Haben Sie einen Passwort-Manager? Gut, aber Sie verwenden es falsch
Veröffentlicht: 2022-01-29Herzliche Glückwünsche! Sie sind unserem Rat gefolgt und haben einen Passwort-Manager installiert! Vielleicht haben Sie es sogar darauf trainiert, sich all Ihre Passwörter zu merken. Aber haben Sie die schlechten Passwörter durch starke, eindeutige ersetzt? Haben Sie all diese Passwörter mit einem starken Master-Passwort geschützt, das niemand sonst erraten konnte? Kurz gesagt: Verwenden Sie Ihren Passwort-Manager richtig?
Stuart Schechter, Dozent und Kursleiter für Usable Privacy and Security Track der UC Berkeley, befürchtet, dass Sie es nicht sind. So sehr, dass er seine Doktoranden ermutigte, herauszufinden, was Sie tun. Auf der virtuellen RSA-Sicherheitskonferenz 2021 enthüllten Schechter und der Doktorand David Ng ihre Ergebnisse.
Das Passwort ist tot, es lebe das Passwort
Schechter stellte sich als der Typ vor, der beim letztjährigen RSAC eine N95-Maske trug, ein Sonderling in einem Meer nackter Gesichter. Er merkte an, dass dies nicht auf irgendeine Art von Voraussicht in Bezug auf die Coronavirus-Pandemie zurückzuführen sei, sondern eher auf eine Abneigung gegen optimistische Annahmen in Ermangelung von Daten. Ebenso kann er ohne Daten nicht davon ausgehen, dass Verbraucher Passwort-Manager so verwenden, wie sie sollten.
Schechter ging auf eine Vorhersage von Bill Gates aus dem Jahr 2004 zurück, der sagte, dass wir Passwörter immer weniger verwenden würden. „Microsoft sprach davon, Passwörter auszurotten, als wären sie eine Krankheit wie Pocken“, sagte Schechter. „Aber ein separates Lager wettete darauf, dass sich Passwörter vermehren und nicht verschwinden.“ Er tauchte tief in die Entwicklung von Passwort-Managern ein, zusammen mit Ereignissen wie Microsofts Veröffentlichung von CardSpace aus dem Jahr 2006, das Passwörter beenden sollte (was es nicht tat), und seiner Erklärung, dass Windows 10 das Ende von Passwörtern bedeutete (es tat es nicht).
Die Verwendung eines Passwort-Managers birgt ein intrinsisches Risiko – Sie haben alle Eier in einen Korb gelegt. In dem unwahrscheinlichen Fall, dass eine Hacker-Crew Ihren Passwort-Manager knackt, sind Sie in Schwierigkeiten. Die Vorteile der Verwendung eines Passwort-Managers sind vielfältig, darunter der Schutz vor Phishing-Betrug.
„Sie verlassen sich darauf, dass Ihr Passwort-Manager ein Passwort eingibt, das Sie nicht einmal kennen. Wenn Sie auf eine Phishing-Seite stoßen, wird der Passwort-Manager sie nicht füllen“, sagte Schechter. "Sie müssen es im Passwort-Manager nachschlagen, und das allein ist ein großer Hinweis darauf, dass Sie gephishing werden."
Unsere Top-Passwort-Manager
In einer früheren Studie untersuchten Schechter und ein Kollege die Fähigkeit von Einzelpersonen, sich starke Passwörter zu merken. Die guten Nachrichten? Sie stellten fest, dass sich fast jeder ein sehr starkes Passwort merken kann. Die schlechte Nachricht ist jedoch, dass dies 20-30 Schulungssitzungen im Abstand von mindestens einer halben Stunde erforderte und dass das Passwort vergessen werden konnte, wenn es nicht regelmäßig verwendet wurde.
Alle Vorteile der Verwendung eines Passwort-Managers hängen von drei Annahmen ab: Wir gehen davon aus, dass sich Benutzer ein starkes Passwort merken; dass sie sich auf die Fähigkeit des Passwort-Managers verlassen, zufällige Passwörter zu generieren; und dass sie alle Passwörter ändern, die schwach, wiederverwendet oder kompromittiert sind. Aber sind diese Annahmen richtig? Anstatt sich in Ermangelung von Daten für Optimismus zu entscheiden, ermutigte Schechter seine Doktoranden, die Wahrheit zu suchen.
Daten, Daten, Daten
Der Doktorand David Ng ging sehr detailliert darauf ein, wie die Gruppe ihre Teilnehmer fand, und durchsuchte einen anfänglichen Pool von fast 2.500 Personen auf etwa 100, die einen Passwort-Manager für mehr als fünf Monate verwendet hatten; mindestens fünf Passwörter verwaltet; und waren bereit, einen Screenshot des Sicherheits-Dashboards ihres Passwort-Managers bereitzustellen.
