#209 Was denn? Schon wieder Passwort-wechsel-Tag? Ja, wie alle Jahre am ersten Donnerstag im Mai, also am 05.05.2022, ist World Password Day!

#209 Was denn? Schon wieder Passwort-wechsel-Tag? Ja, wie alle Jahre am ersten Donnerstag im Mai, also am 05.05.2022, ist World Password Day!

Der ichbindochnichthierumbeliebtzusein.com PodCast
12 Minuten
Podcast
Podcaster

Beschreibung

vor 2 Jahren
Was denn? Schon wieder Passwort-wechsel-Tag? Ja, wie alle Jahre am
ersten Donnerstag im Mai, also am 05.05.2022, ist World Password
Day!


Es ist noch gar nicht so lange her, dass ich euch den ersten
Februar des Jahres als "Ändere Dein Passwort Tag" vorgestellt
habe. Und, ohne Panikmache, habe ich versucht, euch
klarzumachen, dass die gängigsten Tricks, die uns die letzten
Jahre begleitet haben und uns immerhin ein paar "Merkregeln"
für gute Passwörter geliefert haben, nicht mehr gelten. Hacker
haben aufgerüstet, die Technik kann mehr als sonst - und das
wird hierbei gegen uns angewendet. Echte Sicherheit bietet nur
ein zweiter Schlüssel - umso besser, dass Microsoft, Google und
Apple vor ein paar Tagen angekündigt haben, auf das Passwort
künftig verzichten zu wollen... und ja, zum Wohle der
Sicherheit... WAS BITTE?
FIDO-Keys in verschiedener Ausführung / Bild-/Quelle: privat

Ich hatte auch im jährlichen Blogpost und Podcast zum "Ändere
Dein Passwort"-Tag Anfang Februar bereits darauf hingewiesen,
dass Phishing, Social Engineering und klassisches Hacken mit
höchster IT-Power oder wirklich gute und echt wirkende
Spam-Mails in Kombination mit einem deiner schwachen Passwörter
ein echtes Risiko für Accounts aller Art darstellen.


Vorbei die Zeiten, wo zuerst die E-Mail gehackt wird, um dann
bei Versandhäusern die Passwort-Reset-E-Mail abzufordern, ohne
dass du es merkst. Heutzutage existieren riesige Datenbestände,
die teils aufgedeckt, teils unter dem Darknet schlummern und,
rein statistisch, mindestens eine Kombi aus einer deiner
E-Mails und dem zugehörigen Passwort im Klartext kennt. 


Auch werden Anhänge, die sich selbst installieren und jeden
Tastendruck in Echtzeit um die Welt schicken oder mittlerweile
richtig gut und echt klingende, eben mit den korrekten
Deutschkenntnissen ausgestattete Spam-Mails verschickt, die nur
auf ihre Opfer warten. 


Da sollten die Zeiten von 12345 als Passwort vorbei sein - und
doch ist es immer noch eins der meistgenutzten und gehackten
Passwörter. Dabei, und nun ein kleines Dankeschön an Intel für
die Erfindung des Ändere-Dein-Passwort-Tages, immer am ersten
Donnerstag im Mai. Also dieses Jahr passenderweise am 05.05.


Auch passend dazu haben die drei großen, Google, Microsoft und
Apple angekündigt, dass Passwort abzuschaffen. Bleibt
entspannt, das ist nichts, was in der Folgewoche live und aktiv
geschaltet wird, aber es ist eine sichere, nein, eine sicherere
Perspektive, als sich dauernd selbst neue Passwörter zu
überlegen. Oder einen Passwortmanager dazu zu verwenden. 


Und es ist nicht neu. Nur leider wird es noch zu wenig
angewandt: der zweite Faktor. Und wie es der Zufall will, haben
die drei, also, von zweien, nämlich Google und Microsoft weiß
ich es mit Sicherheit, bei Apple... keine Ahnung... bereits
mindestens eine Lösung am Start. Microsoft dürfte noch die
jüngste Anwendung haben, die auf dem Handy einen Code, der am
Rechner angezeigt wird, zur Bestätigung nochmals bestätigt oder
eine Zahl von dreien angetippt haben will. In Redmond arbeitet
man aber mit Hochdruck daran, die aktuelle App zu einem
kompletten Passwortmanager auszubauen. Die App heißt
Authenticator.


Auch Google hat schon lange einen 2FA-Dienst kostenfrei im
Angebot. Auch diese heißt einprägsam Google Authenticator. Hier
können neben Google alle weiteren kompatiblen Dienste, sei es
dein E-Mail-Anbieter oder auch ein Onlineshop oder ein weiteres
Login wie bei WordPress hinterlegt werden. Im Minutentakt
ändert sich ein sechsstelliger Code, der auch Service-seitig
entsprechend abgeglichen werden kann. Nur so kommst du, neben
Eingabe von Nutzername - der übrigens auch mit gewisser
Vorsicht und nicht nur "einem für alles" im Netz benutzt werden
sollte! - und deinem Passwort einen entsprechenden Code, der
dir dann den Zugang zu deinem Dienst oder Account ermöglicht.


