Sicherheitsforscher sagen jetzt, dass die Länge, Stärke und Komplexität von Passwörtern keine Rolle spielen.
Seit Jahren verteilen Tech-Websites die gleichen Passwort-Tipps, einschließlich der Verwendung lange und komplexe Passwörter. Die Schande daran ist, dass all diese Ratschläge über viele Jahre hinweg kaum oder gar keine Auswirkungen darauf hatten, wie ein durchschnittlicher Heimanwender seine Passwörter wählt. Was man nur als eine völlige Kehrtwende bezeichnen kann, ist der aktuelle Konsens unter Sicherheitsforschern, dass es in der realen Welt fast immer keine Rolle spielt, wie stark, lang oder komplex ein Passwort ist.
Vollständig Offenlegung: Teile dieses Artikels basieren auf dieser Malwarebytes-Blogartikel
Die häufigste Art von Passwortangriffen ist Credential Stuffing, bei dem Passwörter verwendet werden, die bei Datenschutzverletzungen gestohlen wurden. Es funktioniert, weil es so häufig vorkommt, dass Menschen dasselbe Passwort an zwei Stellen wiederverwenden, und die Passwortstärke hat keinerlei Einfluss darauf. Der zweithäufigste Angriff ist das Passwort-Spraying, bei dem Kriminelle kurze Listen mit sehr einfachen Passwörtern auf möglichst vielen Computern verwenden. In beiden Situationen ist ein lächerlich einfaches, aber einzigartiges Passwort gut genug, um den Angriff abzuwehren.
Es gibt seltene Arten von Angriffen – das Offline-Erraten von Passwörtern –, bei denen ein sicheres Passwort hilfreich sein könnte, aber der Kompromiss besteht darin Sichere Passwörter sind für Menschen viel schwieriger zu merken, was dazu führt, dass sie für alles dasselbe Passwort verwenden, was sie viel anfälliger für Credential Stuffing macht ~ <source>
Natürlich stellen Passwort-Manager eine sinnvolle Lösung dar, aber die Realität ist, dass die meisten Ihrer durchschnittlichen Heimanwender sie trotz all der jahrelangen positiven Bewertungen und Empfehlungen immer noch nicht verwenden. Was ist also die Antwort?
Zwei-Faktor-Authentifizierung (2FA)
Ich beginne mit dem Zitieren eines Auszugs aus einem Artikel aus dem Jahr 2019, verfasst von Alex Weinert von Microsoft, der sagt… „ Basierend auf unseren Studien ist die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, um mehr als 99,9 % geringer, wenn Sie MFA verwenden.
Alex nennt es MFA (Multi-Faktor-Authentifizierung) und Google nennt es 2SV (zweistufige Verifizierung), aber sie bedeuten alle genau das Gleiche – den Nachweis Ihrer Identität auf mehr als einem Wege.
Natürlich ist immer ein Passwort und ein sekundäres Identifikationsmittel erforderlich im Allgemeinen in Form eines eindeutigen 6-stelligen Codes, der an Ihr Telefon gesendet wird. Wenn ich in der Vergangenheit 2FA empfohlen habe, habe ich fast immer einen Kommentar von jemandem erhalten, der skeptisch gegenüber der Herausgabe seiner Mobiltelefonnummer ist, und ich kann es ihm nicht verübeln. Allerdings habe ich vor einiger Zeit 2FA (über meine Mobiltelefonnummer) für mehrere Konten eingerichtet und NIE Spam oder unerwünschte Nachrichten/Anrufe erhalten. Das einzige Mal, dass ich von diesen Konten höre, ist, wenn ich mich anmelde und 2FA ins Spiel kommt.
Mein Mobiltelefon ist immer in meinem Besitz und der Zugriff ist geschützt, daher ist es meiner Meinung nach ein äußerst sichere Methode, um sicherzustellen, dass niemand anderes auf meine Konten zugreifen kann. Ich habe immer gezögert, das Telefon oder mein iPad für Finanztransaktionen zu verwenden, aber mit 2FA habe ich keine solchen Bedenken. Wenn ich beispielsweise eine Zahlung über PayPal tätige, werde ich aufgefordert, durch Eingabe eines Bestätigungscodes fortzufahren. Ich bin gerne bereit, dem nachzukommen, in dem sicheren Wissen, dass nur ich diesen Code erhalten und eingeben kann, ganz gleich, wie sicher die Verbindung auch sein mag.
BOTTOM LINE:
Anscheinend war der 4. Mai der Weltpassworttag, was mir nicht bewusst war. Wenn Sie dieses Jahr jedoch nichts anderes tun, denken Sie bitte darüber nach, 2FA so bald wie möglich auf so vielen Konten wie möglich einzurichten. 2FA, MFA, 2SV, wie auch immer sie es nennen wollen, ist absolut die beste Methode zum Schutz Ihrer Konten, viel effektiver als ein Passwort allein, unabhängig von seiner Stärke oder Komplexität.
Einige Konten bieten 2FA als optional, andere überhaupt nicht, aber meiner bescheidenen Meinung nach sollte 2FA eine zwingende Voraussetzung für alle Online-Konten sein.
—