Haben die Teilnehmer also ein starkes Master-Passwort verwendet? Nur sehr wenige ließen sich vom Passwort-Manager eines generieren, das sie sich dann merken. Eine viel größere Gruppe erarbeitete ein Passwort mit Hilfe einer Gedächtnisstütze, wie wir von PCMag oft vorschlagen. Leider gab die größte Gruppe zu, ein vertrautes Passwort als Hauptschlüssel für ihre Passwort-Manager wiederzuverwenden.
Sie können einen Passwort-Manager verwenden, um Tastenanschläge zu speichern, während alle Ihre Passwörter auf 12345678 oder ein anderes schreckliches Passwort eingestellt bleiben. Die ordnungsgemäße Verwendung erfordert natürlich, dass Sie diese schwachen Passwörter in etwas ändern, das vom Passwort-Dienstprogramm generiert wird. Die Studie ergab, dass kaum ein Fünftel derjenigen, die sich auf den integrierten Passwort-Manager von Chrome verlassen, jemals Passwörter generieren lassen. Etwa die Hälfte derjenigen, die sich auf Dienstprogramme von Drittanbietern verlassen, nutzten diese Funktion.
Die Studie fuhr fort, um zu untersuchen, wie (und ob) die Teilnehmer die Fähigkeit des Sicherheits-Dashboards nutzten, um schwache, doppelte und kompromittierte Passwörter zu identifizieren. Die Ergebnisse waren entmutigend. Selbst diejenigen Teilnehmer, die zustimmten, dass das Passwort-Tool Passwörter, die ersetzt werden mussten, korrekt identifizierte, taten oft nichts gegen das Problem. Gründe waren, dass es zu viel Arbeit war oder dass sie befürchteten, dass das Aktualisieren des Passworts ein Problem verursachen könnte.
Gehen Sie nicht davon aus, dass die Leute wissen, was sie tun
Ng beendete die Präsentation mit einer Warnung an Sicherheitsexperten und Einzelpersonen. Nur weil Leute einen Passwortmanager haben, bedeutet das nicht, dass sie vollständig geschützt sind.
„Gehen Sie nicht davon aus, dass die Leute starke Master-Passwörter wählen werden“, sagte er. „Gehen Sie nicht davon aus, dass sie Passwörter verwenden, die vom Passwort-Manager erstellt wurden. Und gehen Sie nicht davon aus, dass sie schwache, wiederverwendete oder kompromittierte Passwörter ersetzen werden wenn Sie daran erinnert werden.“
Von unseren Redakteuren empfohlen
Wie man Passwörter richtig macht
Sie haben gesehen, dass allzu viele Leute einen Passwort-Manager installieren und ihn dann nicht richtig nutzen. Sei nicht wie sie! Lassen Sie ihre Fehler zu Ihren lehrbaren Momenten werden.
Beginnen Sie mit diesem Master-Passwort. Wie bereits erwähnt, schützt es Ihren Schatz an Anmeldeinformationen, also muss es etwas sein, an das Sie sich erinnern können, das aber niemand erraten würde. Befolgen Sie unseren Rat, um ein Lieblingsgedicht oder -lied in ein Passwort zu verwandeln, oder wählen Sie etwas Unvorhersehbares aus Ihrem Privatleben.
Hör nicht auf! Verbessern Sie den Schutz Ihrer wertvollen Passwörter, indem Sie die Multifaktor-Authentifizierung aktivieren. Alle besten Passwort-Manager haben es. Jetzt kann sogar ein Übeltäter, der Ihr nicht zu erratendes Passwort stiehlt, nicht hineinkommen, weil nur Sie den anderen Authentifizierungsfaktor haben. Dieser Faktor könnte biometrisch sein oder über eine App auf dem Telefon in Ihrer Tasche (und in der von niemand anderem) funktionieren.
Viele Passwort-Manager bewerten Ihre gespeicherten Passwörter und markieren alle, die lahm sind, die Sie mehrfach verwendet haben oder die bei einer Datenpanne preisgegeben wurden. Ich weiß, es ist mühsam, aber Sie müssen diese durcharbeiten und sie alle durch lange, starke neue Passwörter ersetzen. Beginnen Sie mit den schlechtesten und machen Sie ein paar auf einmal, bis alle Ihre Passwörter perfekt sind. Sie müssen sich diese neuen Passwörter nicht ausdenken; Ihr Passwort-Manager generiert sie für Sie.
Vielleicht haben Sie sich dagegen gewehrt, komplexe Passwörter zu verwenden, weil Sie sie nicht auf der winzigen Tastatur Ihres Telefons eingeben möchten? Widerstehen Sie nicht mehr! Installieren Sie die mobile App Ihres Passwort-Managers und verknüpfen Sie sie mit Ihrem Konto. Jetzt ist die Anmeldung am Telefon ein Kinderspiel.
Nehmen Sie die Herausforderung an und lernen Sie, Ihren Passwort-Manager richtig zu verwenden. Wenn genug von Ihnen das tun, wird die nächste Studie vielleicht zeigen, dass einige Leute schlau genug sind, den vollen Nutzen aus diesen nützlichen Programmen zu ziehen.