Der World Password Day möchte uns an den Nutzen von Passwörtern zum Schutz unserer geschäftlichen und privaten Daten erinnern. LastPass ruft dieses Jahr den World Password(less) Day aus, und zwar in Vorfreude auf eine Zukunft ganz ohne Passwörter.
War das Thema unseres letzten Beitrags die Geschichte des Passworts, so soll es in diesem Beitrag um das Heute gehen: Wie sicher sind Passwörter aktuell? Wo lauern Risiken? Wie beeinträchtigen riskante Passwortgewohnheiten die Sicherheit unseres digitalen Lebens?Wir richten außerdem den Blick auf das nächste Kapitel der Passwortgeschichte: die passwortfreie Ära, der wir uns in großen Schritten nähern.
Passwortsicherheit: der Status quo
Passwörter gibt es schon seit den 1960er-Jahren, und viel hat sich an ihnen nicht geändert, wie es scheint. Doch ganz so ist es nicht. In den letzten Dekaden haben die Raffinesse von Hackerangriffen und die durch sie verursachten Schäden zugenommen. Diese Entwicklung hat auch die Passwortsicherheit mehr und mehr vorangetrieben.
Viele von uns speichern und verwalten inzwischen ihre Zugangsdaten sicher in einem Passwort-Manager und schützen ihre Konten ergänzend mit Multifaktor-Authentifizierung. Richtig gute Passwort-Manager verschlüsseln Passwörter außerdem. Wenn sie dann doch einmal in die Hände Unbefugter gelangen, können diese nichts damit anfangen.
Wenn Sie einen Passwort-Manager nutzen, wissen Sie bereits, wie wichtig eine möglichst lückenlose Absicherung des zugehörigen Vaults ist.
Je höher die Anzahl an Runden oder Passwortiterationen in diesem Prozess, desto schwerer wird es für Angreifer, über einen Brute-Force-Angriff an Ihr LastPass-Konto zu gelangen. Auch bei der heutigen hohen Rechenleistung moderner Computer lässt sich so weiterhin eine gute Passwortsicherheit gewährleisten und wachsenden Cybergefahren die Stirn bieten.
Welchen Gefahren sind Passwörter heute ausgesetzt?
An Passwörter gelangen, in Konten eindringen und Schaden anrichten können Kriminelle auf verschiedenen Wegen. Verbreitet sind unter anderem die folgenden Methoden:
- Brute-Force-Angriffe sind nicht sonderlich raffiniert, funktionieren aber nach wie vor – besonders dann, wenn Sie nicht alle Ihre Konten mit starken oder komplexen Passwörtern schützen. Bei Brute Force werden auf Basis statistischer Wortlisten alle möglichen Zeichenkombinationen automatisiert so lange durchgespielt, bis ein Treffer dabei ist.
- Social-Engineering-Angriffe, etwa Phishing, nutzen menschliche Schwächen aus und bringen Benutzer dazu, den Zugriff auf ihre Daten selbst zu geben (etwa durch die Eingabe von Zugangsdaten auf einer vermeintlich seriösen, in Wahrheit jedoch bösartigen Website).
- Credential Stuffing: Hier kommen Zugangsdaten zum Einsatz, die Hacker selbst erbeutet oder im Darkweb gekauft haben. Hat ein Hacker eines Ihrer Passwörter, so probiert er dieses bei all Ihren restlichen Konten aus. Für Credential Stuffing sind Sie also besonders anfällig, wenn Sie dasselbe Passwort für mehrere Konten verwenden, weshalb Sie das besser nicht tun – ganz besonders nicht mit dem Master-Passwort Ihres Vaults.
- Bei Keylogger-Angriffen wird auf Ihrem Computer oder Mobilgerät Spyware installiert, die Ihre Tastatureingaben registriert. So gelangen Hacker an Ihre Passwörter und können mit diesen in Ihre Konten eindringen. Um das Risiko von Keylogging zu senken, vermeiden Sie möglichst eine Anmeldung in nicht passwortgeschützten oder öffentlichen WiFi-Netzwerken.
- Beim Shoulder Surfing positioniert sich ein Angreifer so, dass er auf Ihren Gerätebildschirm blicken kann, während Sie Zugangsdaten eingeben, oder er schließt aus Ihren Fingerpositionen und Handbewegungen auf die Tastenkombination, die Sie eingeben.
