#209 Was denn? Schon wieder Passwort-wechsel-Tag? Ja, wie alle Jahre am ersten Donnerstag im Mai, also am 05.05.2022, ist World Password Day!

11:32
 
Teilen
 

Manage episode 328697296 series 2988347
Von Steve Schutzbier entdeckt von Player FM und unserer Community - Das Urheberrecht hat der Herausgeber, nicht Player FM, und die Audiodaten werden direkt von ihren Servern gestreamt. Tippe auf Abonnieren um Updates in Player FM zu verfolgen oder füge die URL in andere Podcast Apps ein.

Was denn? Schon wieder Passwort-wechsel-Tag? Ja, wie alle Jahre am ersten Donnerstag im Mai, also am 05.05.2022, ist World Password Day!

Es ist noch gar nicht so lange her, dass ich euch den ersten Februar des Jahres als "Ändere Dein Passwort Tag" vorgestellt habe. Und, ohne Panikmache, habe ich versucht, euch klarzumachen, dass die gängigsten Tricks, die uns die letzten Jahre begleitet haben und uns immerhin ein paar "Merkregeln" für gute Passwörter geliefert haben, nicht mehr gelten. Hacker haben aufgerüstet, die Technik kann mehr als sonst - und das wird hierbei gegen uns angewendet. Echte Sicherheit bietet nur ein zweiter Schlüssel - umso besser, dass Microsoft, Google und Apple vor ein paar Tagen angekündigt haben, auf das Passwort künftig verzichten zu wollen... und ja, zum Wohle der Sicherheit... WAS BITTE?

FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat

Ich hatte auch im jährlichen Blogpost und Podcast zum "Ändere Dein Passwort"-Tag Anfang Februar bereits darauf hingewiesen, dass Phishing, Social Engineering und klassisches Hacken mit höchster IT-Power oder wirklich gute und echt wirkende Spam-Mails in Kombination mit einem deiner schwachen Passwörter ein echtes Risiko für Accounts aller Art darstellen.

Vorbei die Zeiten, wo zuerst die E-Mail gehackt wird, um dann bei Versandhäusern die Passwort-Reset-E-Mail abzufordern, ohne dass du es merkst. Heutzutage existieren riesige Datenbestände, die teils aufgedeckt, teils unter dem Darknet schlummern und, rein statistisch, mindestens eine Kombi aus einer deiner E-Mails und dem zugehörigen Passwort im Klartext kennt.

Auch werden Anhänge, die sich selbst installieren und jeden Tastendruck in Echtzeit um die Welt schicken oder mittlerweile richtig gut und echt klingende, eben mit den korrekten Deutschkenntnissen ausgestattete Spam-Mails verschickt, die nur auf ihre Opfer warten.

Da sollten die Zeiten von 12345 als Passwort vorbei sein - und doch ist es immer noch eins der meistgenutzten und gehackten Passwörter. Dabei, und nun ein kleines Dankeschön an Intel für die Erfindung des Ändere-Dein-Passwort-Tages, immer am ersten Donnerstag im Mai. Also dieses Jahr passenderweise am 05.05.

Auch passend dazu haben die drei großen, Google, Microsoft und Apple angekündigt, dass Passwort abzuschaffen. Bleibt entspannt, das ist nichts, was in der Folgewoche live und aktiv geschaltet wird, aber es ist eine sichere, nein, eine sicherere Perspektive, als sich dauernd selbst neue Passwörter zu überlegen. Oder einen Passwortmanager dazu zu verwenden.

Und es ist nicht neu. Nur leider wird es noch zu wenig angewandt: der zweite Faktor. Und wie es der Zufall will, haben die drei, also, von zweien, nämlich Google und Microsoft weiß ich es mit Sicherheit, bei Apple... keine Ahnung... bereits mindestens eine Lösung am Start. Microsoft dürfte noch die jüngste Anwendung haben, die auf dem Handy einen Code, der am Rechner angezeigt wird, zur Bestätigung nochmals bestätigt oder eine Zahl von dreien angetippt haben will. In Redmond arbeitet man aber mit Hochdruck daran, die aktuelle App zu einem kompletten Passwortmanager auszubauen. Die App heißt Authenticator.

Auch Google hat schon lange einen 2FA-Dienst kostenfrei im Angebot. Auch diese heißt einprägsam Google Authenticator. Hier können neben Google alle weiteren kompatiblen Dienste, sei es dein E-Mail-Anbieter oder auch ein Onlineshop oder ein weiteres Login wie bei WordPress hinterlegt werden. Im Minutentakt ändert sich ein sechsstelliger Code, der auch Service-seitig entsprechend abgeglichen werden kann. Nur so kommst du, neben Eingabe von Nutzername - der übrigens auch mit gewisser Vorsicht und nicht nur "einem für alles" im Netz benutzt werden sollte! - und deinem Passwort einen entsprechenden Code, der dir dann den Zugang zu deinem Dienst oder Account ermöglicht.

