdSidHadTadD.
- Um hier nun auch die oft geforderten Sonderzeichen unterzubringen, bietet es sich an, aus dem „S“ zum Beispiel ein Dollarzeichen „$“ zu machen, aus dem „a“ ein „@“ und aus dem „T“ ein „†“ – damit erhöht sich die Sicherheit des Passworts enorm.
3. Ein Konto, ein Passwort!
Ein Passwort einfach für mehrere Konten zu nutzen, ist weit verbreitet, jedoch keine gute Idee. Denn für den Fall, dass tatsächlich jemand eines dieser Passwörter habhaft wird, ist damit nicht nur ein Konto bedroht, sondern im schlimmsten Fall gleich mehrere. Daher ist es sinnvoll, für ein Konto auch nur ein Passwort zu verwenden. Um die Gedächtnisleistung unseres Gehirns nicht zu überfordern, könnt ihr das gemerkte Passwort leicht modifizieren, indem ihr Ziffern oder Buchstaben dranhängt oder das Passwort mit Komma oder Punkt trennt. Aus „LdSidHadTadD“ wird dann zum Beispiel „LdSidHad_?TadD“ oder „LdSidH,adTadD.“
4. Passwörter regelmäßig ändern?
Gerade bei euren Firmenrechnern und -Accounts werdet ihr von der IT-Abteilung regelmäßig aufgefordert, eure Passwörter zu ändern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang 2020 diese Empfehlung allerdings aus dem IT-Grundschutz-Kompendium gestrichen. Stattdessen empfiehlt das BSI, Passwörter nur noch dann, aber dann auf jeden Fall, zu ändern, „wenn es einen Hinweis gibt, dass es tatsächlich in die Hände von unbefugten Dritten gelangt ist“. Das kann zum Beispiel die direkte Aufforderung eines Diensteanbieters sein, das Passwort zu ändern, oder die Nachricht, dass Passwörter eines bestimmten Dienstleisters gestohlen worden und nun im Internet aufgetaucht sind. Über solche Leaks und andere Schwachstellen informiert das BSI regelmäßig in seinem Newsletter „Sicher informiert“.
5. Euer neuer Freund – der Passwort-Manager
Moderne Internet-Browser wie der auf Chrome basierende Microsoft Edge bieten von Haus aus ein Passwort-Management an, das den Umgang mit Passwörtern deutlich vereinfacht. Bei jedem Online-Account schlägt der Browser zunächst ein Passwort vor und speichert dieses anschließend verschlüsselt im Programm selbst. Diese Möglichkeiten bieten auch moderne Smartphones, bei denen der Zugriff auf die Passwörter überdies mit einer Zwei-Faktor-Authentifizierung gesichert ist, zum Beispiel über einen Fingerabdruck. Die vorgeschlagenen Passwörter sind in der Regel auch äußerst sicher, jedoch vermutlich schwer zu merken. Von daher empfiehlt sich hier der Blick auf die eben genannten Tipps. Alternativ könnt ihr dafür auch ein spezielles Programm nutzen, einen so genannten Passwort-Manager. Sie verwahren auch die komplexesten Passwörter verschlüsselt und damit sicher und lassen sich über unterschiedliche Geräte hinweg synchronisieren. Auf diese Weise müsst ihr euch nur noch ein Passwort merken – das für den Passwort-Manager.
6. Am besten alle Passwörter vergessen
Noch müssen wir also über Passwörter reden, denn wir können noch nicht ganz auf sie verzichten. Aber wir sind auf dem besten Wege dazu: Als weltweit erstes Unternehmen unterstützt Microsoft schon seit 2019 den Authentifizierungsstandard FIDO2, der das passwortlose Login bei Windows 10 und Azure Active Directory über Sicherheitsschlüssel bietet. Die neuen Verfahren arbeiten beispielsweise mit biometrischer Authentifizierung, also etwa mit Fingerabdrücken oder Iris-Scans. Zudem setzen sie auf eine Mehrfach-Authentifizierung: Beim Login erhalten die Anwender*innen eine Push-Benachrichtigung auf einem mobilen Gerät, um ihre Identität durch ein biometrisches Merkmal oder die Eingabe einer PIN zu bestätigen. Diese sicheren und einfachen Logins können zum Beispiel bereits bei web-basierten Anwendungen und in Webbrowsern eingesetzt werden.
Im September haben wir zudem angekündigt, die passwortlose Anmeldung für Privatpersonen einzuführen: Nutzer*innen können sich so ganz ohne Passwort bei ihrem Microsoft-Konto anmelden und stattdessen die Microsoft Authenticator-App, Windows Hello, einen USB-basierten Sicherheitsschlüssel oder einen ans Telefon oder per E-Mail gesendeten Verifizierungscode nutzen. Das funktioniert bei Anwendungen und Diensten wie Outlook, OneDrive, Microsoft Family Safety und anderen ganz ohne Passwort. Wie ihr die passwortlose Anmeldung einrichtet, erfahrt ihr hier.
Das ist unser Verständnis von Sicherheit, und wir alle werden schon bald erleben, wie das uns und unsere Geräte überall gleichermaßen wirksam schützt. Bis dahin aber werden wir noch gute Passwörter benutzen müssen.
Ein Beitrag von Christoph Bös
Product Marketing Manager Modern Work Security bei Microsoft Deutschland
