Setzen Sie diese 25 Passwörter sofort auf die Blacklist und nutzen Sie die folgenden Tipps, um die Passwortsicherheit Ihres Unternehmens zu verbessern. [...]
Pop-Quiz: Welches ist seit 2013 jedes Jahr das beliebteste – und daher am wenigsten sichere – Passwort? Wenn Sie „Passwort“ antworten würden, wären Sie nahe dran. „Qwerty“ wäre ein weiterer Kandidat für diese zweifelhafte Auszeichnung, aber der Sieger ist das einfachste, offensichtlichste Passwort, das man sich vorstellen kann: “123456.”
Ja, viele Leute benutzen immer noch „123456“ als Passwort, wie die 25 häufigsten Passwörter von SplashData belegen. In den Jahren 2011 und 2012 belegte es den zweiten Platz und war danach bis 2019 jedes Jahr die Nummer eins. Die Liste von SplashData basiert auf einer Analyse von Millionen von Passwörtern, die ins Internet durchgesickert sind.
Viele andere extrem unsichere Passwörter machen SplashDatas jährliche Passwort-Liste zu einer Hall of Shame, darunter das bereits erwähnte „Passwort“ (immer unter den ersten fünf und Nr. 1 in 2011 und 2012), „qwerty“ (immer unter den ersten zehn) und eine etwas längere Variante des amtierenden Meisters, „12345678“ (immer unter den ersten sechs).
„Enttäuschend ist, dass es keine großen Unterschiede zwischen den jüngsten Listen der schlechtesten Passwörter und den diesjährigen gibt“, so Morgan Slain, CEO von SplashData. Das liegt daran, dass die Passwörter auf diesen Listen zumeist von Verbrauchern generiert werden, die sich weiterhin auf einfache und leicht zu merkende Passwörter verlassen – und daher viel zu leicht gehackt werden können, erklärt er.
Die schlechtesten Passwörter des Jahres 2019
Hier sind SplashDatas beliebteste, am wenigsten sichere Passwörter von 2019.
- 123456
- 123456789
- qwerty
- Passwort/password
- 1234567
- 12345678
- 12345
- iloveyou
- 111111
- 123123
Andere Listen von NordPass und dem National Cyber Security Center des Vereinigten Königreichs stimmen größtenteils mit den Ergebnissen von SplashData überein. Und ein Vergleich mit der 2018er Liste von SplashData zeigt von Jahr zu Jahr keine großen Veränderungen.
Wir haben auch Cybersicherheitsexperten um ihre Gedanken zu den Problemen mit Unternehmenspasswörtern, zur Verbesserung der Passwort- und Authentifizierungssicherheit und zur Möglichkeit einer „passwortlosen Zukunft“ gebeten.
Das Problem mit Unternehmenspasswörtern
Unternehmen setzen zunehmend auf Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO), um die Sicherheit zu erhöhen. Dennoch haben zu viele Mitarbeiter „immer noch eine schlechte Passwort-Hygiene, die die allgemeine Sicherheitslage ihres Unternehmens schwächt“, so der 3. jährliche Global Password Security Report (2019) von LogMeIn.
Es ist kein Wunder, dass viele Mitarbeiter unter Passwortmüdigkeit leiden, was wiederum zu einer laxen Passwortsicherheit führt. Der Bericht von LogMeIn stellt fest, dass Benutzer in größeren Unternehmen (1.001 bis 10.000 Mitarbeiter) im Durchschnitt 25 Passwörter haben, mit denen sie zu kämpfen haben. Das Problem ist bei Benutzern in kleinen Unternehmen (25 oder weniger Mitarbeiter), die im Durchschnitt 85 Passwörter zu jonglieren haben, noch akuter. Mitarbeiter in der Medien-/Werbebranche verwenden im Durchschnitt die größte Anzahl von Passwörtern – 97 – im Vergleich zu 54 Passwörtern pro Mitarbeiter in der Verwaltung (der Sektor mit der niedrigsten durchschnittlichen Anzahl von Passwörtern pro Mitarbeiter).
