26. Oktober 2018 | pArtikel drucken k1 Kommentar

Die Entzauberung des Passwort-Mythos

Passwortverwaltung in Unternehmen ist von enormer Bedeutung. Unsere Sicherheitsexperten Marcel Reifenberger und Callum Butler geben Ihnen wertvolle Tipps, wie Sie Ihre Systeme sicher machen – und räumen dabei mit gängigen Kennwort-Klischees auf. 

Passwörter werden immer wichtiger. Viele Technologieunternehmen entwickeln Wege, um die Passwortverwaltung zu vereinfachen. Es gibt jedoch nur wenige allgemeine Richtlinien, wie man sichere Passwörter entwickelt.

Dabei muss jedes Unternehmen zweifellos seine eigenen spezifischen Sicherheitsanforderungen an Passwörter berücksichtigen. Doch selbst bei einem externen Audit müssen Grundstandards erfüllt werden.

Wenn man sich diese sogenannten „Standards“ näher anschaut, sind weltweit überraschenderweise große Unterschiede zu sehen.

Was raten Sicherheitsbehörden auf der ganzen Welt?

 

Passwort-Standards im Vergleich NIST (National Institute of Standards and Technology) – USA BSI (Bundesamt für Sicherheit in der Informationstechnik) – Deutschland ENISA (Europäische Agentur für Netz- und Informationssicherheit) – EU NCSC (National Cyber Security Center) – Großbritannien
Länge des Passworts Mindestens 8 Zeichen Mindestens 8 Zeichen (mindestens 14 für privilegierte Benutzerkonten) Mindestens 8 Zeichen Keine besonderen Anforderungen gegeben
Wann sollte das Passwort geändert werden Auf Anfrage Mindestens alle 90 Tage Periodisch (noch nicht im Detail definiert) Auf Anfrage
Komplexität Keine spezifischen Anforderungen gegeben aA1$ (Mischung aus Klein- und Großbuchstaben, Zahlen, Sonderzeichen) aA1$ (Mischung aus Klein- und Großbuchstaben, Zahlen, Sonderzeichen) Keine besonderen Anforderungen gegeben
Akzeptierte fehlgeschlagene Versuche Keine speziellen Anforderungen gegeben Weniger als fünf Keine besonderen Anforderungen gegeben Bis zu zehn
Sicherheitsfragen obligatorisch Nein Ja (in Bezug auf das zutreffende Risiko) Keine besonderen Anforderungen gegeben Nein
Standardkennwörter Keine besonderen Anforderungen gestellt Verboten Muss vor der Auslieferung geändert werden Muss vor der Auslieferung geändert werden
Multi-Faktor-Authentifizierung (MFA) Empfohlen Empfohlen Empfohlen Empfohlen

Wie Sie sehen können, unterscheiden sich die Empfehlungen teils stark voneinander. Wie also sollten Systeme konfiguriert, Sensibilisierungsmaßnahmen definiert und Mitarbeiter geschult werden, wenn es keine echte Grundlage gibt?

Der beste Weg ist, „wie ein Hacker zu denken“. Durch das Verständnis aller Möglichkeiten, Passwörter zu knacken und Zugang zu Ihren Daten zu erhalten, haben Sie eine größere Chance, eine effektive Passwortstrategie zu entwickeln.

Was sind die häufigsten Möglichkeiten, Passwörter zu knacken?

 

