Tipps für sichere Passwörter
Das Wichtigste: 2FA
Die wichtigste Schutzmassnahme überhaupt ist jedoch die 2FA, die Zwei-Faktor-Authentisierung. Wenn sie aktiviert ist, reichen Benutzername und Kennwort nicht mehr aus, um sich bei einem Dienst anzumelden. Stattdessen benötigen Sie einen zweiten Faktor. Das kann eine SMS sein, eine Push-Benachrichtigung oder das berühmt-berüchtigte «gelbe Kästchen» der PostFinance: Sie müssen sich bei PostFinance zwar mit Name und Kennwort anmelden. Doch selbst wenn diese Hürde genommen ist, müssen Sie sich jetzt mit der Zugangskarte und dem Kästchen autorisieren, Bild 8. Das ist in diesem Fall der zweite Faktor.
Damit verliert die Komplexität des Kennworts nahezu jede Bedeutung. Selbst wenn Sie bei einem Dienst ein schwaches Passwort wählen und dieser Dienst einem Datendiebstahl zum Opfer fällt, sind Ihre Daten sicher. Denn ohne den zweiten Faktor bleibt dem Datendieb der Zugang verwehrt. Es kommt nicht von ungefähr, dass alle grossen Dienste immer vehementer dazu drängen, die 2FA zu aktivieren – und sie haben recht.
Andere Dienstleister, allen voran die Banken, machen die 2FA seit jeher zur Pflicht: früher mit Streichlisten, dann mit Zugangskarten und Kartenleser. Heute bietet sich vor allem das Smartphone dafür an, die Rolle des zweiten Faktors zu übernehmen. Und so paradox es klingt: Sie können für das heilige Onlinebanking ein so unanständig schwaches Kennwort verwenden, wie die Bank es nur zulässt. Nach drei bis fünf fehlgeschlagenen Versuchen ist sowieso Schluss. Doch selbst wenn der Eindringling diese Hürde nimmt, scheitert er am zweiten Faktor.
Zur «Watchtower»-Funktion von 1Password gehört auch die Prüfung, ob ein Dienst eine 2FA anbietet und Sie diese nicht nutzen. Bereinigen Sie Ihre Logins und aktivieren Sie die 2FA überall dort, wo es für Sie wichtig ist. Das Kennwort 123 mit aktivierter 2FA ist unendlich viel sicherer als ein Rattenschwanz aus 20 gemischten Zeichen, der nicht durch die 2FA zusätzlich abgesichert ist.
Die Schwachstelle der 2FA
Die einzige Schwachstelle ist der Mensch. Achten Sie darauf, wo und wie Sie eine Website aufrufen, die mit 2FA abgesichert ist. Wenn Sie sich an einem öffentlichen PC anmelden, prüfen Sie die Optionen. Manchmal sehen Sie Markierungsfelder wie Diesem Computer vertrauen – und die sollten Sie natürlich ignorieren. Die Funktion dient dazu, dass Sie an Ihrem eigenen Gerät nicht jedes Mal die 2FA durchlaufen müssen – aber sie wird eine Schwachstelle, wenn Sie einen fremden Rechner als vertrauenswürdig markieren.
16.12.2020
16.12.2020