„Passwörter sind traditionell die erste Verteidigungslinie für Unternehmen, aber sie verursachen auch weiterhin Frustration und Risiken“, meint John Bennett, General Manager für Identitäts- und Zugangsmanagement bei LogMeIn. „Mehr noch, die gemeinsame Nutzung und Wiederverwendung von Passwörtern ist in den meisten Unternehmen nach wie vor gängige Praxis, wobei Mitarbeiter ein Passwort im Durchschnitt 13 Mal wiederverwenden.
Die Schatten-IT stellt eine weitere Herausforderung dar. „Eines der größten Probleme, das die Passwortsicherheit in Unternehmen plagt, ist die Schatten-IT, bei der Mitarbeiter Anwendungen, Dienste und Geräte von Drittanbietern ohne IT-Überwachung nutzen, um ihre Arbeit effizienter zu erledigen“, erklärt Matt Davey, Chief Operating Officer beim Passwortmanagement-Softwareunternehmen 1Password. „Da die Mitarbeiter weiterhin ihre eigenen Produktivitäts-Hacks finden, führt die ‚Lösen Sie Ihr eigenes Problem‘-Mentalität zu ungesehenen Passwörtern, die keiner IT-Überwachung unterliegen.“
Alles in allem birgt das Passwortproblem erhebliche Risiken für Unternehmen. Der Data Breach Investigations Report 2019 von Verizon stellt fest, dass 80 % der Sicherheitsverletzungen von Daten auf schwache oder kompromittierte Passwörter zurückzuführen sind.
Wie die Sicherheit von Unternehmenspasswörtern verbessert werden kann
Fordern Sie die Verwendung eines Passwortmanagers
Anwendungen zur Passwortverwaltung für Geschäftskunden (wie 1Password, Dashlane und LastPass) sind ein effektiver erster Schritt zur Reduzierung der Sicherheitsrisiken, die mit Passwörtern verbunden sind, bemerkt Dr. David Archer, leitender Wissenschaftler für Kryptographie und Mehrparteien-Berechnungen bei der Sicherheitsforschungs- und Beratungsfirma Galois. Er empfiehlt, dass Unternehmensanwender Passwortmanager einsetzen, um lange Passwörter zu generieren und zu speichern, wobei alle Alphabet-Optionen (wie z.B. Buchstaben mit gemischten Buchstaben) aktiviert sein sollten. Mit einem Passwortmanager sollten Benutzer nur zwei Passwörter haben, die sie sich merken müssen, fügt er hinzu: das Passwort für die Passwortmanager-Anwendung und das Passwort für das Computerkonto, mit dem sich ein Benutzer täglich anmeldet.
Fordern Sie die Verwendung von MFA
Zu den MFA-Faktoren gehören das, was Sie wissen (ein Passwort), das, was Sie haben (ein Gerät, z.B. ein Smartphone) und wer Sie sind (ein Fingerabdruck- oder Gesichtserkennungs-Scan). Die Verwendung von MFA, um eine Verifizierung zu verlangen, wie z.B. ein Code, der an ein mobiles Gerät gesendet wird, kann zusätzlich zur Verwendung starker, eindeutiger Passwörter dazu beitragen, einen besseren Schutz für Unternehmen zu bieten, betont Justin Harvey, Global Incident Response Lead bei Accenture Security.
Lassen Sie die Benutzer keine Passwörter mit Wörterbuchwörtern erstellen
Bei einem brutalen Wörterbuch-Angriff verwendet der Täter eine Software, die systematisch jedes Wort aus einem Wörterbuch verwendet, um ein Passwort zu ermitteln. Um solche Angriffe zu vereiteln, empfehlen viele Experten, keine Wörter zu verwenden, die in einem Wörterbuch zu finden sind.
Lenken Sie die Benutzer von Passwörtern ab, die Informationen über sie enthalten
Verwenden Sie in einem Kennwort nicht die Namen von Ehepartner, Haustier, Wohnort, Geburtsort oder andere persönliche Informationen, da diese Informationen anhand der Social-Media-Konten des Benutzers abgeleitet werden könnten. „Ein Hacker errät viel eher den Namen Ihres ‚Haustiers + 1234‘ als Ihr Passwort, als dass er herausfinden könnte, dass Ihr Passwort ‚D2a5n6fian71eTBa2a5er‘ lautet“, so Davey.
