15.06.2023
von: PrivateGuard Team
Wir würden dich immer dazu ermutigen, deine Passwörter so sicher wie möglich zu machen und diese auch regelmäßig zu wechseln, um keinem Datendiebstahl zum Opfer zu fallen. Erfreulicher wäre es aber, wenn du gar keine Passwörter mehr benötigen würdest, vor allem wenn sich dadurch deine Sicherheit auch noch weiter verbessern lässt. In diesem Artikel erfährst du alle Tipps und Tricks für eine passwortlose Anmeldung.
Wir möchten hier ehrlich sein – wirklich sichere Passwörter sind im Alltag eine Qual für alle Anwender*innen. Der regelmäßige Aufwand sich knifflige Passwörter auszudenken, und auch die Zeit, die für eine Anmeldung drauf geht, können schon sehr mühselig sein. Vor allem wenn du dich doch nicht gleich an dein einhundertste Passwort erinnern kannst und schon wieder auf ‚Passwort vergessen‘ klicken musst, da du einfach nicht auf jeder Seite mit deinem Benutzerkonto regelmäßig aktiv bist.
Gerade für Privatpersonen, die nicht regelmäßig von ihrer IT-Abteilung dazu ermutigt werden, das Passwort zu ändern, bleibt das Thema Sicherheit schnell auf der Strecke und die Bequemlichkeit wird schnell wichtiger. Allerdings gilt bei Passwörtern die folgende Regel:
„Was man sich merken kann, ist nicht sicher und umgekehrt“
An sich müsstest du dich die Gegenfrage stellen:
„Wann waren Passwörter je wirklich sicher?“
Jedes Passwort lässt sich durch ‚Ausprobieren‘ knacken. Bei starken Passwörtern dauert das zwar länger, beim eigenen Geburtsdatum geht es jedoch schnell. Noch einfacher geht es über Phishing-Mails. Darüber gelangen Hacker direkt und ohne großen Aufwand an jegliche Anmeldedaten – auch wenn die meisten Personen über diese Mache aufgeklärt sind.
Aus heutiger Sicht kann man ein Passwort nur noch als ‚Notbehelf‘ oder zusätzliche Sicherheitsmaßnahme sehen, die gerade bei sensiblen Daten niemals alleine stehen sollte. Gerade bei Bankdaten und anderen Zahlungsdienstleistern solltest du immer eine zweite Authentifizierungsstufe wählen. Einmalige Codes per Mail sind sehr beliebt, ebenso wie SMS oder spezielle Apps.
Einen zusätzlichen Tipp haben wir allerdings noch für dich:
Wähle am besten die Methode zur zweiten Authentifizierung, die nicht auf demselben Gerät stattfindet. Gerade beim Geräteverlust wäre es ungünstig, wenn deine gespeicherten Anmeldedaten und Sicherheitsabfragen für Betrüger gleich mit verfügbar wären.
Wie läuft die passwortlose Anmeldung ab?
Es gibt eine Reihe verschiedener Methoden, mit denen du dich ohne Passwort anmelden kannst. Vielleicht hast du bei einigen Webseiten schon mal die folgende Option gesehen: Dieses Gerät für die nächsten 30 Tage merken oder auch ähnliche Einstellungen. Die Webseite speichert also Informationen, die dein Gerät exakt identifizieren. Geeignet ist das vor allem für PCs und anderen Geräte, die nicht dein Haus verlassen. Alles, was du irgendwo liegen lässt oder verlieren kannst, sollte zusätzlich geschützt werden, zum Beispiel mit:
· Verifikations-SMS
· Authentifikations-App
· Externes Gerät zum Anmelden
· Biometrische Erkennung
· E-Mail Bestätigung
Jede dieser Methoden stellt erst einmal sicher, dass sich niemand einfach mit deinem Gerät anmelden kann, ohne eine zweite Sicherheitsstufe zu durchlaufen. Das ist wichtig, denn Cybercrime ist grundsätzlich so ausgelegt, dass mit möglichst wenig Aufwand, möglichst viele Daten gestohlen werden sollen.
„Cyberkriminelle sind faul!“
Wir sprechen hier ausschließlich über die 5 Methoden, die im vorherigen Abschnitt genannt wurden. Diese sind für Privatpersonen besonders praktisch, meist kostenlos und bieten trotzdem einen wirksamen zusätzlichen Schutz.
