Der Beirat des BSI warnt vor überkomplexen Passwörtern sowie der ständigen Erneuerung. Hingegen empfiehlt dieser Passwort-Manager und Zwei-Faktor-Authentifizierung (2FA). Nicht zu empfehlen sind sowohl sehr komplexe Kennwörter, ebenso wie sehr einfache. Zudem warnen die Experten davor, Benutzer regelmäßig zur Passwortänderung zu zwingen. Dies würde häufig dazu führen, dass User dann einfach zu erratende Iterationen eintragen, wie die Forschung seit Jahren bestätigt.
Zudem moniert der Beirat in seinen Handlungsempfehlungen zu Sicherheit bei Passwörtern, dass von Geräteherstellern oftmals Standardpasswörter hinterlegt werden. Die Verbraucher tragen dann das Angriffsrisiko, wenn diese die Passwörter ändern.
Zwei-Faktor-Authentifizierung (2FA)
In vielen Fällen verwenden User "häufig noch zu schwache Passwörter". In solchen Fällen hilft eine Zwei-Faktor-Authentifizierung (2FA). Dabei ist es ratsam, den zweiten Faktor nicht über anfällige Übertragungswege wie E-Mail oder SMS zu übermitteln. Neutrale Apps wie Authy, Microsoft Authenticator oder Google Authenticator können eine sichere Zwei-Faktor-Authentifizierung bereitstellen. Doch eine Zwei-Faktor-Authentifizierung allein reicht nicht aus. Diese sollte man mit weiteren Maßnahmen begleiten, wie beispielsweise eine Begrenzung der maximalen Sitzungsdauer oder ein Verbot paralleler Sitzungen. Ferner ist zu empfehlen, für den zweiten Faktor ein zweites Device zu verwenden: Bei einer Desktop-Anwendung zum Beispiel ein Mobiltelefon.
Kennungen sollten einzigartig sein
Bewährte Praxis ist die Einzigartigkeit der Kennungen. Für jedes Konto soll also ein anderes Passwort und im Idealfall auch ein anderer Username verwendet werden. Überkomplexe Passwörter mit zufälliger Zeichenfolge sind zumeist nicht optimal. Diese kann ein User sich nur schwer merken. Dagegen sind längere Passwörter aus Phrasen, die besser merkbar sind, eine gute Alternative. Eine weitere Methode ist, für das Passwort einen langen Satz zu nehmen und sich von jedem Wort den Anfangsbuchstaben zu merken. Ein Beispiel wäre hier: “Guten Tag, mein Name ist John und ich merke mir das Passwort sehr gerne, Ist doch klar”. Das Passwort wäre somit: “GTmNiJuimmdPsgIdk” Die Groß- und Kleinschreibung kann man dabei noch zusätzlich variieren oder Zahlen und Sonderzeichen hinzufügen.
Schutz von Zugangsdaten ist nicht trivial
Der Schutz von Zugangsdaten ist dabei keine triviale Aufgabe. Für Mitarbeiter gibt es viele Situationen, in denn mit Aufmerksamkeits- und Zeitknappheit zu kämpfen ist. Diese Herausforderung sollte man anerkennen. Die Kommunikation zum Thema Passwörter soll User nicht überfordern. Das Aufschreiben von Kennungen sollte daher nicht als per se negativ dargestellt werden. Besser ist es dagegen, Hinweise zu geben, wie User ihre Passwörter sicher auf Papier verwahren können.
Passwortmanager als Mittel gegen Phishing?
Viele Unternehmen verwenden mittlerweile Passwortmanager zur Aufbewahrung von Passwörtern und Kennungen. Der Vorteil ist hier, dass sich User komplizierte Kennwörter nicht merken müssen. Ein Nachteil ist allerdings, dass man nach der Eingabe eines Masterpassworts Zugriff auf sämtliche im Passwortmanager gespeicherten Einträge hat. Das Masterpasswort zum Passwortmanager sollte also eher Komplex sein und mit Bedacht gewählt werden.