Passwörter & Co: Die Qual der Wahl

Der 5. Mai ist der Welt-Passwort-Tag – die perfekte Gelegenheit, nicht nur um über sichere Passwörter nachzudenken, sondern auch über Alternativen wie etwa Multi-Faktor-Authentifizierung und Single-Sign-On. Wie so oft ist auch hier das Motto "Auf die richtige Mischung kommt es an" der praktikabelste Weg. Eine Übersicht. [...]

Identitätsdiebstahl ist nur eines jener Probleme, die durch Nutzung von schwachen Passwörtern verursacht werden. (c) Unsplash
Identitätsdiebstahl ist nur eines jener Probleme, die durch Nutzung von schwachen Passwörtern verursacht werden. (c) Unsplash

Eine aktuelle Untersuchung von Nordpass zeigt, dass selbst Führungskräfte und Firmeninhaber dazu neigen, schwache und leicht zu knackende Passwörter zu verwenden, was die Wahrscheinlichkeit eines groß angelegten Datenverlusts erheblich erhöht.

Frankreich und das Großbritannien sind die beiden Länder, die im letzten Jahr am stärksten von Datenschutzverletzungen betroffen waren, so Nordpass. Allein im Vereinigten Königreich wurden mehr als 600 Millionen Passwörter geknackt, in Frankreich waren es 200 Millionen. Die global beliebtesten Passwörter lauten „123456“, „password“ und „123456789“. Auffällig ist, dass Führungskräfte in der Wirtschaft es vorziehen, Namen als Passwörter zu verwenden. Zu den beliebtesten Passwörtern in diesem Format gehören: „Tiffany“, „Charlie“, „Michael“ und „Jordan“. Außerdem zeigen CEOs eine Vorliebe für Tiere und Fabelwesen: Hier standen „Drache“ und „Affe“ ganz oben auf der Liste.

Österreich liegt im internationalen Durchschnitt

Österreichs Top-10-Passwörter (in Klammer: Anzahl der Nutzung) unterscheiden sich kaum von anderen Ländern, wenn es darum geht, bei der Wahl von Passwörtern einen möglichst geringen Aufwand zu betreiben. Alle diese Passwörter haben eine Gemeinsamkeit: Sie sind in weniger als einer Sekunde zu knacken.

  1. 123456 (100.939)
  2. 123456789 (35.128)
  3. 12345 (24.499)
  4. 12345678 (16.357)
  5. 1234 (15.550)
  6. qwerty (14.510)
  7. passwort (10.509)
  8. 1234567 (10.120)
  9. password (10.025)
  10. 111111 (9.190)

Angesichts dieser traurigen Situation, die bestätigt, dass IT-Security noch nicht in allen Köpfen fix verankert ist, wundert es nicht, dass 80 Prozent der Datenschutzverletzungen auf schwache und leicht zu knackende Passwörter zurückzuführen sind, so der Verizon Data Breach Investigations Report. Doch nicht nur die Sorglosigkeit bei der Wahl der Passwörter bereitet den Sicherheitsverantwortlichen Kopfschmerzen. Dazu kommt die Verwendung eines einzigen Passworts für mehrere geschäftsbezogene Konten. Damit gefährden die User, die so agieren, gleich mehrere Bereiche. Außerdem ist die gemeinsame Nutzung von Passwörtern Unternehmensrealität. Teilt man Passwörter über unsichere Kanäle wie E-Mail, kann das leicht zu einem Datenmissbrauch führen. Last but not least geben unvorsichtige Mitarbeiterinnen und Mitarbeiter nicht selten ihre Passwörter freiwillig weiter, wenn sie danach gefragt werden – Stichwort Phishing-Betrügereien. Was also tun?

Passwortfreie Welt?

„Als der Welt-Passwort-Tag 2013 ins Leben gerufen wurde, lag sein Schwerpunkt darauf, die Nutzer zu ermutigen, starke und eindeutige Passwörter zu erstellen und zu verwenden“, sagt Roger Scheer, Regional Vice President of Central Europe bei Tenable. „Angesichts der Zahl der gemeldeten Datenschutzverletzungen, bei denen Betrüger eine Datenbank mit Benutzernamen und Passwörtern erlangt haben, hilft es nicht, das beste Passwort der Welt zu erstellen, wenn Betrüger es bereits kennen.“ Scheer empfiehlt den Einsatz von zusätzlichen Authentifizierungsmethoden, also der Multi-Faktor-Authentifizierung (MFA).

Da aber die Verwendung von Passwörtern bei zahlreichen Online-Diensten und -Portalen immer noch die Hauptmethode zur Identitätsbestätigung darstellt, ist von einer passwortfreien Welt noch lange nicht die Rede. Ein praktikabler Weg ist es, auf mehr als eine Methode zu setzen, um etwa digitale Identitäten zu schützen. Marcin Kleczynski, CEO von Malwarebytes, hat anlässlich des Welt-Passwort-Tages fünf Tipps für eine bessere Anmeldesicherheit veröffentlicht.