Eine bequeme Art für eine zweite Authentifikation, vor allem weil man den Zugriff auf seinen E-Mail Account oft auf vielen verschiedenen Endgeräten hat. Natürlich entsteht hier auch gleichzeitig der Nachteil. Wird eines der Geräte gehackt, bekommen Cyberkriminelle Zugriff auf deine Reihe Daten und Konten. Die Wahrscheinlichkeit ist hier allerdings sehr gering und ist dein E-Mail-Postfach auch doppelt gesichert, sinkt sie stark gegen Null.
Der Vorteil bei der SMS ist, dass sie nur auf ein Endgerät gesendet wird. Sicherst du beispielsweise so Konten auf deinem Laptop oder PC ab, benötigst du immer dein Smartphone in deiner Nähe. Öffnest du allerdings mit demselben Gerät die Webseite, für die du auch die SMS bekommst, ist die Sicherheit etwas geringer. Vor allem beim Verlust des Phones wäre das ärgerlich.
Es gibt eine ganze Reihe an Apps, die unterschiedliche Authentifikationsfunktionen anbieten und damit auch auf der Sicherheitsskala sehr stark variieren. Die einfachsten Varianten bieten einen temporären Code an, mit dem du dich authentifizieren kannst. Bei anderen musst du (Trans-) Aktionen bestätigen und auch vieles mehr. Manchmal ist sogar für die Anmeldung in der App noch eine weitere Authentifizierung notwendig. Falls das nicht der Fall ist, gelten ähnliche Risiken wie bei der SMS. Bei physischem Verlust des Smartphones könnten Dritte Zugang bekommen – immer vorausgesetzt sie kommen auf deine Benutzeroberfläche.
An dieser Stelle wird es spannend. Setzen wir voraus, dass die Erkennung von Fingerabdruck, Iris und co. reibungslos funktioniert, wird der Datendiebstahl wirklich schwierig. Die anderen Methoden haben schon sehr große Hürden – Biometrie schützt aber selbst bei Geräteverlust. Natürlich gibt es niemals eine 100%ige Sicherheit, aber einen Fingerabdruck zu ‚faken‘ ist schon eher eine hohe Kunst und mit viel Aufwand und Tatendrang verbunden. Es bedarf also viel Ressourceneinsatz, um so an deine Daten zu kommen und diesen scheuen Datendiebe gerne.
Gerade was den privaten Gebrauch betrifft, sind wir hier in der Königsklasse angekommen. Es gibt beispielsweise physische Code-Generatoren, die im Gegensatz zu Apps nicht auf dem Phone gespeichert sind. Alternativ kannst du auch Geräte wie PC und Laptop mit einem USB-Dongle schützen, ohne den bestimmte Funktionen gar nicht möglich sind oder alle Daten verschlüsselt erscheinen.
Wer viele sensible Daten auf seinen Geräten gespeichert hat und auf hohe Sicherheit setzt, für den könnte sich dieser Aufwand lohnen. Natürlich solltest du den Dongle nach der eigenen Nutzung immer wieder entfernen und nicht am selben Platz wie das Gerät aufbewahren – Laptop in die Tasche, Dongle an den Schlüsselbund.
Dies war nur ein grober Umriss dessen, welche Maßnahmen für Privatpersonen möglich sind. Die Kosten halten sich in Grenzen und auch der alltägliche Aufwand für die Qualität and Sicherheit ist nicht zu groß. Es gibt sogar eine Reihe an Studien und Statistiken dazu, wie unwahrscheinlich der Angriff zweier Geräte zur selben Zeit ist. Die Wahrscheinlichkeit, dass ein Angriff von Cyberkriminellen fehlschlägt, liegt in der Regel in den hohen 90er-Prozenten – vor allem bei ungezielten (Phishing-)Attacken.
Individuelle Ansprüche können sich stark unterscheiden. Eine Cyberversicherung bietet jedoch in jedem Fall einen Rückhalt und schützt für den Fall der Fälle. Wir hoffen natürlich, dass es dazu niemals kommen wird!
Wer mit SMS oder Code-Generatoren schon Erfahrungen gesammelt hat, der weiß, dass die Codes im Regelfall eine bis zehn Minuten lang gültig sind – bei Code-Generatoren eher eine. Was wäre also, wenn du dich einloggst, den Code eingibst und dieser ausgelesen wird. Wird dadurch ein Identitätsdiebstahl nicht genauso wahrscheinlich wie beim Auslesen des Passwortes?
