Einen Tag vor dem "Ändere Dein Passwort"-Tag positioniert sich der Chaos Computer Club eindeutig gegen dieses jährlich wiederkommende Ereignis. Er gibt dazu passend nicht nur Tipps rund um sichere Passwörter, sondern fordert gar die Abschaffung des Tages, der vor allem bei nicht-IT-affinen-Anwendern hochproblematisch ist. Denn dieser Tag, der am 1. Februar 2025 das nächste Mal verbreitet wird, sorgt in der Tendenz eher dafür, dass schwache Passwörter entstehen und bestehende Passwörter abgeschwächt werden.
So begründet der CCC die Forderung zur Abschaffung des Passwort-Tags: "Doch wer sein Passwort ständig ändert, wählt einfache Kombinationen und neigt dazu, dasselbe Passwort für mehrere Zugänge zu verwenden. Damit muss Schluss sein."
Gerade die mehrfache Nutzung dieses nun neuen Passworts ist gefährlich. Ist ein Zugang erst einmal kompromittiert, können Angreifer dann schnell von diesem zum nächsten möglichen Ziel hüpfen. Der CCC empfiehlt daher ein jeweils einzelnes Passwort für jeden Dienst, damit ein gestohlenes Shopping-Passwort nicht etwa auch genutzt werden kann, um in die E-Mails einzubrechen. Für IT-affine Personen ist das selbstverständlich, die Masse der Bevölkerung könnte hingegen dem Irrglauben verfallen, es sei sicherer, die wenigen Passwörter regelmäßig zu ändern.
Eine Passwortempfehlung gibt es zudem zur Länge der Passwörter. "Weit verbreitet ist die Annahme, dass kompliziert aussehende Zeichen ein Passwort sicherer machen. Doch wichtiger ist die Länge des Passworts.". Anders formuliert: die ganzen Sonderzeichen in einem Passwort machen es nicht sicherer, wenn das Passwort dafür nur acht Stellen hat. Ganze Sätze sind hingegen leicht zu merken und vor allem sehr lang.
Wer viele Passwörter verwendet, sollte zudem einen Passwort-Safe nutzen, was die Verwaltung vereinfacht. "Jeder Password-Safe ist besser als keiner, da ein Password Safe es erleichtert, unterschiedliche und längere Passwörter sicher zu verwalten", so der CCC.
Ganz besonders wichtig ist das Absichern besonderer Zugänge mit einer Multi-Faktor-Authentifizierung. Der CCC sieht diese Technik als Pflicht, denn sollte einmal das eigene E-Mail-Konto kompromittiert werden, dann lassen sich darüber einfach Passwörter anderer Zugänge ändern. Es wäre ein kompletter Durchbruch in das digitale Leben vieler Menschen.
Eine klare Empfehlung für MFA gibt es für das eigene E-Mail-Postfach sowie die Social-Media-Zugänge. Auch zu MFA-Codes via SMS äußert sich der CCC. Er empfiehlt eher eine Authenticator-App, die die Codes verwaltet. Aber MFA via SMS ist immer noch sicherer als nur die Nutzung eines Passworts.
Als beste Methode sieht der CCC die Nutzung der Passkeys, deren Unterstützung in den letzten Jahren zugenommen hat. Der CCC empfiehlt gar den Ausstieg von Passwörtern.
Das geht allerdings nur, wenn die Dienste das auch schon unterstützen. Die ist unserer Erfahrung nach noch etwas lückenhaft. Gut abgedeckt sind große Shopping-Häuser wie etwa Amazon oder Ebay. Die Deutsche Telekom sichert ihr Kundencenter so ab, was allerdings einige Extra-Klicks erfordert. Vodafone gibt für eine SEO-Positionierung Tipps zu Passkeys, gibt dort aber nirgends an, ob der Netzbetreiber dies unterstützt.
Die Konsolenhersteller sind hier weiter, denn Microsoft, Nintendo und Sony unterstützen alle Passkeys. Beim Reisen wird es dann schon schwieriger. Passkeys wird etwa von der Hyatt-Hotel-Gruppe und Air New Zealand unterstützt. Ansonsten sieht es recht mau aus in der Branche, obwohl der Diebstahl von Meilen nichts Ungewöhnliches ist. Die Branche setzt aber sehr stark auf MFA.
Eine recht umfangreiche Erklärung zu Passkeys, die sich auch für die Verbreitung bei Nicht-IT-Affinen anbietet, bietet die Verbraucherzentrale Nordrhein-Westfalen an. Informationen gibt es zudem vom Bundesamt für Sicherheit in der Informationstechnologie, das verweist außerdem auf die Webseite passkeys.directory. Hier kann jeder schnell schauen, welche Dienste schon eine Passkey-Unterstützung bieten. Die Liste ist aber eher unvollständig und bezieht sich vor allem auf Dienste, die im englischsprachigen Raum aktiv sind.