{"id":7255,"date":"2022-05-18T15:15:00","date_gmt":"2022-05-18T13:15:00","guid":{"rendered":"https:\/\/ichbindochnichthierumbeliebtzusein.com\/?p=7255"},"modified":"2022-05-18T15:15:00","modified_gmt":"2022-05-18T13:15:00","slug":"was-denn-schon-wieder-passwort-wechsel-tag-ja-wie-alle-jahre-am-ersten-donnerstag-im-mai-also-am-05-05-2022-ist-world-password-day","status":"publish","type":"post","link":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/2022\/05\/18\/was-denn-schon-wieder-passwort-wechsel-tag-ja-wie-alle-jahre-am-ersten-donnerstag-im-mai-also-am-05-05-2022-ist-world-password-day\/","title":{"rendered":"Was denn? Schon wieder Passwort-wechsel-Tag? Ja, wie alle Jahre am ersten Donnerstag im Mai, also am 05.05.2022, ist World Password Day!"},"content":{"rendered":"

Es ist noch gar nicht so lange her, dass ich euch den ersten Februar des Jahres als „\u00c4ndere Dein Passwort Tag<\/a>“ vorgestellt habe. Und, ohne Panikmache, habe ich versucht, euch klarzumachen, dass die g\u00e4ngigsten Tricks, die uns die letzten Jahre begleitet haben und uns immerhin ein paar „Merkregeln“ f\u00fcr gute Passw\u00f6rter geliefert haben, nicht mehr gelten. Hacker haben aufger\u00fcstet, die Technik kann mehr als sonst – und das wird hierbei gegen uns angewendet. Echte Sicherheit bietet nur ein zweiter Schl\u00fcssel – umso besser, dass Microsoft, Google und Apple vor ein paar Tagen angek\u00fcndigt haben, auf das Passwort k\u00fcnftig verzichten zu wollen… und ja, zum Wohle der Sicherheit… WAS BITTE?<\/i><\/p>\n

\"FIDO-Keys
FIDO-Keys in verschiedener Ausf\u00fchrung \/ Bild-\/Quelle: privat<\/figcaption><\/figure>\nhttps:\/\/zopb4l.podcaster.de\/download\/209_20220512_ichbindochnichthierumbeliebtzusein_com_Schon_wieder_Passwort_Wechsel_Tag.mp3<\/a><\/audio>\n

<\/p>\n

Ich hatte auch im j\u00e4hrlichen Blogpost und Podcast zum „\u00c4ndere Dein Passwort“-Tag<\/a> Anfang Februar bereits darauf hingewiesen, dass Phishing, Social Engineering und klassisches Hacken mit h\u00f6chster IT-Power oder wirklich gute und echt wirkende Spam-Mails in Kombination mit einem deiner schwachen Passw\u00f6rter ein echtes Risiko f\u00fcr Accounts aller Art darstellen.<\/p>\n

Vorbei die Zeiten, wo zuerst die E-Mail gehackt wird, um dann bei Versandh\u00e4usern die Passwort-Reset-E-Mail abzufordern, ohne dass du es merkst. Heutzutage existieren riesige Datenbest\u00e4nde, die teils aufgedeckt<\/a>, teils unter dem Darknet schlummern und, rein statistisch, mindestens eine Kombi aus einer deiner E-Mails und dem zugeh\u00f6rigen Passwort im Klartext kennt.\u00a0<\/p>\n

Auch werden Anh\u00e4nge, die sich selbst installieren und jeden Tastendruck in Echtzeit um die Welt schicken oder mittlerweile richtig gut und echt klingende, eben mit den korrekten Deutschkenntnissen ausgestattete Spam-Mails verschickt, die nur auf ihre Opfer warten.\u00a0<\/p>\n

Da sollten die Zeiten von 12345 als Passwort vorbei sein – und doch ist es immer noch eins der meistgenutzten und gehackten Passw\u00f6rter. Dabei, und nun ein kleines Dankesch\u00f6n an Intel f\u00fcr die Erfindung des \u00c4ndere-Dein-Passwort-Tages, immer am ersten Donnerstag im Mai. Also dieses Jahr passenderweise am 05.05.<\/p>\n

Auch passend dazu haben die drei gro\u00dfen, Google, Microsoft und Apple angek\u00fcndigt, dass Passwort abzuschaffen. Bleibt entspannt, das ist nichts, was in der Folgewoche live und aktiv geschaltet wird, aber es ist eine sichere, nein, eine sicherere Perspektive, als sich dauernd selbst neue Passw\u00f6rter zu \u00fcberlegen. Oder einen Passwortmanager dazu zu verwenden.\u00a0<\/p>\n