Benutzer darüber aufklären, was ein Passwort sicher macht
Ein sicheres Passwort taucht nirgendwo sonst im öffentlichen Bereich auf (z.B. in Wörterbüchern), erscheint nirgendwo im privaten Bereich (z.B. bei anderen Konten, die die Benutzer verwenden) und enthält so viele zufällige Zeichen, dass es eine Ewigkeit dauern würde, das Passwort zu knacken, selbst bei Anwendung von Brute-Force- oder Regenbogentabellen-Techniken, erklärt Archer.
Regelmäßige Passwort-Audits durchführen
Im Idealfall sollte Ihre Organisation ein Authentifizierungssystem verwenden, das die Überprüfung von Passwörtern ermöglicht, so Tim Mackey, Hauptsicherheitsstratege am Synopsys Cybersecurity Research Center (CyRC). „Achten Sie auf Dinge wie die Wiederverwendung von Passwörtern unter den Mitarbeitern oder die Verwendung gemeinsamer Wörter oder gemeinsamer Begriffe mit einfachen Zeichenersetzungen. Wenn Sie ein schwaches Passwort aufdecken, nutzen Sie die Veranstaltung als eine Lerngelegenheit für Ihre Benutzer“.
Fehler nicht verunglimpfen
Schaffen Sie eine Umgebung, in der sich die Mitarbeiter wohl fühlen, wenn sie Fragen oder Bedenken bezüglich der Sicherheit äußern, insbesondere wenn sie den Verdacht haben, dass sie einen Fehler gemacht haben könnten, empfiehlt 1Password’s Davey. „Verunglimpfen Sie die Leute nicht“, meint er, denn sie könnten Angst davor haben, Ihnen zu sagen, wenn sie einen Fehler gemacht haben. „Wenn Sie über Sicherheitsprobleme Bescheid wissen, wenn diese auftreten, können Sie schnell handeln, um die anfängliche Bedrohung anzugehen und Maßnahmen zu ergreifen, um dies in Zukunft zu verhindern.“
Benutzer sollten Passwörter mit allen Zeichentypen generieren
Dazu gehören Groß- und Kleinbuchstaben, Zahlen und Symbole, rät Shayne Sherman, CEO der Online-Technologie-Wissensdatenbank TechLoris. „Verwenden Sie einen Algorithmus, der die Passwörter mit den früheren Passwörtern der Benutzer vergleicht, um ein Inkrementieren zu verhindern.
Die passwortlose Zukunft steht unmittelbar bevor – oder?
Werden Bedenken bezüglich schwacher und starker Passwörter dank alternativer Formen der Authentifizierung wie biometrischer Gesichts- und Fingerabdruckscans in naher Zukunft irrelevant werden? Einige Cybersicherheitsexperten kaufen den kennwortlosen Traum nicht ab. „Ich glaube nicht, dass wir jemals ganz frei von Passwörtern sein werden“, meint Mackey von Synopsis CyRC. „Selbst wenn Single-Sign-On oder Social-Media-Authentifizierungsparadigmen verwendet werden, besteht weiterhin die Notwendigkeit, einen Benutzer zu identifizieren. Während biometrische Lösungen vielversprechend sind, werden solche Lösungen am besten als zusätzlicher Faktor in einer Multi-Faktor-Strategie eingesetzt.“
Die biometrische Authentifizierung hat ihre Nachteile, fügt Laurence Pitt, Direktorin für globale Sicherheitsstrategie bei Juniper Networks, hinzu. „Ein Nachteil der Biometrie besteht darin, dass sie genauso leicht gestohlen werden kann wie Ihre Kreditkarte“, sagt er. „Ein weiterer Nachteil ist, dass es andere Umgebungen gibt, in denen diese Authentifizierungsmethoden einfach nicht durchführbar sind“, fügt er hinzu. Dies kann dazu führen, dass Menschen die reine Passwortauthentifizierung als Standard verwenden, was nicht ausreicht.
