Gastkommentar: Traue keinem Passwort

Passwörter reichen als Schutz digitaler Identitäten nicht aus, sagt Anton Porok, Head of Channels & Alliances bei KeyIdentity. Das habe mittlerweile selbst der Sicherheitsberater eingesehen, der vor Jahren die heute geläufigen Passwortregeln erarbeitete.

Anton Porok, Head of Channels & Alliances bei KeyIdentity
(Foto: KeyIdentity)

Kennen Sie Bill Burr? Ich bin mir sicher, dass er stärker in Ihren Alltag eingreift, als Ihnen lieb sein dürfte. Der Mann, der bis vor Kurzem nur Security-Experten geläufig war, ist gerade in aller Munde. Denn er hat vor fast 15 Jahren als Sicherheitsberater von US-Behörden dafür gesorgt, dass wir heute hochkomplexe Passwörter aus kleinen und großen Buchstaben sowie Nummern und Sonderzeichen bauen müssen.

Inzwischen ist klar: Da sich Nutzer diese Zeichenwüsten nicht merken können, konstruieren sie Passwörter meist nach denselben Schemata. Diese lassen sich vergleichsweise einfach systematisch »erraten«. Grund genug, sich zu entschuldigen, was Bill Burr inzwischen auch medienwirksam getan hat.

Sein neuer Rat, einfach möglichst lange Passwörter wie zum Beispiel Sätze zu bilden, ist jedoch ebenso fragwürdig – Stichwort »Targeted Password Guessing«. Und hilft auch nicht bei Hackerangriffen weiter, zumal die meisten User oft dasselbe Passwort für verschiedene Accounts verwenden. So überrascht es nicht, dass gestohlene oder schwache Passwörter laut Verizon in 81 Prozent aller Fälle die Ursache für einen Hack sind.

Fakt ist: Passwörter sind heute weder dazu geeignet, die digitalen Identitäten von Kunden und Mitarbeitern zu schützen. Noch können sie Transaktionen absichern. Sie dennoch zu verwenden, ist höchst fahrlässig. Spätestens mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ist ein Umdenken gefragt.

Die Multi-Faktor-Authentifizierung (MFA) ist heute die einzige Möglichkeit, um Logins und Transaktionen wirklich sicher und nutzerfreundlich zu gewährleisten: Wird ein Login oder eine Transaktion angefragt, löst das MFA-System bei einer Push-Authentifizierung automatisch eine Sicherheitsabfrage aus – zum Beispiel über das Smartphone des Users oder des Vorgesetzten. Dieser bestätigt dann schnell und einfach auf Knopfdruck und erbringt damit den Berechtigungsnachweis. Ganz ohne eintippen oder auswendig lernen. Willkommen im 21. Jahrhundert!