Account Schutz Tipps: Anwendung, typische Fehler, Praxiswissen und saubere Workflows

Account-Schutz beginnt nicht mit einer App oder einer Einstellung, sondern mit einem realistischen Bedrohungsmodell. Die meisten kompromittierten Konten werden nicht durch spektakuläre Zero-Day-Exploits übernommen, sondern durch wiederverwendete Passwörter, schwache Recovery-Prozesse, Phishing, Session-Diebstahl und unsaubere Alltagsroutinen. Wer nur auf Passwortstärke schaut, übersieht den eigentlichen Angriffsweg. In der Praxis greifen Angreifer dort an, wo Aufwand und Ertrag in einem günstigen Verhältnis stehen.

Ein typischer Ablauf sieht so aus: Zugangsdaten aus einem alten Datenleck werden automatisiert gegen andere Dienste getestet. Genau dieser Mechanismus steckt hinter Was Ist Credential Stuffing. Wenn dasselbe Passwort für E-Mail, Shop, Streaming und Social Media genutzt wurde, reicht ein einziger Leak aus, um mehrere Konten zu übernehmen. Noch kritischer wird es, wenn das E-Mail-Konto betroffen ist, weil darüber Passwort-Resets für fast alle anderen Dienste ausgelöst werden können.

Daneben existieren Angriffe, die nicht auf Passwortqualität, sondern auf Benutzerverhalten zielen. Phishing-Seiten kopieren Login-Portale, sammeln Zugangsdaten und leiten danach oft auf die echte Seite weiter, damit der Angriff unbemerkt bleibt. Malware und Browser-Infostealer extrahieren gespeicherte Sitzungen, Cookies und Zugangsdaten. In solchen Fällen hilft selbst ein starkes Passwort nur begrenzt, wenn die Session bereits übernommen wurde.

Ein belastbarer Schutzansatz betrachtet daher mehrere Ebenen gleichzeitig: Identität, Authentifizierung, Recovery, Endgerät, Browser, Netzwerk und Reaktionsfähigkeit im Vorfall. Wer verstehen will, warum Passwortqualität nur ein Teil der Gleichung ist, sollte die Grundlagen aus Passwort Sicherheit Grundlagen mit Angriffsmustern wie Phishing Passwort Klau und Keylogger Passwortdiebstahl zusammendenken.

Aus Pentest-Sicht ist ein Account immer nur so stark wie seine schwächste Kette. Ein hervorragend geschütztes Primärpasswort verliert seinen Wert, wenn die Wiederherstellungs-Mailbox schwach gesichert ist, wenn SMS als einziger zweiter Faktor genutzt wird oder wenn auf einem kompromittierten Gerät dauerhaft eingeloggte Sessions offenliegen. Genau deshalb muss Kontoschutz als Workflow verstanden werden, nicht als Einzelmaßnahme.

Der häufigste Fehler im Account-Schutz ist nicht ein zu kurzes Passwort, sondern Passwort-Wiederverwendung. Viele Nutzer variieren nur minimal: Dienstname anhängen, Jahreszahl austauschen, Sonderzeichen ergänzen. Für Menschen wirkt das unterschiedlich, für Angreifer ist es vorhersehbar. Sobald ein Passwort aus einem Leak bekannt ist, werden Varianten automatisiert erzeugt und getestet. Deshalb ist Einzigartigkeit pro Dienst wichtiger als oberflächliche Komplexität.

Ein gutes Passwort muss nicht kryptisch aussehen. Lange, zufällige oder sauber erzeugte Passphrasen sind in der Praxis robuster und besser handhabbar. Die Unterschiede zwischen Länge, Entropie und erzwungener Komplexität werden häufig missverstanden. Vertiefend dazu passen Was Ist Ein Sicheres Passwort, Passphrase Vs Passwort und Passwort Laenge Oder Komplexitaet.

In realen Angriffen werden Passwörter selten manuell geraten. Es kommen Wortlisten, Regelwerke, Leetspeak-Varianten, bekannte Muster und GPU-beschleunigte Offline-Angriffe zum Einsatz. Wer verstehen will, wie schnell schwache oder nur scheinbar komplexe Kennwörter fallen, findet die technische Perspektive in Wie Schnell Ist Passwort Cracken und Gpu Passwort Cracking. Für den Alltag bedeutet das: keine Namen, keine Geburtsdaten, keine Tastaturmuster, keine Wiederverwendung, keine systematischen Varianten.

