Passwort-Management im Unternehmen: Schluss mit unsicheren Passwoertern

Selbst das staerkste Passwort hat Schwaechen: Phishing – Nutzer geben ihr Passwort auf gefaelschten Seiten ein. Social Engineering umgeht jedes Passwort. Credential Stuffing – Gestohlene Passwoerter aus Datenlecks werden bei anderen Diensten ausprobiert. Keylogger – Malware zeichnet Tastatureingaben auf. Brute Force – Automatisiertes Durchprobieren aller Kombinationen. Deshalb ist MFA unverzichtbar: Selbst wenn das Passwort kompromittiert ist, braucht der Angreifer noch den zweiten Faktor.

MFA ist kein Nice-to-Have, sondern Pflicht: Faktoren-Hierarchie (von sicher zu weniger sicher): 1. Hardware Security Keys (YubiKey, Titan Key) – FIDO2/WebAuthn, Phishing-resistent 2. Authenticator Apps (Microsoft Authenticator, Authy) – TOTP-basiert, gut 3. Push Notifications – Komfortabel, aber anfaellig fuer MFA Fatigue Attacks 4. SMS-Codes – Besser als nichts, aber unsicher (SIM-Swapping) Empfehlung: Hardware Security Keys fuer Admin-Accounts, Authenticator Apps fuer regulaere Nutzer. MFA verhindert 99,9% aller automatisierten Angriffe (Microsoft Security Research).

Die alten Regeln (Gross/Kleinbuchstaben, Sonderzeichen, alle 90 Tage aendern) sind ueberholt. Das NIST empfiehlt seit 2017: Aktuelle Best Practices: - Mindestens 12 Zeichen (laenger ist wichtiger als komplexer) - Passphrases statt komplexer Zeichenfolgen ("Mein-Hund-frisst-gerne-Karotten" > "P@ssw0rd!") - Passwoerter nur bei Verdacht auf Kompromittierung aendern - Gegen bekannte kompromittierte Passwoerter pruefen (Have I Been Pwned) - Keine Passwort-Hints oder Sicherheitsfragen Zero Trust beginnt mit starker Authentifizierung – und das Passwort ist nur der Anfang.