Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung

Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

[datensicherheit.de, 03.02.2025] „Passwörter haben ausgedient: Sie sind oft schwach, werden wiederverwendet oder sind leicht zu knacken!“, so kommentiert Simon McNally, „Solution Consultant Director for Workforce IAM, Europa“ bei Thales, den „Change your Password Day“ vom 1. Februar 2025. Er führt hierzu weiter aus: „Die durchschnittliche Person verwaltet sage und schreibe 100 Passwörter und verwendet daher Umgehungslösungen, wie die Wahl von leicht zu merkenden Passwörtern oder die Wiederverwendung desselben Passworts für mehrere Dienste. Klingt das bekannt? Das Hinzufügen eines ,!‘ ist nicht gut genug für jede Passwortänderung!“

foto: Thales

Simon McNally rät: Verwenden Sie eine einfache 2FA für mäßig sensible und eine erweiterte für hochsensible Konten!

McNally plädiert für Verwendung von Passkeys

Aus Anlass des „Change your Password Day 2025“ könne man nur die üblichen bewährten Verfahren empfehlen: „Zehn Zeichen, eine Mischung aus Buchstaben und Sonderzeichen, eine Passphrase anstelle eines Passworts“.

Aber McNally plädiert dafür, einen Schritt weiter zu gehen – hin zur Verwendung von Passkeys. Mittels Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und wesentlich sicherer.

„Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden, so dass keine langen, komplizierten Passwörter oder Phrasen mehr erstellt werden müssen.“ Ferner ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten.

Google, Amazon, Sony, Nintendo und Apple haben bereits Passkeys für Nutzer eingeführt

McNally berichtet: „Wir sehen bereits große Fortschritte in diesem Bereich: Google, Amazon, Sony, Nintendo und Apple haben alle Passkeys für Nutzer eingeführt. Diese Art von Entwicklung muss gefördert werden und deshalb sind wir der festen Überzeugung, dass es beim ,Change your Password Day’ darum gehen sollte, die Normen für Passwörter zu ändern!“

Der „Change Your Password Day 2025“ sei nun der perfekte Anlass, um Passkeys einzurichten, „wo immer es möglich ist“. Viele Unternehmen hätten bereits damit begonnen, sie als Standard zu verwenden. „Die Schritte zur Einführung von Passkeys hängen von den Konten ab, die man besitzt, und von den Websites, die man nutzt, aber im Großen und Ganzen gilt Folgendes:“

Überprüfung der Konten
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass ein Wechsel leicht möglich sei.

Passkeys auf den Geräten einrichten
„Unabhängig davon, ob es sich um ein Telefon, ein Tablet oder einen Computer handelt, kann in den Sicherheitseinstellungen nach einer Option zum Erstellen eines Passkeys gesucht werden.“ Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

Einrichten einer Authentifizierungsmethode
„Wenn das Gerät oder Betriebssystem dies unterstützt, sollte man eine Authentifizierungsmethode einrichten.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Unternehmen sollten Passkeys und phishing-resistente Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung einführen

Im Jahr 2025 müssten Unternehmen ihre Cyber-Sicherheit stärken, indem sie moderne Sicherheitspraktiken wie Passkeys und phishing-resistente Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) einführten, um eine sicherere, stärkere Authentifizierung nicht nur für einige wenige Mitarbeiter, sondern für alle zu gewährleisten.

Fast die Hälfte der Unternehmen habe laut der Thales-Studie 2024 zur „Cloud“-Sicherheit bereits eine Datenschutzverletzung in der „Cloud“ erlebt. Die Nichtverwendung der Multi-Faktor-Authentifizierung (MFA) sei ein wesentlicher Faktor bei 17 Prozent dieser Verstöße, was die dringende Notwendigkeit unterstreiche, über Passwörter hinauszugehen. Die Daten zeigten, dass die Zwei-Faktor-Authentifizierung (2FA) 99,9 Prozent der automatisierten Angriffe blockieren und Phishing-Versuche drastisch reduzieren könne.

Unternehmen müssten eine einfache 2FA, wie SMS oder Authentifizierungs-Apps, für mäßig sensible Konten wie Soziale Medien einführen. Für hochsensible Konten wie Bankgeschäfte, E-Mail oder Unternehmenszugänge seien fortgeschrittene 2FA-Methoden wie Sicherheitsschlüssel oder biometrische Verfahren entscheidend. „Dies ist eine einfache, aber wirksame Methode für Unternehmen, um die Daten ihrer Kundinnen und Kunden vor Cyber-Kriminellen zu schützen“, so McNally.

„Change your Password Day 2025“ wichtige Erinnerung daran, sich von der Ein-Faktor-Authentifizierung zu verabschieden

Der „Change your Password Day 2025“ sollte nun auch eine wichtige Erinnerung daran sein, „dass Unternehmen, die sich von der Ein-Faktor-Authentifizierung verabschieden, ihre Sicherheit erheblich verbessern können“. Unternehmen müssten umfassenden Sicherheitsmaßnahmen den Vorrang geben, um verheerende Cyber-Angriffe zu verhindern und ihren Kunden zu zeigen, dass sie sich für den Schutz ihrer Daten einsetzten – „ganz gleich, um welche Daten es sich handelt“.

Die Notwendigkeit einer Zwei-Faktor-Authentifizierung sei nicht verhandelbar: „Jeder, überall, muss sie für alle seine Konten und jedes Gerät aktivieren.“ Da KI Phishing immer raffinierter mache, sei eine fortschrittliche, phishing-resistente 2FA – wie Hardware-Sicherheitsschlüssel oder „FIDO2“-konforme Methoden – von entscheidender Bedeutung, insbesondere für den Zugriff auf sensible Systeme.

McNally rät abschließend: „Verwenden Sie eine einfache 2FA für mäßig sensible Konten wie Soziale Medien oder Online-Shopping und eine erweiterte 2FA für hochsensible Konten wie Bankgeschäfte, E-Mails oder Unternehmenszugänge, bei denen Datenschutzverletzungen schwerwiegende Folgen haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr