Passwörter & Co: Die Qual der Wahl

Der 5. Mai ist der Welt-Passwort-Tag – die perfekte Gelegenheit, nicht nur um über sichere Passwörter nachzudenken, sondern auch über Alternativen wie etwa Multi-Faktor-Authentifizierung und Single-Sign-On. Wie so oft ist auch hier das Motto "Auf die richtige Mischung kommt es an" der praktikabelste Weg. Eine Übersicht. [...]

Identitätsdiebstahl ist nur eines jener Probleme, die durch Nutzung von schwachen Passwörtern verursacht werden. (c) Unsplash
Identitätsdiebstahl ist nur eines jener Probleme, die durch Nutzung von schwachen Passwörtern verursacht werden. (c) Unsplash

Eine aktuelle Untersuchung von Nordpass zeigt, dass selbst Führungskräfte und Firmeninhaber dazu neigen, schwache und leicht zu knackende Passwörter zu verwenden, was die Wahrscheinlichkeit eines groß angelegten Datenverlusts erheblich erhöht.

Frankreich und das Großbritannien sind die beiden Länder, die im letzten Jahr am stärksten von Datenschutzverletzungen betroffen waren, so Nordpass. Allein im Vereinigten Königreich wurden mehr als 600 Millionen Passwörter geknackt, in Frankreich waren es 200 Millionen. Die global beliebtesten Passwörter lauten „123456“, „password“ und „123456789“. Auffällig ist, dass Führungskräfte in der Wirtschaft es vorziehen, Namen als Passwörter zu verwenden. Zu den beliebtesten Passwörtern in diesem Format gehören: „Tiffany“, „Charlie“, „Michael“ und „Jordan“. Außerdem zeigen CEOs eine Vorliebe für Tiere und Fabelwesen: Hier standen „Drache“ und „Affe“ ganz oben auf der Liste.

Österreich liegt im internationalen Durchschnitt

Österreichs Top-10-Passwörter (in Klammer: Anzahl der Nutzung) unterscheiden sich kaum von anderen Ländern, wenn es darum geht, bei der Wahl von Passwörtern einen möglichst geringen Aufwand zu betreiben. Alle diese Passwörter haben eine Gemeinsamkeit: Sie sind in weniger als einer Sekunde zu knacken.

  1. 123456 (100.939)
  2. 123456789 (35.128)
  3. 12345 (24.499)
  4. 12345678 (16.357)
  5. 1234 (15.550)
  6. qwerty (14.510)
  7. passwort (10.509)
  8. 1234567 (10.120)
  9. password (10.025)
  10. 111111 (9.190)

Angesichts dieser traurigen Situation, die bestätigt, dass IT-Security noch nicht in allen Köpfen fix verankert ist, wundert es nicht, dass 80 Prozent der Datenschutzverletzungen auf schwache und leicht zu knackende Passwörter zurückzuführen sind, so der Verizon Data Breach Investigations Report. Doch nicht nur die Sorglosigkeit bei der Wahl der Passwörter bereitet den Sicherheitsverantwortlichen Kopfschmerzen. Dazu kommt die Verwendung eines einzigen Passworts für mehrere geschäftsbezogene Konten. Damit gefährden die User, die so agieren, gleich mehrere Bereiche. Außerdem ist die gemeinsame Nutzung von Passwörtern Unternehmensrealität. Teilt man Passwörter über unsichere Kanäle wie E-Mail, kann das leicht zu einem Datenmissbrauch führen. Last but not least geben unvorsichtige Mitarbeiterinnen und Mitarbeiter nicht selten ihre Passwörter freiwillig weiter, wenn sie danach gefragt werden – Stichwort Phishing-Betrügereien. Was also tun?

Passwortfreie Welt?

