Yubico über Passwörter und Authentifizierung
Cybersicherheit: Sechs gute Vorsätze für 2020
Ein Beitrag von Alexander Koch, VP Sales DACH and CEE bei Yubico
Neues Jahr, neue Vorsätze. Haben Sie sich schon geschworen, 2020 irgendeine schlechte Gewohnheit aufzugeben oder ein bestimmtes Ziel zu erreichen?
Neujahrsvorsätze haben eine lange Tradition, und rund 60 % von uns geben zum Jahresanfang kühne Versprechen ab, die wir dann zugegebenermaßen nicht einhalten.
Manche versuchen, sich das Naschen abzugewöhnen oder gesünder zu leben.
Es gibt jedoch auch jede Menge schlechte Gewohnheiten rund um die IT-Security, die Sie besser ablegen sollten, und vielleicht sind das Vorsätze, die Sie tatsächlich verwirklichen können.
Vorsatz Nr. 1: Ich werde eine Zwei-Faktor-Authentifizierung einrichten.
Es ist höchste Zeit, sich mehr um die Sicherheit von Passwörtern zu kümmern. Eine Überprüfung der 100.000 häufigsten Passwörter , die das britische National Cyber Security Centre (NCSC) durchführte, macht deutlich, wie leicht Cyberkriminelle gängige Passwörter erraten können – oder einfach aus Datenbanken mit gestohlenen Informationen gewinnen können.
Mehr als 23,2 Millionen Accounts verwenden „123456“ als Passwort und 7,7 Millionen „123456789“. Weitere häufige Passwörter sind „qwerty“ (3,8 Millionen Mal gefunden), gefolgt von „password“ (3,6 Millionen) und „111111“ (3,1 Millionen). Die Einstellung zum Passwortschutz können wir zwar nicht im Handumdrehen ändern, doch können wir uns für Zwei-Faktor-Authentifizierung (2FA) als zusätzliche Sicherheitsebene stark machen. Dies kann ein SMS-Code an ein Mobiltelefon, ein Hardware-Sicherheitstoken oder eine mobile Authentifizierungsanwendung sein. Hardware-Sicherheitsschlüssel bieten ein Höchstmaß an Online-Sicherheit und erlauben es den Benutzern, sich mit einem einzigen Schlüssel bei zahlreichen Diensten anzumelden, ohne einen Code ständig aufs Neue eingeben zu müssen.
Vorsatz Nr. 2: Ich werde mich von den Passwörtern verabschieden
Wäre es nicht schön, wenn Sie überhaupt keine Passwörter mehr bräuchten? Mehr als die Hälfte aller Nutzer von Online-Konten (56 %) wären glücklich, wenn sie sich ohne Passwort anmelden könnten. Sogar das Weltwirtschaftsforum hält es für angebracht, Passwörter ein für alle Mal loszuwerden.
Passwortfreiheit bedeutet, dass keine Angreifer mehr aus der Ferne Phishing-Attacken auf Ihre Zugangsdaten durchführen können. Das klingt vielleicht nach einem Wunschtraum – ist aber keiner. Statt eines Passworts können die Benutzer ein physisches Gerät verwenden, um auf ihre Online-Dienste zuzugreifen. Zum Beispiel können Sie sich jetzt mit einer einzigen Berührung eines YubiKeys in Ihrem Microsoft-Konto einloggen. Und Cyberkriminelle bleiben draußen, weil sie weder im physischen Besitz des Geräts sind noch im Besitz des Fingerabdrucks, der zur Aktivierung des Geräts erforderlich ist.
Vorsatz Nr. 3: Ich werde nicht mehr für alles das gleiche Passwort verwenden.
Wenn die Anwendungen und Dienste, die Sie nutzen, nicht mit 2FA- oder Multi-Faktor-Authentifizierung (MFA) kompatibel sind, ist ein guter Umgang mit Passwörtern ein Muss.
Passwörter zu verwalten ist lästig und umständlich. Wenn wir uns mehrere komplexe Passwörter merken müssen, vergessen wir sie unweigerlich. 62 % der Befragten für den 2019 State of Password and Authentication Security Behaviours Report gaben an, dass sie schon einmal einen Einkauf oder eine andere Online-Transaktion nicht abschließen konnten, weil ihnen das Passwort entfallen war.
Da ist es kaum verwunderlich, dass wir Kompromisse bei der Sicherheit eingehen, indem wir Passwörter auf Haftzetteln notieren, sie vereinfachen oder immer wieder verwenden. Mehr als die Hälfte der Befragten (51 %) räumen ein, dass sie für alle ihre geschäftlichen und/oder persönlichen Konten im Durchschnitt nur fünf Passwörter haben, die sie mehrmals verwenden.
