Passwörter & Co: Die Qual der Wahl

Der 5. Mai ist der Welt-Passwort-Tag – die perfekte Gelegenheit, nicht nur um über sichere Passwörter nachzudenken, sondern auch über Alternativen wie etwa Multi-Faktor-Authentifizierung und Single-Sign-On. Wie so oft ist auch hier das Motto "Auf die richtige Mischung kommt es an" der praktikabelste Weg. Eine Übersicht. [...]

Eine aktuelle Untersuchung von Nordpass zeigt, dass selbst Führungskräfte und Firmeninhaber dazu neigen, schwache und leicht zu knackende Passwörter zu verwenden, was die Wahrscheinlichkeit eines groß angelegten Datenverlusts erheblich erhöht.

Frankreich und das Großbritannien sind die beiden Länder, die im letzten Jahr am stärksten von Datenschutzverletzungen betroffen waren, so Nordpass. Allein im Vereinigten Königreich wurden mehr als 600 Millionen Passwörter geknackt, in Frankreich waren es 200 Millionen. Die global beliebtesten Passwörter lauten „123456“, „password“ und „123456789“. Auffällig ist, dass Führungskräfte in der Wirtschaft es vorziehen, Namen als Passwörter zu verwenden. Zu den beliebtesten Passwörtern in diesem Format gehören: „Tiffany“, „Charlie“, „Michael“ und „Jordan“. Außerdem zeigen CEOs eine Vorliebe für Tiere und Fabelwesen: Hier standen „Drache“ und „Affe“ ganz oben auf der Liste.

Österreich liegt im internationalen Durchschnitt

Österreichs Top-10-Passwörter (in Klammer: Anzahl der Nutzung) unterscheiden sich kaum von anderen Ländern, wenn es darum geht, bei der Wahl von Passwörtern einen möglichst geringen Aufwand zu betreiben. Alle diese Passwörter haben eine Gemeinsamkeit: Sie sind in weniger als einer Sekunde zu knacken.

1. 123456 (100.939)
2. 123456789 (35.128)
3. 12345 (24.499)
4. 12345678 (16.357)
5. 1234 (15.550)
6. qwerty (14.510)
7. passwort (10.509)
8. 1234567 (10.120)
9. password (10.025)
10. 111111 (9.190)

Angesichts dieser traurigen Situation, die bestätigt, dass IT-Security noch nicht in allen Köpfen fix verankert ist, wundert es nicht, dass 80 Prozent der Datenschutzverletzungen auf schwache und leicht zu knackende Passwörter zurückzuführen sind, so der Verizon Data Breach Investigations Report. Doch nicht nur die Sorglosigkeit bei der Wahl der Passwörter bereitet den Sicherheitsverantwortlichen Kopfschmerzen. Dazu kommt die Verwendung eines einzigen Passworts für mehrere geschäftsbezogene Konten. Damit gefährden die User, die so agieren, gleich mehrere Bereiche. Außerdem ist die gemeinsame Nutzung von Passwörtern Unternehmensrealität. Teilt man Passwörter über unsichere Kanäle wie E-Mail, kann das leicht zu einem Datenmissbrauch führen. Last but not least geben unvorsichtige Mitarbeiterinnen und Mitarbeiter nicht selten ihre Passwörter freiwillig weiter, wenn sie danach gefragt werden – Stichwort Phishing-Betrügereien. Was also tun?

Passwortfreie Welt?

„Als der Welt-Passwort-Tag 2013 ins Leben gerufen wurde, lag sein Schwerpunkt darauf, die Nutzer zu ermutigen, starke und eindeutige Passwörter zu erstellen und zu verwenden“, sagt Roger Scheer, Regional Vice President of Central Europe bei Tenable. „Angesichts der Zahl der gemeldeten Datenschutzverletzungen, bei denen Betrüger eine Datenbank mit Benutzernamen und Passwörtern erlangt haben, hilft es nicht, das beste Passwort der Welt zu erstellen, wenn Betrüger es bereits kennen.“ Scheer empfiehlt den Einsatz von zusätzlichen Authentifizierungsmethoden, also der Multi-Faktor-Authentifizierung (MFA).

Da aber die Verwendung von Passwörtern bei zahlreichen Online-Diensten und -Portalen immer noch die Hauptmethode zur Identitätsbestätigung darstellt, ist von einer passwortfreien Welt noch lange nicht die Rede. Ein praktikabler Weg ist es, auf mehr als eine Methode zu setzen, um etwa digitale Identitäten zu schützen. Marcin Kleczynski, CEO von Malwarebytes, hat anlässlich des Welt-Passwort-Tages fünf Tipps für eine bessere Anmeldesicherheit veröffentlicht.