„Als der Welt-Passwort-Tag 2013 ins Leben gerufen wurde, lag sein Schwerpunkt darauf, die Nutzer zu ermutigen, starke und eindeutige Passwörter zu erstellen und zu verwenden“, sagt Roger Scheer, Regional Vice President of Central Europe bei Tenable. „Angesichts der Zahl der gemeldeten Datenschutzverletzungen, bei denen Betrüger eine Datenbank mit Benutzernamen und Passwörtern erlangt haben, hilft es nicht, das beste Passwort der Welt zu erstellen, wenn Betrüger es bereits kennen.“ Scheer empfiehlt den Einsatz von zusätzlichen Authentifizierungsmethoden, also der Multi-Faktor-Authentifizierung (MFA).

Da aber die Verwendung von Passwörtern bei zahlreichen Online-Diensten und -Portalen immer noch die Hauptmethode zur Identitätsbestätigung darstellt, ist von einer passwortfreien Welt noch lange nicht die Rede. Ein praktikabler Weg ist es, auf mehr als eine Methode zu setzen, um etwa digitale Identitäten zu schützen. Marcin Kleczynski, CEO von Malwarebytes, hat anlässlich des Welt-Passwort-Tages fünf Tipps für eine bessere Anmeldesicherheit veröffentlicht.

Passwort-Hygiene

Für die meisten Menschen ist Passwort-Hygiene nach wie vor ein Problem. Zwei Drittel der Benutzer verwenden ihre Passwörter für mehrere Konten wieder. Angesichts der Tatsache, dass Cyberkriminelle zunehmend Credential Stuffing betreiben – also gestohlene Zugangsdaten verwenden, um auf weitere Konten und Dienste zuzugreifen – ist es ein wichtiger Schritt, die Wiederverwendung von Passwörtern zu vermeiden und auf starke, häufig aktualisierte Passwörter zu achten.

Multi-Faktor-Authentifizierung (MFA)

Es gibt über 8,4 Milliarden Passwörter, die bei Datenlecks gestohlen wurden und auf die Cyberkriminelle Zugriff haben. Die Multi-Faktor-Authentifizierung kann helfen, Cyberangriffe dennoch abzuwehren. Die MFA fordert mindestens zwei Identifizierungsebenen – neben einem Passwort zum Beispiel die Antwort auf eine Sicherheitsfrage, ein Security-Token, einen Fingerabdruck oder die Gesichtserkennung.

Single-Sign-on (SSO)

Neben dem Diebstahl von Anmeldedaten ist auch Passwortmüdigkeit eine der Hauptursachen für Sicherheitsverletzungen. Werden Benutzer aufgefordert, ihre Passwörter häufig zu ändern, nehmen sie oft zu einfache Änderungen vor, wie den Austausch eines Sonderzeichens durch ein anderes. Die Tatsache, sich für zahlreiche Konten verschiedene Passwörter merken zu müssen, verleitet zudem zur Wiederverwendung. Hier kann die SSO-Authentifizierung helfen: Diese ermöglicht es, über einen einzigen Authentifizierungsprozess (z. B. in Kombination mit MFA) Zugriff auf mehrere Systeme, Services oder Applikationen zu erhalten.

Least-Privilege-Prinzip (PoLP)

Das Least-Privilege-Prinzip ist ein Konzept der Informationssicherheit, bei dem Benutzer nur die für ihre Tätigkeit und Verantwortlichkeiten erforderlichen Zugriffsrechte gewährt werden. Auf diese Weise wird der Zugriff der Mitarbeitenden, unter Anbetracht ihrer Verantwortlichkeit, auf bestimmte Funktionen beschränkt. Der Vorteil: Verschaffen sich Cyberkriminelle Zugang zu Anmeldedaten, erhalten sie nicht automatisch Zugriff auf das gesamte Unternehmensnetzwerk.

Zero-Trust-Modell

Da Cyberkriminelle immer neue Methoden zum Diebstahl von Zugangsdaten entwickeln, reichen herkömmliche Sicherheitsmaßnahmen nicht mehr aus. Das Sicherheitskonzept Zero Trust basiert daher auf dem Grundsatz, keinem Benutzer, keiner Benutzerin, keinem Gerät und keinem Dienst innerhalb oder außerhalb des eigenen Netzwerkes zu vertrauen. Letztere sind stattdessen stets zu überprüfen, bevor Zugang zum Netzwerk gewährt wird. Zugriff auf bestimmte Ressourcen wird damit nur auf einer bedarfsorientierten Basis erteilt. Soweit die Tipps von Malwarebytes.

Vier gängige MFA-Methoden

Lance Spitzner, Senior Instructor beim SANS Institute, weist darauf hin, dass derzeit vier MFA-Methoden üblich sind. Häufigster Ansatz: Ein einmaliger, eindeutiger Code wird per SMS an ein Mobilgerät gesendet. User verwenden diesen Code dann zusammen mit einem Kennwort, um sich zu authentifizieren und anzumelden.

Beim Code-Generator verfügt ein mobiles Gerät über eine mobile Authentifizierungs-App, die die eindeutigen Einmalcodes generiert. Mitarbeiter laden die App auf ihr mobiles Gerät herunter und synchronisieren dann die Authentifizierungs-App mit jedem Account, um MFA für diese zu aktivieren.
Authentifizierungs-Benachrichtigungen: Einige mobile Authentifizierungs-Apps sorgen dafür, dass bei der Anmeldung auf bestimmten Websites kein einmaliger Code verlangt wird, sondern die Website eine Authentifizierungsanfrage an eine mobile App sendet und fragt, ob der Mitarbeiter auch der ist, der sich anmelden will. Ist dies der Fall, bestätigt er oder sie die Authentifizierungsanfrage über das Gerät.

FIDO: Mitarbeiter erhalten ein physisches Gerät, das an den Laptop oder Computer angeschlossen wird und bei den Websites registriert ist, bei denen sich diese regelmäßig anmelden. Wenn das Gerät mit dem Computer verbunden ist (z.B. über den USB-Anschluss) und der Mitarbeiter diese Websiten besucht, authentifiziert das Gerät diesen, so die Ausführungen von Lance Spitzner.


Mehr Artikel

img-4
News

Besserer Schutz von SaaS-Daten

Der HYCU State of SaaS Resilience 2024 Report deckte zuletzt kritische Datensicherungslücken auf, da 70 Prozent der Unternehmen Datenverluste erleiden. Trotzdem verlassen sich 60 Prozent immer noch auf ihre SaaS-Anbieter, um sich zu schützen, und setzen sich damit weiteren Risiken aus. Wie können Unternehmen ihre SaaS-Daten sichern und die Resilienz verbessern? […]

img-5
Case-Study

Effiziente Virtualisierung: WIFI Tirol steigt von VMware auf Proxmox Ceph um

Die IT-Infrastruktur des WIFI Tirol nutzte bisher HP VSA und VMware für die Virtualisierung. Mit dem Ende des Lebenszyklus der HP VSA und dem eingeschränkten Support, der nur noch in Bulgarien verfügbar war, stiegen die Wartungskosten und der Verwaltungsaufwand erheblich an. Um eine kosteneffiziente und zukunftssichere Lösung zu finden, entschied sich das Unternehmen für einen Wechsel zu moderner Technologie. […]

Mike Odekerken, Director Enterprise Sales DACH bei Talkdesk. (c) Talkdesk
News

CX-Spezialist Talkdesk baut seine DACH-Präsenz aus

Mit seiner KI-gestützten Contact-Center-as-a-Service (CCaaS)-Plattform bietet Talkdesk Unternehmen umfassende Möglichkeiten, die Effizienz und Qualität ihrer Kundenkontakte zu erhöhen. Um insbesondere deutschsprachige Unternehmen bestmöglich zu unterstützen, investiert Talkdesk umfassend in den DACH-Markt: Bis Ende 2025 soll das Personal vervierfacht werden. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*