• Für jeden Dienst ein eigenes Passwort oder eine eigene Passphrase verwenden.
• Keine Muster wie Dienstname+Jahr, Saison+Zahl oder austauschbare Sonderzeichen nutzen.
• Besonders kritische Konten wie E-Mail, Banking, Cloud und Passwort-Manager mit maximaler Einzigartigkeit absichern.

Ein weiterer Praxisfehler ist das Speichern von Passwörtern in unsicheren Notizen, Chatverläufen oder unverschlüsselten Dateien. Ebenso problematisch ist das Teilen von Zugangsdaten im Team oder in der Familie. Sobald ein Passwort mehrfach bekannt ist, sinkt die Nachvollziehbarkeit und das Risiko steigt. Für saubere Strategien sind Beste Passwort Strategien und Passwort Teilen Risiken relevant.

Wer viele Konten verwaltet, kommt an einem Passwort-Manager kaum vorbei. Ohne Manager entstehen fast zwangsläufig Wiederverwendung, schwache Merkhilfen oder unsichere Ablagen. Entscheidend ist dann nicht nur die Nutzung, sondern die saubere Absicherung des Master-Zugangs und des Geräts, auf dem der Tresor verwendet wird.

Multi-Faktor-Authentifizierung reduziert das Risiko massiv, aber nur bei korrekter Umsetzung. Viele aktivieren 2FA und gehen danach von vollständigem Schutz aus. In der Praxis hängt die Wirksamkeit davon ab, welcher Faktor genutzt wird, wie Recovery geregelt ist und ob Phishing-resistente Verfahren eingesetzt werden. SMS ist besser als gar kein zweiter Faktor, aber anfälliger für SIM-Swaps, Social Engineering beim Provider und Abfangen in bestimmten Angriffsszenarien. Authenticator-Apps sind meist robuster. Hardware-Token oder Passkeys bieten in vielen Umgebungen den stärksten Schutz.

Die Unterschiede zwischen Verfahren werden oft unterschätzt. Ein OTP-Code aus einer App schützt gegen reines Credential Stuffing, aber nicht automatisch gegen Echtzeit-Phishing, wenn der Code direkt abgegriffen und weiterverwendet wird. Phishing-resistente Verfahren binden die Anmeldung stärker an den legitimen Dienst und erschweren Relay-Angriffe deutlich. Grundlagen und Abgrenzungen finden sich in Multi Factor Authentication Erklaert und 2fa Vs Mfa.

Ein häufiger Fehler ist die Aktivierung von MFA nur für einzelne Dienste, nicht aber für das zentrale E-Mail-Konto. Das ist sicherheitstechnisch falsch priorisiert. Wer Zugriff auf die Mailbox hat, kann häufig Passwort-Resets auslösen, Sicherheitsbenachrichtigungen löschen und weitere Konten übernehmen. Die Reihenfolge sollte immer lauten: primäre E-Mail, Passwort-Manager, Cloud-Speicher, Banking, Social Media, Arbeitskonten.

Ebenso kritisch sind Backup-Codes. Sie werden oft unverschlüsselt gespeichert, ausgedruckt offen herumliegen gelassen oder zusammen mit dem Gerät transportiert, das bereits den ersten Faktor enthält. Dann wird aus einer Sicherheitsmaßnahme ein Umgehungspfad. Backup-Codes gehören getrennt, kontrolliert und nachvollziehbar aufbewahrt.

Saubere MFA-Workflows umfassen nicht nur die Aktivierung, sondern auch Gerätewechsel, Verlustfälle und Wiederherstellung. Wer ein neues Smartphone einrichtet, sollte vor dem Zurücksetzen des alten Geräts prüfen, ob alle TOTP-Profile migriert oder neu registriert wurden. In Incident-Response-Fällen ist genau dieser Punkt oft der Grund, warum legitime Nutzer ausgesperrt werden oder hektisch unsichere Recovery-Wege aktivieren.

Das wichtigste Einzelkonto im privaten und beruflichen Umfeld ist fast immer die primäre E-Mail-Adresse. Sie fungiert als Identitätsanker, Benachrichtigungskanal und Recovery-Ziel. Wer dieses Konto kontrolliert, kontrolliert häufig die Passwort-Reset-Prozesse zahlreicher weiterer Dienste. Genau deshalb muss die Mailbox stärker geschützt werden als gewöhnliche Plattformkonten.

