· Mehdi Aroui · cybersecurity · 2 min read
Schwache Passwörter 2024: Warum Passkeys die Lösung sind
NordPass und HPI veröffentlichen jährlich die schwächsten Passwörter Deutschlands. Die Liste ändert sich kaum. Passkeys und Passwortmanager sind die einzigen strukturellen Gegenmittel.
Die schwächsten Passwörter Deutschlands: wenig Bewegung
Das Hasso-Plattner-Institut (HPI) und NordPass veröffentlichen jährlich Analysen der häufigsten Passwörter. Die Ergebnisse sind konstant ernüchternd, auch wenn wir in Hamburger Unternehmen verstärkt schulen. In der deutschen HPI-Analyse 2023 (Datenbasis: Zugangsdaten mit .de-Domäne aus Datenlecks) führen einfache Zahlenketten die Liste an:
- 123456
- 123456789
- 12345
- password
- qwertz
- 12345678
- passwort
NordPass zeigt für 2024 dasselbe Muster: Einfache Zahlenketten und Wörterbuchwörter dominieren. Angreifer mit Brute-Force-Werkzeugen testen diese Listen als erstes. Ein Konto mit “123456” als Passwort hält einem gezielten Angriff wenige Sekunden stand.
Warum sich das Verhalten nicht ändert
Der Grund ist strukturell: Menschen verwalten im Schnitt über 100 Online-Konten. Starke, einzigartige Passwörter für jedes Konto zu merken ist ohne Hilfsmittel nicht möglich. Das Ergebnis: Wiederverwendung und Vereinfachung.
Die Lösung ist kein Appell, sondern Technik.
Passwortmanager: strukturelle Grundlage
Ein Passwortmanager generiert starke, einzigartige Passwörter für jedes Konto und speichert sie verschlüsselt. Der Nutzer merkt sich nur ein Master-Passwort. Für Unternehmen bieten zentral verwaltete Passwortmanager wie Pleasant Password Server zusätzlich:
- Rollenbasierte Zugriffskontrollen (wer darf welches Passwort sehen)
- Audit-Logs für Compliance-Nachweise
- Automatische Passwortrotation für Dienstkonten
- Integration in Active Directory und Entra ID
Netzleiter implementiert und betreut Pleasant Password Server für Unternehmenskunden in Hamburg und DACH.
Passkeys: der nächste Schritt
Passkeys ersetzen das Passwort vollständig. Statt eines einzutippenden Geheimnisses erzeugt das Gerät ein kryptographisches Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie. Die Anmeldung erfolgt durch biometrische Freigabe (Fingerabdruck, Gesichtserkennung) oder Geräte-PIN.
Microsoft, Apple und Google unterstützen den FIDO2-Standard für Passkeys. Seit 2024 können Microsoft-Entra-Konten mit Passkeys (FIDO2) auf Windows-Geräten absichert werden, auf denen Windows Hello for Business aktiv ist. Das eliminiert Phishing auf Passwortebene strukturell: Es gibt kein Passwort mehr, das gestohlen werden könnte.
Praktisch für KMU: Passkeys funktionieren heute für Microsoft 365, Google Workspace und viele Cloud-Dienste. Die Einrichtung erfordert einen Rollout-Plan und Nutzerschulung, ist aber keine komplexe Infrastrukturmaßnahme.
Zwei-Faktor-Authentifizierung als Mindestsicherung
Wo Passkeys noch nicht möglich sind, setzt Netzleiter auf Zwei-Faktor-Authentifizierung (2FA) als Pflichtmaßnahme. Methoden in absteigender Stärke:
- FIDO2-Hardwareschlüssel (z.B. YubiKey)
- TOTP-App (Microsoft Authenticator, Google Authenticator)
- Push-Benachrichtigung über Authenticator-App
- SMS-OTP (schwach, anfällig für SIM-Swapping, nur als Fallback)
Für Unternehmenskonten in Microsoft 365 und Entra ist Conditional Access mit MFA-Pflicht der empfohlene Standard.
Nächste Schritte
Netzleiter begleitet die Einführung von Passwortmanagern und Passkeys in Unternehmensumgebungen. Anfrage über die Hotline 040 25 499 500 oder per Mail an support@netzleiter.com.