  • Abfangen oder Man-in-the-Middle-Angriffe – Dies geschieht häufig in ungesicherten Netzwerken, in denen Angreifer leicht den Datenverkehr abfangen können, um nach Passwörtern zu fischen.
  • Brute Forcing – Angreifer verwenden eine Liste von Passwörtern, die sie auf ihren Systemen haben, und probieren jedes davon mit Ihrem Benutzernamen aus. In der Regel automatisiert mit Open-Source-Tools.
  • Shoulder Surfing – Genau so, wie es klingt: Angreifer stehlen einfach Passwörter, indem sie Ihnen über die Schulter schauen.
  • Social Engineering – Ein Angreifer verleitet ahnungslose Benutzer dazu, geklonte Websites zu besuchen. Oder er manipuliert auf sozialer Ebene, am Telefon oder von Angesicht zu Angesicht.
  • Keylogging – Ein Angreifer erfasst jeden von Ihnen eingegebenen Schlüssel, indem er Ihren Computer oder die eigentliche Tastatur selbst ausnutzt.
  • Bildschirmerfassung – Mit der Software Remote Access Trojans erfassen Angreifer Ihren Bildschirm.  In Kombination mit Keylogging ermöglicht dies den Zugriff auf Ihre verschiedenen Passwörter.  (Angenommen, Sie haben unterschiedliche Passwörter!)
  • Suchen und Stehlen – Angreifer kaufen Wörterbuchpasswörter online oder durch Stehlen von Hash-Werten von remote angemeldeten Maschinen über ein Tool namens mimikatz.
  • Manuelles Raten – Einfach und doch effektiv, mit Wissen über den Einzelnen.
  • Token-Diebstahl oder Token-Replay – Auf schlecht kodierten Websites können Hacker Login-Token erfassen. Durch die Wiederverwendung des Token erhalten sie Zugang zu Ihrem Konto. Sie brauchen nicht einmal Ihren Benutzernamen.

Wir haben uns also mit Sicherheits- und Basisstandards sowie den verschiedenen Möglichkeiten, Passwörter zu knacken, beschäftigt. Lassen Sie uns nun einen Blick auf den Passwortschutz selbst werfen.

5 gängige Mythen über den Passwortschutz

  1. Es geht nur um die Länge. Die Länge kann ein wenig helfen. Aber KI, Big Data und Quantencomputer können Passwörter beliebiger Länge in einer Minute knacken. Längere Passwörter allein schützen also Ihre Systeme nicht.
  2. Die Eingabe komplexer Passwörter (mehr als 8 Zeichen) dauert zu lange. Biometrische Authentifizierungsmethoden (z.B. Gesichtserkennung oder Fingerabdruck) sowie Single Sign-On (SSO) können heutzutage den Authentifizierungszeitraum auf eine Sekunde verkürzen.
  3. 2FA wird alle Probleme lösen. Wahr in 99,9% aller Fälle. Zwei Faktor-Authentifizierungsmethoden reduzieren sicherlich die Möglichkeit, dass Ihr Konto kompromittiert wird; besonders wenn es sich um einen physischen 2FA-Schlüssel handelt. Das heißt, zufällig generierte Zahlen, die nach dem Anmelden mit Ihrem Passwort erforderlich sind. Software 2FA Schlüssel sind ebenfalls gut, aber anfälliger für Angriffe, wenn sie sich auf Ihrem mobilen Gerät befinden. (Aber denken Sie daran, dass alles gehackt werden kann.)
  4. Werkseitige Passwörter kann man nicht ändern. Wenn man sie nicht ändern kann, würde ich mich von ihnen fernhalten, pronto! Sie würden kein Haus ohne eine sichere Tür kaufen, warum also Software oder Hardware kaufen, die Ihr Netzwerk sperrangelweit offen lässt. Wenn Sie unsicher sind oder keinen Weg finden, ein Werkspasswort zu ändern, senden Sie eine E-Mail an den Verkäufer, der das Passwort für Sie ändern sollte, oder lassen Sie sich beraten.
  5. Passwortmanager sind umständlich zu verwenden. Vielleicht umständlich, aber sicherer als eine Haftnotiz unter dem Schreibtisch. Einige Passwortmanager sind vielleicht knifflig, aber der Versuch, Ihre Konten nach einem Verstoß zurückzubekommen, wird viel schwieriger sein.

Welche sind also die 5 wichtigsten Möglichkeiten, Ihr Netzwerk zu schützen?

