(pressebox) (Wiesbaden, 29.04.2025) Eigentlich braucht es keinen Aufhänger, um am Weltpassworttag (1. Mai) auf die Bedeutung eines gut gewählten Passworts aufmerksam zu machen. Aber angesichts zunehmender Phishing-Angriffe holt Sophos das Thema noch einmal in die erste Reihe, denn: wenn es nach Chester Wisniewski, Director, Global Field CISO, geht, könnte es obsolet werden.

Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie 6-stellige Codes per SMS oder in Apps oder Push-Benachrichtigungen greifen angesichts der Raffinesse der heutigen Cyberkriminellen zu kurz. Der nächste Schritt heißt phishing-resistente MFA wie FIDO2 und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben. Für die meisten Einzelpersonen ist die Verwendung von Passkeys der einfachste Ansatz, da die Technologie in der Mehrheit der mobilen Geräte und Desktop-Browsern, Passwortmanagern und Betriebssystemen integriert ist.

Für Hochsicherheitsumgebungen wird die Verwendung von Smartcards oder Hardware-Tokens empfohlen, die mit einer PIN oder einem biometrischen Merkmal entsperrt werden müssen. Für die meisten von uns sind Passkeys, die mit den biometrischen Daten unserer Geräte entsperrt werden, die naheliegende und einfache Art der Authentifizierung. Die Authentifizierung an PC oder mobilen Geräten mit eigenem Fingerabdruck oder „Gesichtsabdruck“ wird den Nutzer in Sekundenschnelle sicher bei seinen sozialen Medien, Finanzinstituten oder E-Mail-Konten anmelden, ohne dass er sich mit Passwörtern herumschlagen muss.

Für diejenigen, die den Wechsel zu Tokens und Passkeys aber noch nicht vollzogen haben, hier drei nützliche, schnell umzusetzende Tipps für ein sichereres Passwort:

1. Jede Seite mit einem eigenen Log-In benötigt ein eigenes Passwort. Das kann mit kleinen Veränderungen wie Zahlen, Sonderzeichen, etc. gelingen.
2. Ein Passwort am besten „anreichern“, sprich: man wählt ein Grundwort und addiert Zahlen, Sonderzeichen und Großbuchstaben dazu. Noch besser wäre eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ohne Wortbedeutung. Das kann man sich natürlich unmöglich alles merken, daher:
3. Einen bewährten Passwortmanager nutzen, der wie ein Hausmeister alle Schlüssel parat hat. Hier muss sich der Nutzer nur ein Generalpasswort ausdenken und merken.