Da dieser Code für jeden Account nur einmal abgerufen und in eine App gebracht werden kann, muss man dir schon das Handy aus der toten Hand schneiden, wohingegen dein Passwort gephished oder in den meisten Fällen nach ein wenig Social Engineering erraten werden kann. Oder eine Serverfarm von amazon, die man für ein paar Cent mieten kann, hat es in unter fünf Minuten geknackt.

Du bist also schon ganz vorne mit auf der sicheren Seite, wenn du neben stetig wechselnden Nutzernamen und individuellen Passwörtern je Login einen zweiten Faktor über eine Authentifikation-App nutzt.

Aber legen wir noch eine Schippe drauf, die das Abschaffen des Passworts mit begünstigen wird: der physikalische Schlüssel. Aktuell hat sich FIDO2 als Quasi-Standard schon im Markt etabliert, zwei prominente Vertreter haben so gut wie jedes Format mit jedem erdenklichen Funktionsumfang im Angebot: Yubico, von denen ich seit Jahren drei unterschiedliche Schlüssel benutze oder der direkte Mitbewerber, bei dem ich heute eher zuschlagen würde - aber nur aus persönlicher Präferenz, nicht, weil sie besser wären! -: Trustkey.

Ich habe euch bei beiden Anbietern eines der USB-A-Einsteigermodelle verlinkt. Ihr kennt mich, amazon Junkie und so, daher ratet mal, wo die Links hingehen? Genau... wir verstehen uns!

Und wer glaubt, dass 30 Euro eine Menge Holz sind, sollte sich die Produktpaletten ansehen: Yubico geht so richtig in teuer, Trustkey kostet zwar nur die Hälfte mit dem Bio-Topfmodell, aber auch da sind über 50 Euro für "nur" einen USB-Schlüssel weg.

Allerdings: was für ein Schaden würde dir entstehen, wenn ein Eindringlich sich einen Tag völlig ungehindert in deiner E-Mail, facebook/meta/instadings, amazon Konto, Online-Banking und auch noch in deiner Cloud austoben könnte? Weil du überall den gleichen Nutzernamen hast und das Passwort nur zehn Stellen hat und zum Schluss einfach eine Nummer von 1-6 hochgezählt wird? Also bei mir wären es definitiv mehr als 50 Euro Schaden... andererseits könnte mir der Eindringlich aus Mitleid gerne was aufs Online-Konto packen... aber erfahrungsgemäß passiert sowas leider nie...!

Aber zurück zum Thema:
Erst das schlechte Gewissen: Wenn du, meinem Blog-Pod vom Februar folgende, deine Passwörter geändert hast, ist JETZT die beste Zeit, es erneut zu tun. Und zwar nach all den Regeln, die ich im Februar geschrieben hatte! Und, wo immer möglich, mit zweitem Faktor aktiv!

Und klar ist eine Authenticator-App super! Aber wie wäre es mit einem Schlüssel, der erst deinen Fingerabdruck bestätigen und scannen muss, also, andersrum, aber ihr versteht mich schon, bevor er den Codeschnipsel zur Freigabe des virtuellen Eingangs in deinen Account ermöglicht?! Und ich sage es erneut: auch trotz Stick nicht schludern! Individuelle Benutzernamen und, solange sie noch da sind, moderne Passwörter mit 25 und mehr Zeichen, am besten per Passwortmanager.

Und dann warten wir mal ab, was Google, Microsoft und Cupertino noch so alles einfällt, auf dem Weg in die Passwort-freie Zukunft. Und, ich habe da schon so eine Vermutung, wer wieder sein eigenes Süppchen kochen wird.

Nichtsdestotrotz wird es auch ohne Passwort sicherer, weil auch hier die menschliche Komponente wieder ein Stückchen rausgenommen wird. Und eben ein fälschungssicherer und auch auf Open-Source basierender USB-Stick die Aufgabe übernimmt.

Ich freue mich schon drauf! Also, passt auf eure Passwörter und Zugangsdaten auf. Und beginnt gleich heute noch, die alle mal zu ändern!

PodCast abonnieren: | direkt | iTunes | Spotify | Google | amazon | STOLZ PRODUZIERT UND AUFGENOMMEN MIT Ultraschall5
 
Made with Ultraschall / Logo-Quelle ultraschall.fm
Folge direkt herunterladen

214 Episoden