World Password Day 2023
World Password Day 2023 - Das empfehlen die Security-Experten
Ed Skoudis, SANS Technology Institute College President
Schwache Passwörter sind eine der häufigsten Angriffsmöglichkeiten, die ein Penetrationstester nutzen kann, um in ein Unternehmen einzudringen. Für Unternehmen jeder Größe und Branche sind starke und sichere Passwörter eine wichtige Verteidigungslinie gegen böswillige Angreifer und sich entwickelnde TTPs. Die Komplexität von Passwörtern kann jedoch oft zu einem falschen Sicherheitsgefühl führen, während unzählige Schwachstellen unkontrolliert bleiben.
Drei einfache Schritte zur schnellen Verbesserung der Wirksamkeit von Passwörtern sind:
- „Passphrasen“ sind nicht als „Passwörter“ zu betrachten. Die Kombination einer Reihe von Wörtern anstelle von nur einem oder zwei Wörtern macht es Angreifern sofort schwerer, in das Konto einzudringen.
- In Passwörtern und Passphrasen sollten Sonderzeichen, insbesondere Leerzeichen genutzt werden. Vielen ist nicht bewusst, dass Leerzeichen eine einfache Möglichkeit sind, Angreifern einen Schritt voraus zu sein.
- Erweiterte Multi-Faktor-Authentifizierungsmechanismen wie SMS sollten genutzt werden, insbesondere für E-Mail und Kooperationskanäle wie Slack und Microsoft Teams.
Danny de Vreeze, VP Identity and Access Management bei Thales
Der Durchschnittsverbraucher hat Hunderte von Passwörtern und trotz ständiger Warnungen werden diese Passwörter ständig wiederverwendet, sind schwach und leicht zu hacken. Gestohlene Zugangsdaten sind einer der wichtigsten Einstiegspunkte für Cyberangriffe. 37 Prozent der Befragten des Thales Global Data Threat Report (DTR) 2023 gaben an, in den letzten 12 Monaten eine Sicherheitsverletzung erlebt zu haben. Dieser Vorfall führte dann bei vielen zu Ausfällen oder aber führte zu einem finanziellen Schaden bei Unternehmen und Einzelpersonen.
Die gute Nachricht ist, dass sich das Bewusstsein für diese Risiken – und die Lösungen zu ihrer Eindämmung – auf breiter Front verbessert hat. Wir stellen fest, dass die Schulung der Mitarbeiter, die Implementierung einer starken Authentifizierung und die Änderung der Sicherheitsrichtlinien für die Zugangsverwaltung wieder in den Mittelpunkt rücken, um menschliches Versagen zu reduzieren und schwache Kennwortpraktiken zu verbessern. Tatsächlich sind 28 Prozent der Befragten der Meinung, dass Identitäts- und Zugriffsmanagement (IAM) die beste Verteidigung gegen Sicherheitsrisiken ist. Auf dem Weg zu einer sichereren Authentifizierung sind dies die entscheidenden Schritte, um sicherzustellen, dass schwache Passwörter bald eine Bedrohung der Vergangenheit sind.
Check Point zum Welt-Passwort-Tag
Hacker nutzen mittlerweile die wesentlich effektivere Rechenleistung der Grafikkarte, statt der Prozessoren, um Kennwörter zu knacken. Passwörter unterliegen daher völlig neuen Sicherheitsanforderungen.
„Jeden Tag entwerfen Hacker neue Angriffe, um Passwörter zu stehlen. Gezielte Methoden, wie Phishing, schafften es, tausende von Diensten zu knacken, weil Passwörter gestohlen wurden,“ erklärt Marco Eggerling, Chief Information Security Officer EMEA bei Check Point Software Technologies . „In Deutschland wurden beispielsweise im ersten Quartal 2023 nun 894 Organisationen je Woche attackiert, was einem Anstieg von 2 Prozent zum Vorjahresquartal entspricht. Sichere Passwörter senken hier stark die Erfolgschance der Hacker, daher sollte das Thema der Passwort-Erstellung, vor allem bei wichtigen Benutzerkonten, stets ernst genommen werden.“
Check Point gibt wertvolle Tipps zum World Password Day. Kennwörter sind weiterhin eine der wichtigsten Hürden, die Cyber-Kriminelle nehmen müssen, um Anwendern zu schaden.
Die Security-Forscher mahnen, dass Millionen von Passwörtern kaum oder gar nicht den Anforderungen an ein sicheres Passwort entsprechen. Im Jahr 2019 hat das britische National Cyber Security Centre herausgefunden, dass 23 Millionen Menschen weltweit immer noch unsichere Kennwörter nutzten, wie „123456“. Darunter mögen auch unwichtige Konten sein, aber es zeigt, dass viele Leute sich der IT-Bedrohung, die mit dieser Handhabung einhergeht, nicht bewusst sind.
Hinzu kommt: Der unaufhaltsame technologische Fortschritt gereicht nicht nur den Nutzern zum Vorteil, sondern gibt auch Hackern neue Werkzeuge für ihre Angriffe an die Hand. Was einst als sicheres Passwort galt, ist jetzt veraltet und schafft neue Sicherheitslücken.