Und es ist nicht neu. Nur leider wird es noch zu wenig angewandt: der zweite Faktor. Und wie es der Zufall will, haben die drei, also, von zweien, n\u00e4mlich Google und Microsoft wei\u00df ich es mit Sicherheit, bei Apple… keine Ahnung… bereits mindestens eine L\u00f6sung am Start. Microsoft d\u00fcrfte noch die j\u00fcngste Anwendung haben, die auf dem Handy einen Code, der am Rechner angezeigt wird, zur Best\u00e4tigung nochmals best\u00e4tigt oder eine Zahl von dreien angetippt haben will. In Redmond arbeitet man aber mit Hochdruck daran, die aktuelle App zu einem kompletten Passwortmanager auszubauen. Die App hei\u00dft Authenticator.<\/p>\n

Auch Google hat schon lange einen 2FA-Dienst kostenfrei im Angebot. Auch diese hei\u00dft einpr\u00e4gsam Google Authenticator. Hier k\u00f6nnen neben Google alle weiteren kompatiblen Dienste, sei es dein E-Mail-Anbieter oder auch ein Onlineshop oder ein weiteres Login wie bei WordPress hinterlegt werden. Im Minutentakt \u00e4ndert sich ein sechsstelliger Code, der auch Service-seitig entsprechend abgeglichen werden kann. Nur so kommst du, neben Eingabe von Nutzername – der \u00fcbrigens auch mit gewisser Vorsicht und nicht nur „einem f\u00fcr alles“ im Netz benutzt werden sollte! – und deinem Passwort einen entsprechenden Code, der dir dann den Zugang zu deinem Dienst oder Account erm\u00f6glicht.<\/p>\n

Da dieser Code f\u00fcr jeden Account nur einmal abgerufen und in eine App gebracht werden kann, muss man dir schon das Handy aus der toten Hand schneiden, wohingegen dein Passwort gephished oder in den meisten F\u00e4llen nach ein wenig Social Engineering erraten werden kann. Oder eine Serverfarm von amazon, die man f\u00fcr ein paar Cent mieten kann, hat es in unter f\u00fcnf Minuten geknackt.<\/p>\n

Du bist also schon ganz vorne mit auf der sicheren Seite, wenn du neben stetig wechselnden Nutzernamen und individuellen Passw\u00f6rtern je Login einen zweiten Faktor \u00fcber eine Authentifikation-App nutzt.\u00a0<\/p>\n

Aber legen wir noch eine Schippe drauf, die das Abschaffen des Passworts mit beg\u00fcnstigen wird: der physikalische Schl\u00fcssel. Aktuell hat sich FIDO2 als Quasi-Standard schon im Markt etabliert, zwei prominente Vertreter haben so gut wie jedes Format mit jedem erdenklichen Funktionsumfang im Angebot: Yubico<\/a>, von denen ich seit Jahren drei unterschiedliche Schl\u00fcssel benutze oder der direkte Mitbewerber, bei dem ich heute eher zuschlagen w\u00fcrde – aber nur aus pers\u00f6nlicher Pr\u00e4ferenz, nicht, weil sie besser w\u00e4ren! -: Trustkey<\/a>.<\/p>\n

Ich habe euch bei beiden Anbietern eines der USB-A-Einsteigermodelle verlinkt. Ihr kennt mich, amazon Junkie und so, daher ratet mal, wo die Links hingehen? Genau… wir verstehen uns!<\/p>\n

Und wer glaubt, dass 30 Euro eine Menge Holz sind, sollte sich die Produktpaletten ansehen: Yubico geht so richtig in teuer, Trustkey kostet zwar nur die H\u00e4lfte mit dem Bio-Topfmodell, aber auch da sind \u00fcber 50 Euro f\u00fcr „nur“ einen USB-Schl\u00fcssel weg.<\/p>\n

Allerdings: was f\u00fcr ein Schaden w\u00fcrde dir entstehen, wenn ein Eindringlich sich einen Tag v\u00f6llig ungehindert in deiner E-Mail, facebook\/meta\/instadings, amazon Konto, Online-Banking und auch noch in deiner Cloud austoben k\u00f6nnte? Weil du \u00fcberall den gleichen Nutzernamen hast und das Passwort nur zehn Stellen hat und zum Schluss einfach eine Nummer von\u00a0 1-6 hochgez\u00e4hlt wird? Also bei mir w\u00e4ren es definitiv mehr als 50 Euro Schaden… andererseits k\u00f6nnte mir der Eindringlich aus Mitleid gerne was aufs Online-Konto packen… aber erfahrungsgem\u00e4\u00df passiert sowas leider nie…!<\/p>\n