Wenn Sie Passwörter einfachheitshalber auf mehreren Websites nutzen, setzen Sie sich jedoch der Gefahr aus, Opfer von Betrügern zu werden. Bekommt ein Cyberkrimineller Ihre Zugangsdaten in die Finger, kann er damit eventuell gleich auf mehrere Konten zugreifen. Hören Sie also auf, ein Passwort für alles zu verwenden, und nehmen Sie sich vor, die Online-Sicherheit ernster zu nehmen.
Vorsatz Nr. 4: Ich werde mein Passwort nicht mehr an Kollegen weitergeben
Haben Sie ein schwer zu erratendes Passwort erstellt? Prima. Allerdings nützt das gar nichts, falls Sie dieses Passwort per E-Mail an einen Kollegen geschickt haben, damit er auf Ihr Konto zugreifen kann, während Sie in Urlaub sind.
Mehr als zwei Drittel (69 %) der Befragten geben Passwörter an andere Mitarbeiter weiter, um ihnen den Zugriff auf Konten zu ermöglichen. Denken Sie daran, dass Passwörter persönliche Zugangsdaten sind, die nur Sie selbst kennen sollten, und geben Sie sie am Arbeitsplatz niemals anderen zur Kenntnis. Suchen Sie stattdessen nach Alternativen. Sie können beispielsweise in Outlook und Gmail eine E-Mail-Weiterleitung einrichten. Ebenso können Sie bestimmten Personen die Berechtigung erteilen, auf Ihren Kalender und auf spezifische Dateien und Ordner in gängigen Diensten zuzugreifen, wie etwa Dropbox, Google Drive und Microsoft Teams.
Vorsatz Nr. 5: Ich werde lernen, einen Phishing-Angriff zu erkennen
Angesichts der tagtäglichen Nachrichten über Datenschutzverletzungen und gestohlene Passwörter ist es wichtiger denn je, für einen angemessenen Schutz sowohl der privaten als auch der beruflichen Accounts zu sorgen. Umso mehr, als Angreifer häufig Phishing-Attacken starten, um an Benutzernamen, Passwörter und Kreditkartennummern zu gelangen.
Die oben erwähnte Untersuchung zum Passwortverhalten ergab, dass mehr als die Hälfte der Befragten (51 %) schon einmal einen Phishing-Angriff im privaten Umfeld erlebt hatten und 44 % einen Phishing-Angriff am Arbeitsplatz. Besonders besorgniserregend: Obwohl Phishing-Attacken so häufig auftreten, haben 57 % der Befragten, gegen die schon einmal ein solcher Angriff geführt wurde, ihr Passwortverhalten nicht geändert. Informieren Sie sich über die typischen Anzeichen für Phishing-Betrug. Sehen die Web- und E-Mail-Adressen echt aus (nicht anklicken!) und/oder gibt es einen verdächtigen Anhang? Im Zweifelsfall sollten Sie die betreffende E-Mail immer löschen. Falls Sie dennoch Opfer eines Angriffs geworden sind und Ihr Passwort mitgeteilt haben, ändern Sie es unverzüglich. Und hoffen wir, dass Sie dieses Passwort nicht auch für andere Konten verwendet haben …
Vorsatz Nr. 6: Ich werde einen Passwortmanager verwenden
Mit einem Passwortmanager-Service können Sie bequem sicherstellen, dass niemand außer Ihnen auf Ihre eindeutigen Passwörter zugreifen kann. Ein solcher Dienst bietet sich besonders dann an, wenn Ihre Passwortliste lang ist (und weiter wächst). Je nachdem, welche Untersuchung man heranzieht, kann ein durchschnittlicher Nutzer 23, 90 oder sogar 191 Passwörter haben. In jedem Fall eine Menge, was man sich merken müsste. In einem Passwortmanager – das ist im Wesentlichen ein verschlüsselter digitaler Tresor – können Sie die Zugangsdaten für sämtliche Online-Dienste speichern, die Sie nutzen. Es gibt Dutzende von kostenlosen und kostenpflichtigen Passwortmanagern, unter denen Sie wählen können. Gängige Beispiele sind LastPass, 1Password und Dashlane.
Sorgen Sie dafür, dass sich der Passwortmanager für jede Website ein sicheres Passwort merkt. Und noch besser – lassen Sie ihn Zufallspasswörter erzeugen. So müssen Sie sich Ihre Passwörter nicht mehr aufschreiben oder die gleichen Kennwörter für mehrere Konten verwenden – was zugleich bedeutet, dass Sie den Vorsatz Nr. 1 einhalten!
Die Zukunft für die Cybersicherheit sieht vielversprechend aus. Am Horizont zeichnen sich neue Entwicklungen ab, die uns online noch besser schützen werden. Bis dahin fassen Sie doch diese sechs Vorsätze für 2020 und erleben Sie ein phishingfreies neues Jahr!