Internet of Things (IoT) Geräte machen die Hoffnung auf eine passwortlose Zukunft noch komplexer, findet Assaf Harel, Chefwissenschaftler und Mitbegründer von Karamba Security. „Diese Geräte sind normalerweise mit leicht zu erratenden oder zu durchsuchenden Standardpasswörtern ausgestattet. So können sie zu einer Spielwiese für viele Botnets wie Mirai werden, die nach einer passiven Flotte von Geräten suchen, um ihre dezentralen Denial-of-Service-Kampagnen zu bedienen. IoT-Geräte erfordern einen neuen Blick darauf, wie man die Multifaktor-Authentifizierung in Einzweck-Geräte integrieren kann, um die Rekrutierung von Botnets erheblich zu erschweren“.
Dennoch sagen einige Experten voraus, dass wir auf dem Weg in eine passwortlose Zukunft sind. „Veränderungen brauchen Zeit, aber ich wäre nicht überrascht, wenn wir irgendwann in einer kennwortlosen Welt leben würden“, meint Peter Purcell, Mitbegründer von EVAN360, einer Plattform für die Unterstützung von Remote-Technologie. Unterdessen werden laut Purcell Sicherheitsmaßnahmen wie Gesichts- und Fingerabdruck-Scans, USB-Sicherheitsschlüssel und Stimmbiometrie Unternehmen zunehmend eine fortschrittlichere Benutzerauthentifizierung ermöglichen.
Purcell weist beispielsweise darauf hin, dass Google seit 2017 von allen Mitarbeitern verlangt, anstelle von Passwörtern und Einmal-Codes physische Sicherheitsschlüssel zu verwenden. Das Unternehmen berichtete ein Jahr später, dass keiner seiner Mitarbeiter erfolgreich gephisht worden sei.
Die Biometrie „wird uns sicherlich von Passwörtern befreien und die Authentifizierung einfacher und zuverlässiger gestalten“, fügt McAfee-CIO Scott Howitt hinzu. „In der Vergangenheit bestand das Problem mit der Biometrie, wie etwa der Gesichtserkennung, in der Menge an Computer-Power, die für den Betrieb solcher Systeme benötigt wurde. Heute laufen diese Systeme in der Cloud und sind schnell und effizient. Der Schlüssel ist, dass die Biometrie einfach zu benutzen und zuverlässig sein muss. Die Nutzer müssen darauf vertrauen können, dass die von ihnen eingerichtete Biometrie ihr Leben erleichtert und nicht erschwert.
Letztlich wird der Übergang zu „wirklich passwortlosen Authentifizierungen eine Reise sein“, erklärt Jim Ducharme, Vizepräsident der RSA für Identitäts- und Betrugs- und Risikoaufklärungsprodukte. „Heute ist die gesamte kennwortlose Authentifizierung verwurzelt und auf ein Kennwort und einen Benutzernamen für die Anmeldung und Wiederherstellung von Konten angewiesen. Während die kennwortlose Authentifizierung wie Gesichts- und Fingerabdruck-ID auf vielen Geräten üblich ist, werden Konten immer noch mit einem Kennwort eingerichtet, und wenn das Gerät verloren geht oder gestohlen wird, wird das Konto mit einem Kennwort wiederhergestellt.
Um eine kennwortlose Welt zu verwirklichen, brauchen wir also einen Ansatz, der die Registrierung von Berechtigungsnachweisen, die Wiederherstellung und Möglichkeiten zur sicheren Authentifizierung von Benutzern auf Geräten, die weder Biometrie noch Fast Identity Online (FIDO) unterstützen, berücksichtigt.
„Diese neuen Authentifizierungsmethoden, kombiniert mit sichereren Registrierungs- und Wiederherstellungsmechanismen und überlagert mit einer risikobasierten Authentifizierung, sind der Schlüssel zum vollständigen Verzicht auf die Verwendung von Passwörtern“, erklärt Ducharme. „Oder zumindest werden sie es uns ermöglichen, die Komplexität eines Passworts drastisch zu reduzieren, so dass es mehr wie eine einfache vierstellige PIN aussieht.“
*James A. Martin ist ein erfahrener Tech-Journalist und Blogger aus San Francisco und Gewinner des ASBPE National Gold Award 2014 für seinen Living the Tech Life Blog auf CIO.com. Außerdem ist er als Berater für Content-Marketing tätig.
Be the first to comment