Kategorien
online accounts Passwörter

Passphrasen, Passkeys und Passwordless: Was steckt dahinter?

In einem früheren Artikel habe ich bereits ausführlich über Passwortsicherheit gesprochen.

In diesem Post möchte ich tiefer in die Welt der Begriffe wie Passphrase, Passkey und Passwordless eintauchen. Diese Begriffe werden oft synonym verwendet, sind aber keineswegs dasselbe. Zudem werfen wir noch einmal einen Blick auf bewährte Praktiken zur Passwortsicherheit, da schwache oder unsichere Passwörter nach wie vor die häufigste Ursache für Datenlecks und Hacks sind – insbesondere in der Welt verteilter Systeme wie Cloud-Diensten.

Sichere Passwörter: Die Basics

Die klassische Empfehlung für Passwörter lautete früher: möglichst viele Sonderzeichen, Zahlen und regelmäßige Änderungen deiner Passwörter. Heute weiß man, dass diese Ansätze in der Praxis oft zu schwachen Sicherheitslösungen führen, da sie wenig praktikabel sind, denn du kannst dir viele Sonderzeichen nicht gut tippen und wenn du deine Passwörter immer wieder änderst, wirst du ohne Passwortmanager dazu verleitet, immer dieselben Passwörter zu nutzen. 

Hier einige wichtige Aspekte, die praktikabler und sicherer sind:

  • Einzigartigkeit: Verwende für jeden Dienst ein anderes Kennwort. So verhinderst du, dass bei einem Datenleck gleich mehrere deiner Accounts kompromittiert werden.
  • Länge statt Komplexität: Die Länge eines Passworts ist der größte Sicherheitsfaktor. Lange Passwörter – etwa 16 Zeichen oder mehr – sind weitaus sicherer als ein kompliziertes, aber kurzes Passwort.
  • Nur ändern, wenn nötig: Passwörter müssen nicht regelmäßig geändert werden, es sei denn, sie wurden durch ein Datenleck kompromittiert. Nutze Tools wie den HPI Identity Leak Checker oder https://haveibeenpwned.com, um zu überprüfen, ob deine Zugangsdaten betroffen sind.
Foto von Kenny Eliason auf Unsplash

Passphrasen

Da die Länge deines Passworts entscheidend ist, sind Passphrasen eine gute Möglichkeit, deine Kennwörter sicherer zu machen. Diese bestehen aus einer Kombination von Wörtern, die im Zweifel gut zu merken sind, wie z. B. “TanzenAmSee14imHerbst”, aber komplex genug, um nicht so leicht kompromittiert werden zu könne. 

Vorteile von Passphrasen:

  • Sie sind leichter zu merken und schneller einzugeben, selbst auf mobilen Geräten.
  • Absichtliche Schreibfehler oder ungewöhnliche Kombinationen erhöhen die Sicherheit zusätzlich, z. B. “TanCenAmSsee_14imHerbzt”.

Für Dienste, bei denen Sie Passwörter noch manuell eingeben müssen, sind Passphrasen oft die beste Wahl.

Passwortmanager und MFA – unverzichtbare Tools

Um sicherzustellen, dass Sie für jeden Dienst ein einzigartiges und langes Passwort nutzen, empfiehlt sich der Einsatz eines Passwortmanagers, möglichst Open-Source, wie KeePassXC (https://keepassxc.org/) oder Bitwarden (https://bitwarden.com/open-source/). Falls du in deinem professionellen Kontext einen Passwortmanager brauchst, prüfe zunächst welchen Passwortmanager dein Unternehmen freigegeben hat. Wenn du keine offizielle Richtlinie hast, speichere deine Schlüsseldatei lokal und nicht etwa in einem privaten Cloud Archiv.

Multi-Faktor-Authentifizierung (MFA) als zusätzlicher Schutz

Die Kombination aus Passwort und einem zweiten Faktor – etwa einer Authentifizierungs-App – macht es Angreifern deutlich schwerer, deinen Account zu kompromittieren. Vermeide jedoch SMS-basierte MFA, da diese anfällig für sogenannte « SIM-Swapping-Angriffe» sind, besonders im Ausland. Stattdessen sind TOTP-Apps (Time-Based One-Time Password) wie Microsoft Authenticator oder Google Authenticator vorzuziehen. Wobei du deine TOTP-Apps sichern solltest, indem du Backups in einem Cloud Archiv speicherst oder auf mehreren Geräten einrichtest (z. B. einmal auf deinem  Smartphone und deinem Tablet). Das erleichtert dir die Wiederherstellung bei Verlust eines Geräts.

Foto von Ed Hardie auf Unsplash

Passkeys und Passwordless: Die Zukunft der Authentifizierung

Passkeys bieten die Möglichkeit, sich völlig ohne Passwort bei Online-Diensten anzumelden – also „passwordless“. Dabei kommen verschlüsselte Schlüsselpaare zum Einsatz, die direkt auf dem Gerät gespeichert werden. Obwohl bislang nur wenige Dienste Passkeys unterstützen, wächst die Verbreitung kontinuierlich. Auf der Seite https://passkeys.directory/ kannst du prüfen, welche Services schon Passkeys unterstützen. Der „passwordless“-Ansatz zielt darauf ab, Passwörter vollständig abzuschaffen. Hierbei  wird der FIDO 2-Standard (Fast IDentity Online 2) genutzt. Mit diesem Standard können Geräte wie Smartphones oder Laptops zusammen mit biometrischen Verfahren wie Fingerabdruck oder Gesichtserkennung für die Anmeldung verwendet werden. Das bietet Vorteile wie eine einfache Handhabung, höhere Sicherheit und Schutz vor den Risiken schwacher oder gestohlener Passwörter.

Fazit: Was tun für Passwortsicherheit?

In der Praxis hängt die beste Sicherheitsstrategie davon ab, welche Technologien dir zur Verfügung stehen. Hier sind meine Empfehlungen:

  • Nutze Passkeys, wo immer es möglich ist. Sie bieten die sicherste und bequemste Lösung.
  • Wenn Passkeys nicht verfügbar sind: Verwende MFA (Multi-Faktor-Authentifizierung) und wähle ein langes Passwort. Am besten in Kombination mit einem open source Passwortmanager. Passwörter mit unnötig vielen Sonderzeichen solltest du vermeiden, wenn du sie häufig mobil eingeben musst.
  • Schütze deine TOTP-Apps: Richte Backups ein oder nutze mehrere Geräte, um schnell wieder Zugriff zu erhalten, falls ein Gerät verloren geht.

Checkliste

  1. Nutze Passkeys, wenn möglich – sie sind sicher und praktisch.  
  2. Falls noch keine Passkeys unterstützt werden: Setze auf MFA und ein langes Passwort, welches du in einem Open-Source-Passwort Manager verwaltest. 
  3. Vermeide unnötige Sonderzeichen bei Passwörtern; setze lieber auf Länge.   
  4. Richte Backups für deine  TOTP-Apps ein oder verwende mehrere Geräte für schnellen Zugriff.