In Vorfällen zeigt sich regelmäßig dasselbe Muster: Ein altes Passwort aus einem Leak wird erfolgreich gegen das E-Mail-Konto getestet, weil Wiederverwendung vorliegt. Danach werden Weiterleitungsregeln angelegt, Sicherheitsmails archiviert oder gelöscht und Passwort-Resets für andere Dienste ausgelöst. Der eigentliche Schaden entsteht also nicht nur durch den Mailzugriff selbst, sondern durch die Kaskade nachgelagerter Übernahmen.

Besonders gefährlich sind versteckte Persistenzmechanismen. Dazu gehören automatische Weiterleitungen an fremde Adressen, zusätzliche App-Passwörter, unbekannte verbundene Geräte, delegierte Zugriffe oder Recovery-Adressen, die nicht mehr unter eigener Kontrolle stehen. Nach einer Kompromittierung reicht es nicht, nur das Passwort zu ändern. Das Konto muss vollständig auf Manipulation geprüft werden.

• Primäre E-Mail mit einzigartigem Passwort und starker MFA absichern.
• Recovery-Mail, Telefonnummern, Weiterleitungen und verbundene Geräte regelmäßig prüfen.
• Benachrichtigungen über neue Logins, Regeländerungen und Sicherheitsereignisse aktivieren.

Für sensible Konten ist außerdem relevant, wie Passwörter übertragen und Login-Seiten geprüft werden. Gefälschte Portale, unsaubere TLS-Prüfung oder Login-Eingaben in manipulierten Umgebungen hebeln selbst gute Zugangsdaten aus. Ergänzend dazu sind Https Und Passwoerter und Passwort Sicher Uebertragen praxisrelevant.

Wer das E-Mail-Konto als Root of Trust behandelt, priorisiert Schutzmaßnahmen automatisch richtig. Das reduziert nicht nur die Wahrscheinlichkeit einer Übernahme, sondern begrenzt auch die Reichweite eines einzelnen Fehlers.

Viele Konten sind auf dem Papier gut geschützt, scheitern aber an schwachen Wiederherstellungswegen. Recovery ist aus Angreifersicht attraktiv, weil dort oft geringere Hürden gelten als beim normalen Login. Wenn ein Dienst nach wenigen personenbezogenen Angaben, einer alten Telefonnummer oder einer schwach geschützten Ersatz-Mail den Zugang zurücksetzt, wird die eigentliche Passwort- und MFA-Sicherheit unterlaufen.

Typische Schwachstellen sind veraltete Telefonnummern, ehemalige Firmenadressen als Backup-Mail, Sicherheitsfragen mit öffentlich recherchierbaren Antworten und Support-Prozesse, die sich durch Social Engineering beeinflussen lassen. Gerade Sicherheitsfragen sind praktisch tot, weil Antworten oft aus sozialen Netzwerken, Datenleaks oder einfachen OSINT-Recherchen ableitbar sind.

Ein sauberer Recovery-Workflow bedeutet: nur aktuelle und kontrollierte Wiederherstellungsdaten hinterlegen, unnötige Fallbacks entfernen, Backup-Codes sicher lagern und Support-Optionen kennen, bevor ein Notfall eintritt. Wer erst im Incident improvisiert, trifft oft schlechte Entscheidungen und öffnet neue Risiken.

Auch Telefonnummern verdienen eine nüchterne Bewertung. Sie sind bequem, aber nicht immer der beste Vertrauensanker. Nummern können portiert, recycelt oder durch Social Engineering missbraucht werden. Wenn ein Dienst stärkere Recovery-Optionen anbietet, sollten diese bevorzugt werden. In hochkritischen Umgebungen ist es sinnvoll, Recovery bewusst restriktiv zu halten und lieber mehr Aufwand im Ernstfall in Kauf zu nehmen als einen einfachen Bypass zuzulassen.

Aus operativer Sicht sollte jede Änderung an Recovery-Daten wie eine sicherheitskritische Konfigurationsänderung behandelt werden. Nach Anpassungen gehören Bestätigung, Dokumentation und eine kurze Funktionsprüfung dazu. Wer mehrere wichtige Konten verwaltet, sollte eine eigene Liste führen: Welche Recovery-Wege existieren, wo liegen Backup-Codes, welche Geräte sind registriert, welche Kontaktpunkte sind aktuell.