Man nennt diese Zahlen- und Buchstabenfolgen auch gerne ‚Einmalcodes‘. Sie sind zwar manchmal mehrere Minuten gültig, allerdings nur so lange, bis sie zum ersten Mal eingegeben werden. Es ist also wie ein Passwort, welches du direkt nach dem Einloggen änderst – jedes Mal. Beim Anmeldevorgang wird dieser Code also ‚aus der Liste gestrichen‘ und kann für dein Benutzerkonto nicht mehr genutzt werden.
Die Verbindung zwischen Konto und Code ist entscheidend. Natürlich kann es bei einem 6 oder 8-stelligen Code vorkommen, dass zwei identische zur selben Zeit aktiv sind – vor allem bei reinen Zahlencodes und großen Dienstleistern. Es wären dann trotzdem nur zwei Konten unter Millionen von Nutzer*innen. Ausprobieren klappt also nicht und auslesen genauso wenig. Damit sind die Chancen des Datendiebstahls schon erheblich minimiert – vor allem bei ungezielten Attacken.
Ein weiterer Tipp von uns:
Auch wenn du es wahrscheinlich es genauso oft liest wie die Aufforderung, deine Passwörter regelmäßig zu ändern – der Button zum Ausloggen bringt das Fass in puncto Sicherheit wirklich zum Überlaufen. Wenn du mit deinen Aktionen im Benutzerkonto fertig bist, dann nutze diese Möglichkeit am besten einfach immer. Zwar loggen viele Banken und Zahlungsanbieter dich nach einer kurzen Zeit der Inaktivität automatisch aus, aber warum solltest du darauf warten?!
„Niemand würde auf die Idee kommen, darauf zu warten, dass sich die Haustüre alleine hinter einem verschließt.“
Passwortlose Anmeldung klingt wie ein Traum von so gut wie allen Privatnutzer*innen. Es ist keine Schande zuzugeben, dass du nicht für jede Seite ein anderes, mindestens 16-stelliges Passwort hast, das keine zusammenhängenden Worte enthält und jeden Monat geändert wird. Das ist einfach unpraktikabel und führt nur zu mehr Mails, in denen man sein Passwort immer wieder zurücksetzen muss. Gelangt Malware auf deine Geräte und das Passwort wird ausgelesen, war deine Mühe sogar ganz umsonst. Mehrere Generationen sind damit aufgewachsen, aber inzwischen sind die Ideen und Technologien vorhanden, um davon Abschied zu nehmen.
Es gibt eine Reihe verschiedener Möglichkeiten, wie du auf ein Passwort verzichten kannst. Zu den sichersten gehören diejenigen, die ein zweites (physisches) Gerät zur Anmeldung benötigen. Damit sinken die Chancen gehackt zu werden unglaublich tief. Du hast allerdings immer nur die Optionen zur Verfügung, welche die Unternehmen – Banken, Zahlungsdienstleister etc. – anbieten. Für die meisten Privatpersonen ist es kein valider Grund, den Anbieter zu wechseln, nur weil woanders die Sicherheitsmaßnahmen etwas höher sind. An sich ist jede der Möglichkeiten ein großer Zuwachs an Sicherheit gegenüber dem Passwort.
Gerade beim Verlust des Gerätes kannst du natürlich auch Pech haben, falls es einem Identitätsdieb in die Hände fällt. Einige der Methoden greifen dann nicht mehr gut genug und es kann trotzdem zu einem Schaden kommen. Jeder Sicherheitsmaßnahme sind eben auch Grenzen auferlegt und gerade für Privatpersonen lohnen sich teure und umständliche Authentifikationsverfahren nicht.
Genau deshalb haben wir unsere Cyberversicherung ins Leben gerufen. Unser PrivateGuard Team möchten dich immer gut informieren und über die neusten Tricks der Betrüger*innen auf dem Laufenden halten.
Dabei solltest du aber nicht paranoid werden und den Spaß an den Möglichkeiten des Internets verlieren. Die ganzen Vorteile würde wohl niemand von uns mehr aufgeben wollen. Deshalb, genieße die Vorzüge, surfe und shoppe entspannt, wickele deine Transaktionen online ab und wir von PrivateGuard halten dir mit unserer Cyberversicherung dabei den Rücken frei.
© 2022 PrivateGuard
in sekunden zum vertrag
Fragen?
Lass mal hören!