Passwort-Hygiene

Für die meisten Menschen ist Passwort-Hygiene nach wie vor ein Problem. Zwei Drittel der Benutzer verwenden ihre Passwörter für mehrere Konten wieder. Angesichts der Tatsache, dass Cyberkriminelle zunehmend Credential Stuffing betreiben – also gestohlene Zugangsdaten verwenden, um auf weitere Konten und Dienste zuzugreifen – ist es ein wichtiger Schritt, die Wiederverwendung von Passwörtern zu vermeiden und auf starke, häufig aktualisierte Passwörter zu achten.

Multi-Faktor-Authentifizierung (MFA)

Es gibt über 8,4 Milliarden Passwörter, die bei Datenlecks gestohlen wurden und auf die Cyberkriminelle Zugriff haben. Die Multi-Faktor-Authentifizierung kann helfen, Cyberangriffe dennoch abzuwehren. Die MFA fordert mindestens zwei Identifizierungsebenen – neben einem Passwort zum Beispiel die Antwort auf eine Sicherheitsfrage, ein Security-Token, einen Fingerabdruck oder die Gesichtserkennung.

Single-Sign-on (SSO)

Neben dem Diebstahl von Anmeldedaten ist auch Passwortmüdigkeit eine der Hauptursachen für Sicherheitsverletzungen. Werden Benutzer aufgefordert, ihre Passwörter häufig zu ändern, nehmen sie oft zu einfache Änderungen vor, wie den Austausch eines Sonderzeichens durch ein anderes. Die Tatsache, sich für zahlreiche Konten verschiedene Passwörter merken zu müssen, verleitet zudem zur Wiederverwendung. Hier kann die SSO-Authentifizierung helfen: Diese ermöglicht es, über einen einzigen Authentifizierungsprozess (z. B. in Kombination mit MFA) Zugriff auf mehrere Systeme, Services oder Applikationen zu erhalten.

Least-Privilege-Prinzip (PoLP)

Das Least-Privilege-Prinzip ist ein Konzept der Informationssicherheit, bei dem Benutzer nur die für ihre Tätigkeit und Verantwortlichkeiten erforderlichen Zugriffsrechte gewährt werden. Auf diese Weise wird der Zugriff der Mitarbeitenden, unter Anbetracht ihrer Verantwortlichkeit, auf bestimmte Funktionen beschränkt. Der Vorteil: Verschaffen sich Cyberkriminelle Zugang zu Anmeldedaten, erhalten sie nicht automatisch Zugriff auf das gesamte Unternehmensnetzwerk.

Zero-Trust-Modell

Da Cyberkriminelle immer neue Methoden zum Diebstahl von Zugangsdaten entwickeln, reichen herkömmliche Sicherheitsmaßnahmen nicht mehr aus. Das Sicherheitskonzept Zero Trust basiert daher auf dem Grundsatz, keinem Benutzer, keiner Benutzerin, keinem Gerät und keinem Dienst innerhalb oder außerhalb des eigenen Netzwerkes zu vertrauen. Letztere sind stattdessen stets zu überprüfen, bevor Zugang zum Netzwerk gewährt wird. Zugriff auf bestimmte Ressourcen wird damit nur auf einer bedarfsorientierten Basis erteilt. Soweit die Tipps von Malwarebytes.

Vier gängige MFA-Methoden

Lance Spitzner, Senior Instructor beim SANS Institute, weist darauf hin, dass derzeit vier MFA-Methoden üblich sind. Häufigster Ansatz: Ein einmaliger, eindeutiger Code wird per SMS an ein Mobilgerät gesendet. User verwenden diesen Code dann zusammen mit einem Kennwort, um sich zu authentifizieren und anzumelden.

Beim Code-Generator verfügt ein mobiles Gerät über eine mobile Authentifizierungs-App, die die eindeutigen Einmalcodes generiert. Mitarbeiter laden die App auf ihr mobiles Gerät herunter und synchronisieren dann die Authentifizierungs-App mit jedem Account, um MFA für diese zu aktivieren.
Authentifizierungs-Benachrichtigungen: Einige mobile Authentifizierungs-Apps sorgen dafür, dass bei der Anmeldung auf bestimmten Websites kein einmaliger Code verlangt wird, sondern die Website eine Authentifizierungsanfrage an eine mobile App sendet und fragt, ob der Mitarbeiter auch der ist, der sich anmelden will. Ist dies der Fall, bestätigt er oder sie die Authentifizierungsanfrage über das Gerät.

FIDO: Mitarbeiter erhalten ein physisches Gerät, das an den Laptop oder Computer angeschlossen wird und bei den Websites registriert ist, bei denen sich diese regelmäßig anmelden. Wenn das Gerät mit dem Computer verbunden ist (z.B. über den USB-Anschluss) und der Mitarbeiter diese Websiten besucht, authentifiziert das Gerät diesen, so die Ausführungen von Lance Spitzner.