  1. Genehmigen Sie größere Budgets. Mitarbeiter für Informationssicherheit zu sensibilisieren, ist eine große Aufgabe. Es bedarf eines umfassenden Programms mit erheblichen Investitionen.
  2. Wenden Sie mindestens 16 Ziffern mit einer Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen an. Unbedingt auch Ihre Mitarbeiter darüber aufklären, unverwechselbare, aber schwer zu knackende Passwortphrasen zu verwenden. (Zum Beispiel MycarisaFordMustangbuild1963!).
  3. Verwenden Sie nach Möglichkeit alternative Zugangsmöglichkeiten wie Fingerabdruck oder 3D-Gesichtserkennung.
  4. Verwenden Sie nach Möglichkeit Zwei-Faktor-Authentifizierung (2FA) und Single Sign-On (SSO).
  5. Einführung EINER unternehmensweiten, einfach zu bedienenden Passwortmanagerlösung, die mit allen bereitgestellten Anwendungen verbunden ist (z.B. durch Installation von Add-ons).

Es versteht sich von selbst, dass Sie auch alle Ihre Anwendungen vollständig testen sollten, um die verschiedenen oben beschriebenen Angriffsmethoden zu verhindern.

Danke fürs Lesen.

Wir hoffen, dass unsere Empfehlungen Sie in Zukunft sicher halten werden:

Marcel Reifenberger CISO / CSO, CANCOM

@soc13tyhacker

Callum Butler Cyber Security Analyst, OCSL

@Callum_Butler

Erfahren Sie mehr über die Security-Lösungen von CANCOM.

Dieser Artikel wurde ursprünglich auf Englisch bei OCSL Insights veröffentlicht. Aus dem Englischen übersetzt von Patrick Füngerlings.

Quelle Titelbild: © TBIT/pixabay.com

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info

Cookies auf dieser Website

Cookies sind für die korrekte Funktionsweise einer Website wichtig. Damit wir verstehen, wie unsere Seite im Allgemeinen genutzt wird und wir Ihren Besuch noch interessanter und personalisierter gestalten können, setzen wir Cookies und andere Technologien ein. Bitte treffen Sie Ihre bevorzugte Cookie-Auswahl, um fortfahren zu können. Hilfe.

Wählen Sie eine Option, um fortzufahren

Ihre Auswahl wurde gespeichert!

Sie können Ihre Cookie-Einstellung jederzeit ändern. Eine Erläuterung der einzelnen Einstellungen finden Sie in der Hilfe.

COOKIE EINSTELLUNGEN

Wir respektieren Ihre Privatsphäre und den Datenschutz. Damit wir verstehen, wie unsere Seite im Allgemeinen genutzt wird und wir Ihren Besuch noch interessanter und personalisierter gestalten können, sammeln wir Daten über die Nutzung dieser Seite. Hierzu verwenden wir Cookies. Wir teilen außerdem Informationen über Ihre Nutzung unserer Website mit unseren Social-Media-, Werbe- und Analytikpartnern gemäß unserer Datenschutzerklärung. Sie können Ihre Präferenzen in den Cookie-Einstellungen verwalten und jederzeit ändern.

Achtung: Wenn Sie noch keine 16 Jahre alt sind deaktivieren Sie bitte unbedingt alle Cookies die nicht notwendig sind, da für das Tracken durch Cookies von Kindern unter 16 Jahren die Zustimmung eines Erziehungsberechtigten vorliegen werden muss.

  • Alle Cookies akzeptieren:
    Diese Funktion erlaubt alle Cookies für Tracking- und Seiten-Analyse, Cookies zur Personalisierung der Website oder Social Media Dienste. Dazu zählen auch Cookies von externen Anbietern, wie zum Beispiel Youtube oder Vimeo, um das Abspielen von Videos zu ermöglichen sowie Cookies, die nicht ausschließlich für den Betrieb der Webseite notwendig sind. Das sind Cookies für Marketing, Statistik und andere.
  • Nur Cookies erlauben, die von dieser Webseite gesetzt werden:
    Hierbei werden zusätzlich zu den notwendigen Cookies weitere Cookies geladen, die vom Websitebetreiber für diese Webseite genutzt werden. Das sind zum Beispiel Cookies, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht (z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden).
  • Nur Cookies akzeptieren, die für die Funktion der Seite notwendig sind:
    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Es werden bei dieser Option keine Cookies gesetzt, außer die aus technischen Gründen notwendig sind.

Zurück