Viele Schutzkonzepte enden beim Login. Angreifer denken weiter. Wenn Zugangsdaten nicht direkt erbeutet werden können, werden Sitzungen übernommen, Browser kompromittiert oder Nutzer in Echtzeit auf gefälschte Portale gelenkt. Das ist der Grund, warum selbst Konten mit starken Passwörtern und aktivierter MFA kompromittiert werden können.

Phishing ist längst nicht mehr auf plumpe Massenmails beschränkt. Moderne Kampagnen nutzen täuschend echte Domains, geklonte Login-Seiten, Reverse-Proxy-Techniken und Zeitdruck. Besonders gefährlich sind Szenarien, in denen der Nutzer einen MFA-Code eingibt und der Angreifer ihn sofort gegen den echten Dienst verwendet. Deshalb muss Schutz immer auch Verhaltens- und Umgebungsaspekte abdecken. Vertiefend dazu passen Phishing Passwort Klau und Login Sicherheit Erhoehen.

Session-Diebstahl ist in der Praxis oft unterschätzt. Viele Dienste vertrauen nach erfolgreichem Login auf Cookies oder Tokens, die über längere Zeit gültig bleiben. Wenn Malware, ein bösartiges Browser-Plugin oder ein kompromittiertes System diese Artefakte ausliest, kann ein Angreifer unter Umständen ohne erneute Passworteingabe auf das Konto zugreifen. Dann hilft ein Passwortwechsel erst, wenn bestehende Sessions serverseitig beendet werden.

Auch gespeicherte Browser-Passwörter sind differenziert zu betrachten. Sie sind nicht automatisch unsicher, aber ihre Sicherheit hängt stark vom Geräteschutz, Betriebssystem-Login, Malware-Status und der Browser-Härtung ab. Wer auf gemeinsam genutzten oder schlecht gepflegten Geräten arbeitet, erhöht das Risiko deutlich. Dazu ist Browser Passwoerter Sicher eine sinnvolle Ergänzung.

Ein robuster Workflow umfasst daher nicht nur Login-Hygiene, sondern auch Browser-Disziplin: keine unbekannten Erweiterungen, keine Login-Eingaben über Links aus Nachrichten, regelmäßige Updates, getrennte Profile für sensible Konten und konsequentes Abmelden auf fremden Systemen. In Unternehmensumgebungen kommen zusätzlich Conditional Access, Device Trust und Session-Policies ins Spiel.

Kontoschutz scheitert oft am Endgerät. Wenn Notebook oder Smartphone kompromittiert sind, können Passwörter, Tokens, MFA-Codes und Recovery-Daten direkt abgegriffen werden. In Pentests zeigt sich regelmäßig, dass Nutzer viel Energie in Passwortregeln investieren, aber lokale Schutzmaßnahmen vernachlässigen: kein aktuelles System, schwache Gerätesperre, unnötige Administratorrechte, unsichere Downloads, alte Browser-Erweiterungen.

Ein Angreifer braucht nicht immer den Account direkt anzugreifen. Es reicht, die Umgebung zu kontrollieren, in der die Anmeldung stattfindet. Keylogger, Clipboard-Hijacker, Infostealer und Remote-Access-Malware sind dafür klassische Beispiele. Besonders kritisch ist das bei Geräten, auf denen gleichzeitig E-Mail, Passwort-Manager und Authenticator-App genutzt werden. Dann konzentriert sich zu viel Vertrauensmaterial auf einem kompromittierbaren Punkt.

Saubere Gerätehygiene bedeutet nicht nur Updates einzuspielen. Es geht um Trennung von Rollen, minimale Rechte und bewusste Nutzung. Ein privates Alltagsgerät, auf dem beliebige Software getestet wird, ist kein idealer Ort für hochkritische Administrationskonten. Für besonders sensible Zugänge lohnt sich ein separates, sauber gehaltenes Gerät oder zumindest ein getrenntes Benutzerprofil.

• Betriebssystem, Browser, Passwort-Manager und Authenticator konsequent aktuell halten.
• Nur notwendige Erweiterungen installieren und deren Berechtigungen regelmäßig prüfen.
• Gerätesperre, Festplattenverschlüsselung und sichere lokale Benutzerkonten standardmäßig aktivieren.