Aber zur\u00fcck zum Thema:\u00a0
Erst das schlechte Gewissen: Wenn du, meinem Blog-Pod vom Februar folgende, deine Passw\u00f6rter ge\u00e4ndert hast, ist JETZT die beste Zeit, es erneut zu tun. Und zwar nach all den Regeln, die ich im Februar<\/a> geschrieben hatte! Und, wo immer m\u00f6glich, mit zweitem Faktor aktiv!<\/p>\n

Und klar ist eine Authenticator-App super! Aber wie w\u00e4re es mit einem Schl\u00fcssel, der erst deinen Fingerabdruck best\u00e4tigen und scannen muss, also, andersrum, aber ihr versteht mich schon, bevor er den Codeschnipsel zur Freigabe des virtuellen Eingangs in deinen Account erm\u00f6glicht?! Und ich sage es erneut: auch trotz Stick nicht schludern! Individuelle Benutzernamen und, solange sie noch da sind, moderne Passw\u00f6rter mit 25 und mehr Zeichen, am besten per Passwortmanager.<\/p>\n

Und dann warten wir mal ab, was Google, Microsoft und Cupertino noch so alles einf\u00e4llt, auf dem Weg in die Passwort-freie Zukunft. Und, ich habe da schon so eine Vermutung, wer wieder sein eigenes S\u00fcppchen kochen wird.\u00a0<\/p>\n

Nichtsdestotrotz wird es auch ohne Passwort sicherer, weil auch hier die menschliche Komponente wieder ein St\u00fcckchen rausgenommen wird. Und eben ein f\u00e4lschungssicherer und auch auf Open-Source basierender USB-Stick die Aufgabe \u00fcbernimmt.<\/p>\n

Ich freue mich schon drauf! Also, passt auf eure Passw\u00f6rter und Zugangsdaten auf. Und beginnt gleich heute noch, die alle mal zu \u00e4ndern!<\/p>\n

\u00a0<\/p>\n

PodCast abonnieren: | <\/em>direkt<\/a><\/em> | <\/em>iTunes<\/a><\/em> | <\/em>Spotify<\/a><\/em> | <\/em>Google<\/a><\/em> | amazon<\/a> |\nSTOLZ PRODUZIERT UND AUFGENOMMEN MIT Ultraschall5<\/a>\n<\/em><\/pre>\n\n\n
\"Made<\/figure><\/div>\n","protected":false},"excerpt":{"rendered":"
Es ist noch gar nicht so lange her, dass ich euch den ersten Februar des Jahres als „\u00c4ndere Dein Passwort Tag“ vorgestellt habe. Und, ohne Panikmache, habe ich versucht, euch klarzumachen, dass die g\u00e4ngigsten Tricks, die uns die letzten Jahre begleitet haben und uns immerhin ein paar „Merkregeln“ f\u00fcr gute Passw\u00f6rter geliefert haben, nicht mehr gelten. Hacker haben aufger\u00fcstet, die Technik kann mehr als sonst – und das wird hierbei gegen uns angewendet. Echte Sicherheit bietet nur ein zweiter Schl\u00fcssel – umso besser, dass Microsoft, Google und Apple vor ein paar Tagen angek\u00fcndigt haben, auf das Passwort k\u00fcnftig verzichten zu wollen… und ja, zum Wohle der Sicherheit… WAS BITTE?<\/p>\n","protected":false},"author":2,"featured_media":6590,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"AM 05.05.2022 war ein, nun von Intel \"erfundener\" Passwort-Wechsel-Tag. Und, h\u00e4ttest du es gewusst? Und wenn ja, hast du mal die wichtigsten Passw\u00f6rter ge\u00e4ndert? Gut zu wissen, dass das Passwort ein Auslaufmodell ist - ein zweiter Schl\u00fcssel muss also her!","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[3198,2649],"tags":[109,118,304,223,2774,882,1319,3119,1468,1498,3127,1674,1814,3168,3188,3194],"class_list":["post-7255","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-selbst-schuld","category-technik","tag-abschaffung","tag-account","tag-aendern","tag-apple","tag-fido2","tag-google","tag-microsoft","tag-nutzername","tag-online","tag-passwort","tag-passwortmanager","tag-rhythmus","tag-sicherheit","tag-trustkey","tag-yubico","tag-zweiter-schluessel"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-content\/uploads\/2022\/02\/wp-16440096870326961151373491456992-scaled-1.jpg?fit=2560%2C1920&ssl=1","jetpack-related-posts":[],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/posts\/7255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/comments?post=7255"}],"version-history":[{"count":0,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/posts\/7255\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/media\/6590"}],"wp:attachment":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/media?parent=7255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/categories?post=7255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/tags?post=7255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}