Passwort-Hygiene

Für die meisten Menschen ist Passwort-Hygiene nach wie vor ein Problem. Zwei Drittel der Benutzer verwenden ihre Passwörter für mehrere Konten wieder. Angesichts der Tatsache, dass Cyberkriminelle zunehmend Credential Stuffing betreiben – also gestohlene Zugangsdaten verwenden, um auf weitere Konten und Dienste zuzugreifen – ist es ein wichtiger Schritt, die Wiederverwendung von Passwörtern zu vermeiden und auf starke, häufig aktualisierte Passwörter zu achten.

Multi-Faktor-Authentifizierung (MFA)

Es gibt über 8,4 Milliarden Passwörter, die bei Datenlecks gestohlen wurden und auf die Cyberkriminelle Zugriff haben. Die Multi-Faktor-Authentifizierung kann helfen, Cyberangriffe dennoch abzuwehren. Die MFA fordert mindestens zwei Identifizierungsebenen – neben einem Passwort zum Beispiel die Antwort auf eine Sicherheitsfrage, ein Security-Token, einen Fingerabdruck oder die Gesichtserkennung.

Single-Sign-on (SSO)

Neben dem Diebstahl von Anmeldedaten ist auch Passwortmüdigkeit eine der Hauptursachen für Sicherheitsverletzungen. Werden Benutzer aufgefordert, ihre Passwörter häufig zu ändern, nehmen sie oft zu einfache Änderungen vor, wie den Austausch eines Sonderzeichens durch ein anderes. Die Tatsache, sich für zahlreiche Konten verschiedene Passwörter merken zu müssen, verleitet zudem zur Wiederverwendung. Hier kann die SSO-Authentifizierung helfen: Diese ermöglicht es, über einen einzigen Authentifizierungsprozess (z. B. in Kombination mit MFA) Zugriff auf mehrere Systeme, Services oder Applikationen zu erhalten.

Least-Privilege-Prinzip (PoLP)

Das Least-Privilege-Prinzip ist ein Konzept der Informationssicherheit, bei dem Benutzer nur die für ihre Tätigkeit und Verantwortlichkeiten erforderlichen Zugriffsrechte gewährt werden. Auf diese Weise wird der Zugriff der Mitarbeitenden, unter Anbetracht ihrer Verantwortlichkeit, auf bestimmte Funktionen beschränkt. Der Vorteil: Verschaffen sich Cyberkriminelle Zugang zu Anmeldedaten, erhalten sie nicht automatisch Zugriff auf das gesamte Unternehmensnetzwerk.

Zero-Trust-Modell

Da Cyberkriminelle immer neue Methoden zum Diebstahl von Zugangsdaten entwickeln, reichen herkömmliche Sicherheitsmaßnahmen nicht mehr aus. Das Sicherheitskonzept Zero Trust basiert daher auf dem Grundsatz, keinem Benutzer, keiner Benutzerin, keinem Gerät und keinem Dienst innerhalb oder außerhalb des eigenen Netzwerkes zu vertrauen. Letztere sind stattdessen stets zu überprüfen, bevor Zugang zum Netzwerk gewährt wird. Zugriff auf bestimmte Ressourcen wird damit nur auf einer bedarfsorientierten Basis erteilt. Soweit die Tipps von Malwarebytes.

Vier gängige MFA-Methoden

Lance Spitzner, Senior Instructor beim SANS Institute, weist darauf hin, dass derzeit vier MFA-Methoden üblich sind. Häufigster Ansatz: Ein einmaliger, eindeutiger Code wird per SMS an ein Mobilgerät gesendet. User verwenden diesen Code dann zusammen mit einem Kennwort, um sich zu authentifizieren und anzumelden.

Beim Code-Generator verfügt ein mobiles Gerät über eine mobile Authentifizierungs-App, die die eindeutigen Einmalcodes generiert. Mitarbeiter laden die App auf ihr mobiles Gerät herunter und synchronisieren dann die Authentifizierungs-App mit jedem Account, um MFA für diese zu aktivieren.
Authentifizierungs-Benachrichtigungen: Einige mobile Authentifizierungs-Apps sorgen dafür, dass bei der Anmeldung auf bestimmten Websites kein einmaliger Code verlangt wird, sondern die Website eine Authentifizierungsanfrage an eine mobile App sendet und fragt, ob der Mitarbeiter auch der ist, der sich anmelden will. Ist dies der Fall, bestätigt er oder sie die Authentifizierungsanfrage über das Gerät.

FIDO: Mitarbeiter erhalten ein physisches Gerät, das an den Laptop oder Computer angeschlossen wird und bei den Websites registriert ist, bei denen sich diese regelmäßig anmelden. Wenn das Gerät mit dem Computer verbunden ist (z.B. über den USB-Anschluss) und der Mitarbeiter diese Websiten besucht, authentifiziert das Gerät diesen, so die Ausführungen von Lance Spitzner. 


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*