Auch physische Sicherheit gehört dazu. Ein entsperrtes Gerät auf Reisen, im Büro oder im Homeoffice ist ein realistischer Angriffsvektor. Gleiches gilt für gemeinsam genutzte Systeme. Wer sich auf fremden Geräten anmeldet, muss davon ausgehen, dass Tastatureingaben, Sessions oder Downloads beobachtet werden können. Für kritische Konten ist das grundsätzlich zu vermeiden.

Der praktische Grundsatz lautet: Zugangsdaten nie isoliert betrachten. Ein starkes Passwort auf einem schwachen Gerät ist kein starker Schutz. Erst die Kombination aus gutem Geheimnis, starkem zweiten Faktor und vertrauenswürdiger Ausführungsumgebung ergibt ein belastbares Sicherheitsniveau.

Guter Account-Schutz zeigt sich nicht in einer einzelnen Konfiguration, sondern in wiederholbaren Routinen. Wer täglich mit vielen Diensten arbeitet, braucht Abläufe, die sicher und gleichzeitig praktikabel sind. Sonst werden Schutzmaßnahmen umgangen, weil sie im Alltag stören. Genau hier trennt sich Theorie von belastbarer Praxis.

Für private Konten empfiehlt sich eine klare Priorisierung: zuerst E-Mail, Passwort-Manager, Cloud, Banking und Social Media absichern. Für berufliche Konten kommt die Trennung zwischen privaten und geschäftlichen Identitäten hinzu. Keine privaten Postfächer als Recovery für Arbeitskonten, keine Wiederverwendung von Passwörtern zwischen Unternehmensdiensten und privaten Plattformen, keine Weiterleitung sensibler Sicherheitsmails an unkontrollierte Adressen.

Privilegierte Konten wie Administrator-, Root- oder Tenant-Admin-Zugänge benötigen einen deutlich strengeren Workflow. Diese Konten sollten nicht für normales Lesen von E-Mails, Web-Browsing oder Alltagsarbeit genutzt werden. In professionellen Umgebungen ist ein separates Admin-Konto Standard, idealerweise mit stärkerer MFA, restriktiveren Login-Bedingungen und sauberer Protokollierung. Ergänzend dazu sind Passwort Fuer Admin Accounts und Zero Trust Authentifizierung relevant.

Ein weiterer Punkt ist Passwort-Änderung mit Augenmaß. Ständige Rotation ohne Anlass führt oft zu schwachen Varianten und Notizzetteln. Sinnvoll ist eine Änderung bei Verdacht auf Kompromittierung, nach Datenleaks, bei geteilter Kenntnis oder wenn ein Dienst selbst einen Vorfall meldet. Die Frage nach sinnvoller Rotation wird häufig falsch beantwortet; praxisnah ist Passwort Rotation Sinnvoll.

Auch Passwort-Manager müssen in den Workflow eingebettet werden. Automatisches Ausfüllen sollte bewusst konfiguriert sein, Tresore dürfen nicht dauerhaft entsperrt bleiben, und das Master-Passwort braucht denselben Schutz wie ein Kronjuwel. Wer einen Manager nutzt, aber das Master-Passwort wiederverwendet oder die Mailbox dahinter schwach absichert, verschiebt das Risiko nur.

Ein guter Schutzplan enthält immer auch eine Reaktionsstrategie. Wer erst im Ernstfall überlegt, was zu tun ist, verliert Zeit und übersieht Spuren. Typische Anzeichen einer Übernahme sind Login-Warnungen aus unbekannten Regionen, Passwort-Reset-Mails ohne eigene Aktion, neue Geräte in der Kontoliste, geänderte Recovery-Daten, unerklärliche Weiterleitungsregeln oder Meldungen über ungewöhnliche Aktivitäten.

Die erste Maßnahme ist nicht blinder Aktionismus, sondern kontrolliertes Vorgehen von einem vertrauenswürdigen Gerät aus. Wenn der Verdacht auf Malware besteht, darf die Bereinigung nicht auf dem möglicherweise kompromittierten System beginnen. Sonst werden neue Zugangsdaten direkt wieder abgegriffen. Zuerst muss die Umgebung stimmen, dann folgt die Kontosicherung.