Da dieser Code für jeden Account nur einmal abgerufen und in
eine App gebracht werden kann, muss man dir schon das Handy aus
der toten Hand schneiden, wohingegen dein Passwort gephished
oder in den meisten Fällen nach ein wenig Social Engineering
erraten werden kann. Oder eine Serverfarm von amazon, die man
für ein paar Cent mieten kann, hat es in unter fünf Minuten
geknackt.


Du bist also schon ganz vorne mit auf der sicheren Seite, wenn
du neben stetig wechselnden Nutzernamen und individuellen
Passwörtern je Login einen zweiten Faktor über eine
Authentifikation-App nutzt. 


Aber legen wir noch eine Schippe drauf, die das Abschaffen des
Passworts mit begünstigen wird: der physikalische Schlüssel.
Aktuell hat sich FIDO2 als Quasi-Standard schon im Markt
etabliert, zwei prominente Vertreter haben so gut wie jedes
Format mit jedem erdenklichen Funktionsumfang im Angebot:
Yubico, von denen ich seit Jahren drei unterschiedliche
Schlüssel benutze oder der direkte Mitbewerber, bei dem ich
heute eher zuschlagen würde - aber nur aus persönlicher
Präferenz, nicht, weil sie besser wären! -: Trustkey.


Ich habe euch bei beiden Anbietern eines der
USB-A-Einsteigermodelle verlinkt. Ihr kennt mich, amazon Junkie
und so, daher ratet mal, wo die Links hingehen? Genau... wir
verstehen uns!


Und wer glaubt, dass 30 Euro eine Menge Holz sind, sollte sich
die Produktpaletten ansehen: Yubico geht so richtig in teuer,
Trustkey kostet zwar nur die Hälfte mit dem Bio-Topfmodell,
aber auch da sind über 50 Euro für "nur" einen USB-Schlüssel
weg.


Allerdings: was für ein Schaden würde dir entstehen, wenn ein
Eindringlich sich einen Tag völlig ungehindert in deiner
E-Mail, facebook/meta/instadings, amazon Konto, Online-Banking
und auch noch in deiner Cloud austoben könnte? Weil du überall
den gleichen Nutzernamen hast und das Passwort nur zehn Stellen
hat und zum Schluss einfach eine Nummer von  1-6
hochgezählt wird? Also bei mir wären es definitiv mehr als 50
Euro Schaden... andererseits könnte mir der Eindringlich aus
Mitleid gerne was aufs Online-Konto packen... aber
erfahrungsgemäß passiert sowas leider nie...!


Aber zurück zum Thema: 
Erst das schlechte Gewissen: Wenn du, meinem Blog-Pod vom
Februar folgende, deine Passwörter geändert hast, ist JETZT die
beste Zeit, es erneut zu tun. Und zwar nach all den Regeln, die
ich im Februar geschrieben hatte! Und, wo immer möglich, mit
zweitem Faktor aktiv!


Und klar ist eine Authenticator-App super! Aber wie wäre es mit
einem Schlüssel, der erst deinen Fingerabdruck bestätigen und
scannen muss, also, andersrum, aber ihr versteht mich schon,
bevor er den Codeschnipsel zur Freigabe des virtuellen Eingangs
in deinen Account ermöglicht?! Und ich sage es erneut: auch
trotz Stick nicht schludern! Individuelle Benutzernamen und,
solange sie noch da sind, moderne Passwörter mit 25 und mehr
Zeichen, am besten per Passwortmanager.


Und dann warten wir mal ab, was Google, Microsoft und Cupertino
noch so alles einfällt, auf dem Weg in die Passwort-freie
Zukunft. Und, ich habe da schon so eine Vermutung, wer wieder
sein eigenes Süppchen kochen wird. 


Nichtsdestotrotz wird es auch ohne Passwort sicherer, weil auch
hier die menschliche Komponente wieder ein Stückchen
rausgenommen wird. Und eben ein fälschungssicherer und auch auf
Open-Source basierender USB-Stick die Aufgabe übernimmt.


Ich freue mich schon drauf! Also, passt auf eure Passwörter und
Zugangsdaten auf. Und beginnt gleich heute noch, die alle mal
zu ändern!


 
PodCast abonnieren: | direkt | iTunes | Spotify | Google |
amazon | STOLZ PRODUZIERT UND AUFGENOMMEN MIT Ultraschall5
Folge direkt herunterladen

Kommentare (0)

Lade Inhalte...

Abonnenten

15
15
:
: