Passwort- und Identitätssicherheit richtig umsetzen

Warum Identität das neue Perimeter ist

Klassische Schutzwälle wie Firewalls verlieren an Bedeutung, weil Anwendungen und Daten zunehmend in der Cloud liegen. Wer ein gültiges Passwort und einen zweiten Faktor besitzt, ist drin, egal von wo. Damit wird die Identität zur wichtigsten Verteidigungslinie.

Angreifer wissen das. Gestohlene oder erratene Zugangsdaten gehören zu den häufigsten Ursachen erfolgreicher Angriffe. Der Schutz von Konten ist deshalb keine Nebensache, sondern eine zentrale Aufgabe.

Was ein gutes Passwort ausmacht

Lange galt die Regel, Passwörter müssten möglichst kompliziert sein und häufig gewechselt werden. Aktuelle Empfehlungen sehen das anders: Länge schlägt Komplexität, und erzwungene regelmässige Wechsel führen oft zu schwächeren Passwörtern.

• Setzen Sie auf Länge: Eine Passphrase aus mehreren zufälligen Wörtern ist sicherer und besser merkbar als ein kurzes Zeichenwirrwarr.
• Jedes Konto erhält ein eigenes Passwort. Mehrfachnutzung ist die gefährlichste Gewohnheit überhaupt.
• Verzichten Sie auf erzwungene periodische Wechsel und wechseln Sie stattdessen anlassbezogen, etwa nach einem bekannt gewordenen Datenleck.

Der Passwort-Manager als Pflichtwerkzeug

Niemand kann sich Dutzende lange, einzigartige Passwörter merken. Genau dafür gibt es Passwort-Manager. Sie erzeugen starke Passwörter, speichern sie verschlüsselt und füllen sie automatisch aus.

Der Manager wird durch ein einziges, sehr starkes Master-Passwort geschützt, das Sie sich gut merken und niemals weitergeben. Diese eine Passphrase abzusichern ist wichtiger als alles andere.

• Wählen Sie eine etablierte Lösung mit Zero-Knowledge-Architektur, bei der der Anbieter Ihre Daten nicht entschlüsseln kann.
• Schützen Sie den Manager selbst mit Mehr-Faktor-Authentifizierung.
• Nutzen Sie die integrierte Prüfung auf schwache oder kompromittierte Passwörter.

Mehr-Faktor-Authentifizierung richtig einsetzen

Ein Passwort allein genügt nicht. Mehr-Faktor-Authentifizierung verlangt einen zweiten Nachweis, etwa einen Code aus einer App oder einen Hardware-Schlüssel. Selbst ein gestohlenes Passwort wird damit weitgehend wertlos.

Nicht alle Verfahren sind gleich sicher. Codes per SMS lassen sich abfangen oder umleiten. Bevorzugen Sie deshalb App-basierte Verfahren oder Hardware-Sicherheitsschlüssel.

• Aktivieren Sie Mehr-Faktor-Authentifizierung zuerst für E-Mail-Konten, denn sie sind der Schlüssel zum Zurücksetzen aller anderen Passwörter.
• Bevorzugen Sie Authenticator-Apps oder Hardware-Schlüssel gegenüber SMS.
• Hinterlegen Sie Wiederherstellungscodes an einem sicheren Ort, damit der Zugang bei Geräteverlust nicht verloren geht.

Passwortlose Verfahren und Passkeys

Die nächste Entwicklungsstufe sind Passkeys. Sie ersetzen das Passwort durch ein kryptografisches Schlüsselpaar, das an das Gerät gebunden ist. Es gibt nichts mehr, das abgephisht oder erraten werden kann.

Immer mehr Dienste unterstützen Passkeys. Wo sie verfügbar sind, lohnt sich der Umstieg, weil sie Komfort und Sicherheit zugleich erhöhen.

Richtlinien für das Unternehmen

Im Unternehmen muss Identitätssicherheit organisiert werden. Eine zentrale Verwaltung von Konten und ein klarer Prozess beim Ein- und Austritt von Mitarbeitenden verhindern verwaiste Zugänge, die ein beliebtes Ziel sind.

• Führen Sie einen Prozess ein, der Konten beim Austritt sofort deaktiviert.
• Setzen Sie Mehr-Faktor-Authentifizierung verbindlich für alle durch, nicht nur für Führungskräfte.
• Prüfen Sie regelmässig, welche Konten über erweiterte Rechte verfügen.