Das Aufkommen neuer Grafikkarten mit virtuellem Speicher (VRAM) hat diesen Geräten die Möglichkeit eröffnet, Hochgeschwindigkeitsdaten zu verarbeiten, wie sie auch beim Schürfen von Krypto-Währungen verwendet werden. Sie können jedoch auch für Cyber-Angriffe genutzt werden, um Passwörter durch Brute-Force-Attacken zu knacken. Dabei können die Prozessoren der Grafikkarten (GPU) über eine Million Kombination je Sekunden prüfen, was weitaus schneller ist als das, was zuvor von den Computer-Prozessoren (CPU) geschafft wurde. Das bedeutet, dass ein Passwort mit weniger als 12 Zeichen, das ausschließlich aus Buchstaben und Zahlen besteht, innerhalb weniger Tage geknackt werden könnte.
Laut dem jüngsten Bericht von Hive Systems , der ungefähr angibt, wie schnell Cyber-Kriminelle die Passwörter knacken könnten, reicht die Spanne von minimalem Aufwand und fast umgehender Entschlüsselung der unsichersten Passwörter bis hin zu 438 Billionen Jahren für die robustesten Schlüssel. Wichtig hier: Innerhalb eines Jahres hat sich die Zeit, bis die zu unsicheren Passwörter zu einer Schwachstelle führen, um bis zu 90 Prozent verkürzt, welche mit dem Einzug neuer Technik, wie Cloud-Dienste oder künstliche Intelligenz, in den kommenden Jahren noch weiter reduziert werden könnte. Aus diesem Grund haben die Sicherheitsforscher von Check Point mehrere Tipps zusammengestellt, damit jedermann ein sicheres Passwort erstellen kann:
Je länger und ungewöhnlicher, umso besser
Ein Kennwort sollte wenigstens 14 bis 16 Zeichen enthalten und aus verschiedenen Buchstaben bestehen, diese groß und klein geschrieben, aus Symbolen und Zahlen. Wenn man jedoch das Passwort auf 18 Zeichen verlängert, so wurde herausgefunden, dann ist es möglich, ein völlig unknackbares zu erstellen, da enorm viele Brute-Force-Versuche notwendig wären. Es würde schlicht zu lange dauern, dieses zu brechen.
Einfach zu erinnern, schwierig zu erraten
Nur der Nutzer sollte die Kombination kennen und zustande bringen, weswegen personenbezogene Information, wie Jubiläen, Geburtstage oder die Namen von Familienmitgliedern nicht eingebaut werden sollten. Am einfachsten bieten sich vollständige Sätze an, mit absurdem oder allgemeinem Inhalt, wie „werreitetsospätdurchnachtundwind“. Zusätzlich können dann Groß- und Kleinschreibung variiert werden, sowie Zahlen und Symbole eingebaut werden, oder Buchstaben ersetzen: „W3rr3itets0spätdurchNachtundW!nd?“.
Einzigartig und nicht nachahmbar
Jedes Benutzerkonto sollte mit einem eigenen Kennwort ausgestattet werden, sodass keines mehrfach genutzt wird. Dies stellt sicher, dass stets nur ein Benutzerkonto von Hackern übernommen oder missbraucht werden kann, sollte das Kennwort geknackt werden. Laut Google nutzen mindestens 65 Prozent der Teilnehmer ihre Passwörter mehrfach im Internet.
Diskretion
Niemals sollte das Passwort mit irgendjemandem geteilt werden und niemals in der Nähe des Computers oder Gerätes aufgeschrieben werden, oder sogar in einer Datei darauf gespeichert sein. Sollte dies doch gewünscht werden, dann bieten sich Passwort Manager an, die Kennwörter sicher verwahren.
Multi-Faktor-Authentifizierung
Neben einem starken Passwort bietet sich die Aktivierung einer Multi-Faktor-Authentifizierung an. Dabei wird nach der Eingabe des Kennworts ein weiter Faktor abgefragt, wie eine TAN per SMS aufs Handy, oder eine Nachricht über eine App an das Smartphone. Auf diese Weise erfährt der Nutzer zusätzlich über jeden Anmeldungsversuch, weil jedes Mal eine derartige Nachricht beim ihm eingeht.
Regelmäßig ändern
Jederzeit kann eine Datenbank des Seitenbetreibers von Hackern gestohlen werden und mit ihr die Zugangsdaten der Nutzer. Aus diesem Grund sollte man hin und wieder prüfen, ob die eigene E-Mail-Adresse im Rahmen eines solchen Datenlecks abhandenkam. Frei zugängliche Programme, wie das der Internet-Seite Have I been pawned? , sammeln Informationen über Datenlecks und ihre Inhalte. Dort kann die eigene Adresse eingegeben werden, woraufhin angezeigt wird, ob dies Teil eines bekannten Datendiebstahls ist. Daneben ist es empfehlenswert, regelmäßig seine Passwörter zu ändern, zum Beispiel im Rahmen des Welt-Passwort-Tages.