2020, Blog

Die Sache mit dem Passwort

Das BSI hat seine Empfehlung für Passwörter geändert. Man soll jetzt nicht mehr regelmäßig ändern und die Komplexität soll wohl auch nicht mehr vorgeschrieben werden. Als ich den dazugehörigen Artikel auf heise.de gelesen habe, wunderte es mich, dass angeblich bereits seit längerer Zeit Experten diese Position vertreten. Ich vertrete die Ansicht, dass die Komplexität und eine regelmäßige Änderung notwendiger sind denn je.

Von Biometrie halte ich nicht viel. Meinen Fingerabdruck kann ich nicht wechseln, wenn, wie bereits geschehen, biometrische Datenbanken mal gehackt werden.

Zweifaktor Authentifizierung ist eine gute Sache. Bis zu dem Tag an dem die Daten ebenfalls bekannt sind, weil eine Datenbank nicht sicher war oder sogar manipuliert wurde. Unter perfekten Voraussetzungen ist 2FA für mich die beste Möglichkeit. Entweder ein zusätzlicher Code per E-Mail oder SMS. Beim Onlinebanking gibt es mittlerweile diesen Farbcodescanner, um eine TAN zu generieren. Bleibt für den Nutzer jedoch die Frage: Was passiert eigentlich, wenn meine 2FA nicht nutzbar ist, weil das Smartphone weg ist? SMS kann nicht gelesen werden. Die ScanApps müssen in der Regel erst am Gerät aktiviert werden. Oder was wäre, wenn der E-Mail-Dienst nicht erreichbar ist? In Notfällen? Dann ist 2FA ein Hindernis. Vielleicht wäre es sinnvoll ein eigenes kompliziertes Einmalpasswort festlegen zu können, um im Notfall Dienste nutzen zu können?

Eine regelmäßige Änderung von Passwörtern für wichtige Dienste sollte weiterhin empfohlen werden. Ich stimme zu, dass man mit einem sicheren Passwort lange auskommen kann. Leider aber sind wir alle immer mehr von der ominösen Cloud abhängig. Und die Cloud ist nicht sicher. Es sind ganz normale Internetdienste, die von ganz normalen Menschen administriert werden. Ein gehackter E-Mail-Anbieter der Adressen und Passwörter verliert, gibt in der Regel den Hack nicht gleich zu. Vielleicht bemerkt er ihn auch nicht. Und selbst wenn, das weiß ich selbst, muss man erstmal verstehen was passiert ist und ob man wirklich Opfer war. Das kann dauern. Ein regelmäßiger Wechsel, beugt Probleme vor. Das betrifft grundsätzlich jeden Dienst. Weil wir gerade nicht wissen wie sicher der Service ist, den wir nutzen, müssen wir wechseln. Ebenso wissen wir erst nach einem Hack, ob der Anbieter unsere Passwörter im Klartext speichert oder nicht. Seien wir ehrlich: Wir vertrauen viel zu vielen Anbietern. Ein bisschen Selbstschutz ist Pflicht.

Ist man Phishing-Opfer, Hacking-Opfer oder passives Opfer weil ein Dienst übernommen wurde und wir wissen es, dann ändern wir doch. Wie gut ist aber das Gefühl, wenn im Juni die Meldung kommt: Es tut uns leid, aber im Januar … Lücke aber sofort geschlossen … ändern Sie bitte. ?? Das Gefühl ist bestimmt besser, wenn man weiß, dass man durch regelmäßige Änderungen vorgebeugt hat. Passwörter ändern, ist wie Grippeschutzimpfung. Lästig, aber gut, wenn man es gemacht hat.

Ihr erinnert Euch sicher, dass Yahoo gehackt wurde, oder? Schlagzeilen aus dem Jahr 2017 wie, Zitat: „Alle Yahoo-Kunden im Jahr 2013 gehackt„.

Glaubt irgendwer, dass diese Probleme aufhören? Die Meldungen kamen vier Jahre zu spät. Wer vier Jahre nichts geändert hat, war ein offenes Buch.

Und jetzt mal Hand aufs Herz: Wer von Euch hat eine yahoo-Adresse und sein Passwort jemals geändert? Ich kenne viele Yahoo-Nutzer. Ich frage mich immer noch und stelle die Frage auch: Warum noch yahoo? Die Antwort ist klar: Ich habe da einfach alle meine E-Mails. Umzug ist so kompliziert. Und die Frage nach der Passwortänderung? Ja, sollte ich wohl mal machen. Passieren tut in der Regel nichts.

Passwörter für Dienste die den persönlichen Lebensbereich betreffen – und auch den Arbeitsbereich – müssen regelmäßig geändert werden. Punkt. Firmen dürfen sich den Quatsch nicht aufzwingen lassen. Wirtschaftsspionage wird so vereinfacht. Ändert bitte regelmäßig, was regelmäßig genutzt wird. Nehmt Euch einen Tag im Monat, oder alle drei Monate, oder meinetwegen auch nur einmal im Jahr. Es dauert eine Stunde und kann viel bewirken. Und bitte vergesst nicht, dass auch staatliche Stellen gerne an Passwörter gelangen wollen. Ein aktueller Vorschlag wird gerade diskutiert. Egal wer der Angreifer ist. Macht es ihnen nicht so leicht.

 

Das Passwort

 

This message goes only to me! Encrypted with PGP. | Diese Nachricht geht nur zu mir. Verschlüsselt mit PGP.
Tagged , , , , ,