Ein praxistauglicher Ablauf sieht so aus:

1. Von einem sauberen Gerät anmelden oder Recovery einleiten.
2. Passwort des betroffenen Kontos ändern.
3. Alle aktiven Sessions und angemeldeten Geräte abmelden.
4. MFA-Einstellungen, Recovery-Daten und Weiterleitungsregeln prüfen.
5. Verknüpfte Konten priorisiert absichern, beginnend mit E-Mail und Passwort-Manager.
6. Das ursprünglich genutzte Gerät auf Malware, Browser-Erweiterungen und Infostealer-Spuren prüfen.

Wichtig ist die Kaskadenlogik. Wenn ein E-Mail-Konto kompromittiert war, müssen alle darüber zurücksetzbaren Konten als potenziell gefährdet gelten. Wenn ein Passwort wiederverwendet wurde, betrifft der Vorfall nicht nur einen Dienst. Wenn Sessions gestohlen wurden, reicht ein Passwortwechsel allein nicht. Genau diese Denkfehler führen dazu, dass Angreifer nach kurzer Zeit erneut Zugriff erhalten.

Bei Datenleaks oder Verdacht auf bekannte Passwortoffenlegung sollte außerdem geprüft werden, ob das betroffene Passwort irgendwo anders verwendet wurde. Dazu passt Ist Mein Passwort Gehackt. Für die langfristige Härtung nach einem Vorfall sind Passwort Sicherheits Checkliste und Login Sicherheit Erhoehen sinnvolle nächste Schritte.

Professionelle Reaktion heißt auch, Beweise nicht unnötig zu zerstören. In Unternehmensumgebungen sollten Logs, Zeitpunkte, IP-Hinweise und betroffene Systeme dokumentiert werden. Das hilft bei Ursachenanalyse, Meldepflichten und der Vermeidung von Wiederholungen.

Ein belastbarer Kontoschutz braucht keine überladene Tool-Landschaft, sondern eine saubere Architektur. Das Minimum besteht aus einzigartigen Passwörtern, einem vertrauenswürdig eingerichteten Passwort-Manager, starker MFA für alle kritischen Konten, gehärteter primärer E-Mail, kontrollierten Recovery-Wegen, gepflegten Endgeräten und einem klaren Incident-Workflow. Alles andere baut darauf auf.

Wer diese Architektur umsetzt, reduziert die häufigsten realen Angriffswege drastisch: Wiederverwendung wird durch eindeutige Geheimnisse gebrochen, Credential Stuffing verliert Wirkung, Phishing wird durch bessere Login-Disziplin und stärkere Faktoren erschwert, Session-Risiken werden durch Gerätehygiene und bewusste Browser-Nutzung begrenzt, Recovery-Missbrauch wird durch saubere Fallbacks eingedämmt.

Entscheidend ist Konsistenz. Ein einziges schwaches Konto kann als Einstiegspunkt genügen, wenn es mit anderen Identitäten verknüpft ist. Deshalb sollte Kontoschutz nicht selektiv, sondern systematisch umgesetzt werden. Besonders wichtig ist die Reihenfolge: zuerst Identitätsanker absichern, dann abhängige Dienste, dann Komfortfunktionen prüfen und minimieren.

Ein praxistaugliches Mindestmodell lässt sich so zusammenfassen:

- Einzigartiges Passwort pro Dienst
- Passwort-Manager mit starkem Master-Zugang
- MFA für E-Mail, Passwort-Manager, Cloud, Banking und Arbeitskonten
- Recovery-Daten regelmäßig prüfen
- Geräte und Browser aktuell und schlank halten
- Sicherheitswarnungen aktivieren und ernst nehmen
- Bei Vorfällen von einem sauberen System aus reagieren

Wer darüber hinausgehen will, kann privilegierte Konten trennen, Hardware-basierte Faktoren einsetzen, dedizierte Geräte für kritische Logins verwenden und Prinzipien aus Single Sign On Sicherheit oder Identity Access Management Passwort auf die eigene Umgebung übertragen. Der Kern bleibt aber immer gleich: Schutz entsteht durch saubere, wiederholbare Entscheidungen an den richtigen Stellen.

Konten werden nicht deshalb übernommen, weil Angreifer magisch stark sind, sondern weil irgendwo ein schwacher Übergang existiert: ein wiederverwendetes Passwort, eine ungeschützte Mailbox, ein unsicheres Recovery, ein kompromittiertes Gerät oder eine gestohlene Session. Wer diese Übergänge systematisch schließt, erreicht in der Praxis bereits ein sehr hohes Sicherheitsniveau.