Kommentar zum „Change Your Password Day“: Warum Multi-Faktor-Authentifizierung (MFA) statt Passwortoptimierung nottut

Am 1. Februar findet wieder der „Change Your Password Day“ statt. Und wie jedes Jahr übertreffen sich selbsternannte Security-Experten mit Ratschlägen zum richtigen Umgang mit Passwörtern im Sinne eines umfassenden Identity- und Access-Managements (IAM): Möglichst komplex und lang sollten sie sein – im Idealfall zwischen zehn bis 15 Zeichen – und sie sollten regelmäßig erneuert werden. Doch das funktioniert im Alltag eher schlecht als recht. Denn laut Verizon sind gestohlene oder schwache Passwörter mittlerweile in 81 Prozent aller Fälle die Ursache für einen Hack – im Vorjahr waren es „nur“ 63 Prozent.

Komplexe und lange Passwörter überfordern Nutzer

Der Grund dafür: Die Nutzer können sich komplexe Passwörter aus Zeichen und Zahlen schlichtweg nicht merken. Daher notieren sie ihre Login-Daten oder bilden sie nach immer denselben Schemata nach. Doch moderne Hacker-Programme können diese innerhalb von Minuten systematisch „erraten“. Ein weiteres Problem beim Umgang mit Passwörtern: User verwenden sie für unterschiedliche Accounts wieder und wieder – vom E-Mail-Postfach über das Facebook-Login bis hin zum eBay-Konto. Dies zeigt auch die aktuelle „IBM Future of Identity“-Studie. Gleichzeitig werden die Zugänge zu Webportalen immer häufiger miteinander verknüpft, um die Anmeldung direkt zu umgehen.

Ein Login für viele Accounts

Hat ein Angreifer also ein Passwort erbeutet, stehen ihm quasi alle digitalen Türen offen. Nicht möglich? Doch! Und das zeigen reale Beispiele, die Internetnutzer schaudern lassen dürften: So hat ein US-amerikanischer Journalist von einem wahren Horrorszenario berichtet, bei dem zuerst sein Google-Konto angegriffen und gelöscht wurde. Dann folgte sein Twitter-Account mit kompromittierenden Inhalten, welche die Hacker in seinem Namen verschickten. Schließlich traf es auch seine Amazon- und Apple-ID-Accounts, sodass sich per Fernzugriff auch alle Daten auf iPhone, iPad und MacBook löschen ließen. Hätte er damals eine 2-Faktor-Authentifizierung (2FA) für sein Google-Konto genutzt, wären die Angreifer nach eigener Aussage des Journalisten nicht so weit gekommen.

Nur doppelt gesichert ist wirklich sicher

Die 2- bzw. Multi-Faktor-Authentifizierung ist mittlerweile schnell und einfach für Internet-User nutzbar und wird auch von den Großen wie Google oder Facebook schon angeboten. Nutzer erhalten dabei zusätzlich zum Login ein Einmal-Passwort auf ihr Smartphone und müssen dieses nur noch eingeben. Noch einfacher ist die 2FA-Push-Authentifizierung, bei der ein Klick auf „OK“ zur Bestätigung genügt. Ein sicheres Prinzip, das Angreifern ihre Angriffspunkte nimmt. Fragt sich also, warum die Zwei-Faktor-Authentifizierung nicht breiter von Webanbietern und Unternehmen eingesetzt wird. Vielleicht könnte ein „Use Your Second Factor“-Tag dazu beitragen, alle Beteiligten hierfür zu sensibilisieren.

Sie wollen sich selbst von einer 2- bzw. Multi-Faktor-Authentifizierung für Ihre digitalen Identitäten und Transaktionen überzeugen? Dann fordern Sie am Besten eine Teststellung an und lassen sich von einem unserer Experten beraten: https://info.keyidentity.com/teststellung

Feel free to share the newsShare on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Published by

Manuela Kohlhas

Head of Marketing at KeyIdentity