Eine Kolumnistin schrieb über das Bedürfnis, sich "leicht zu merkende" Passwörter auszudenken. Ganz blöde Idee auf so vielen Ebenen.
[veröffentlicht am 07.05.2025]
Die Kolumne von Fr. Rolfs kommt zwar im humoristischen Gewand daher, aber die Kernaussage dahinter ist eine gefährliche Verharmlosung der falschen Benutzung von Passwörtern. Sie fabuliert, dass Menschen sich “einfache” Passwörter ausdenken und natürlich dann überall dasselbe, leicht zu merkende Passwort verwenden, weil es ja so anstrengend sei, für regelmäßige Passwortänderungen immer wieder “gute” Passwörter zu finden. Dieses Konzept ist grundfalsch.
Erstens ist es falsch, sich selbst als Mensch ein “gut zu merkendes” Passwort auszudenken. Darin sind Menschen nicht gut. “Gut zu merken” ist ein Synonym für “schlechtes, leicht ermittelbares Passwort”. Mittlerweile sind Passwortgeneratoren in jedem Handy und in jedem Browser enthalten und es gibt spezielle Software, die richtig gute zufällige Passwörter zusammenbauen kann. Niemand muss sich heutzutage mehr Passwörter selbst merken!
Zweitens ist es falsch, regelmäßige Passwortänderungen zu erzwingen (leider machen das gerade viele Firmen immer noch falsch, monatlich oder im Quartal neue Passwörter zu verlangen). Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schreibt seit längerem, dass die Sicherheit von der Länge des Passworts abhängt und gerade nicht vom regelmäßigen Wechsel. Es schlägt sogar vor, dass Passwörter nur bei Verdacht auf Kompromittierung geändert werden sollten. Im BSI-Grundschutz Punkt ORP4.A23 heißt es ausdrücklich: "IT-Systeme oder Anwendungen sollten Anwender nur mit einem validen Grund auffordern, das Passwort zu wechseln, reine zeitgesteuerte Wechsel werden nicht empfohlen."
Drittens ist es seit Jahren gängige Praxis, einen zweiten Faktor zu verwenden, z.B. einen PIN-Generator wie den Google oder Microsoft Authenticator auf dem Handy (2FA). SMS als zweiten Faktor sollte man vermeiden, da SMS ungeschützt übermittelt werden und mehrere Arten von Angriffen möglich sind. Mit diesem zweiten Faktor wird das Eindringen und Hacken deutlich erschwert. Dieses Verfahren sollte überall zwingend eingesetzt werden.
Google, Apple und viele andere Firmen empfehlen mittlerweile statt Passwörtern die sog. “Passkeys” zu verwenden, die das eigene Gerät nie verlassen, sondern nur mit einem mathematischen Verfahren “beweisen”, das der Inhaber legitim handelt. Hier sollte man überlegen, ob man sich an das Ökosystem von Android bzw. Apple bindet und die Passkeys direkt auf dem Smartphone speichert, man eine Drittanbietersoftware wie z.B. “1Password” oder sogar spezielle Zusatzgeräte wie USB-Sticks mit “Fido2”-Technik verwendet. Letztere erleichtern den Wechsel des Geräts bei Verlust oder Neuanschaffung und auch den Wechsel von einem Hersteller zu einem anderen.
Insgesamt bleibt zu wünschen, dass sich Kolumnisten auch bei Beiträgen mit humoristischen Hintergrund auf ihr Fachgebiet beschränken sollten und nicht bei Ausflügen in fachfremde Gebiete verklausuliert Empfehlungen aussprechen, die bei Laien einen falschen Eindruck hervorrufen könnten und die Sicherheit ihrer Geräte verschlechtert.
Keine Kommentare:
Kommentar veröffentlichen