Passwörter werden immer wichtiger. Viele Technologieunternehmen entwickeln Wege, um die Passwortverwaltung zu vereinfachen. Es gibt jedoch nur wenige allgemeine Richtlinien, wie man sichere Passwörter entwickelt.
Dabei muss jedes Unternehmen zweifellos seine eigenen spezifischen Sicherheitsanforderungen an Passwörter berücksichtigen. Doch selbst bei einem externen Audit müssen Grundstandards erfüllt werden.
Wenn man sich diese sogenannten “Standards” näher anschaut, sind weltweit überraschenderweise große Unterschiede zu sehen.
Was raten Sicherheitsbehörden auf der ganzen Welt?
Passwort-Standards im Vergleich |
NIST (National Institute of Standards and Technology) – USA |
BSI (Bundesamt für Sicherheit in der Informationstechnik) – Deutschland |
ENISA (Europäische Agentur für Netz- und Informationssicherheit) – EU |
NCSC (National Cyber Security Center) – Großbritannien |
Länge des Passworts |
Mindestens 8 Zeichen |
Mindestens 8 Zeichen (mindestens 14 für privilegierte Benutzerkonten) |
Mindestens 8 Zeichen |
Keine besonderen Anforderungen gegeben |
Wann sollte das Passwort geändert werden |
Auf Anfrage |
Mindestens alle 90 Tage |
Periodisch (noch nicht im Detail definiert) |
Auf Anfrage |
Komplexität |
Keine spezifischen Anforderungen gegeben |
aA1$ (Mischung aus Klein- und Großbuchstaben, Zahlen, Sonderzeichen) |
aA1$ (Mischung aus Klein- und Großbuchstaben, Zahlen, Sonderzeichen) |
Keine besonderen Anforderungen gegeben |
Akzeptierte fehlgeschlagene Versuche |
Keine speziellen Anforderungen gegeben |
Weniger als fünf |
Keine besonderen Anforderungen gegeben |
Bis zu zehn |
Sicherheitsfragen obligatorisch |
Nein |
Ja (in Bezug auf das zutreffende Risiko) |
Keine besonderen Anforderungen gegeben |
Nein |
Standardkennwörter |
Keine besonderen Anforderungen gestellt |
Verboten |
Muss vor der Auslieferung geändert werden |
Muss vor der Auslieferung geändert werden |
Multi-Faktor-Authentifizierung (MFA) |
Empfohlen |
Empfohlen |
Empfohlen |
Empfohlen |
Wie Sie sehen können, unterscheiden sich die Empfehlungen teils stark voneinander. Wie also sollten Systeme konfiguriert, Sensibilisierungsmaßnahmen definiert und Mitarbeiter geschult werden, wenn es keine echte Grundlage gibt?
Der beste Weg ist, “wie ein Hacker zu denken”. Durch das Verständnis aller Möglichkeiten, Passwörter zu knacken und Zugang zu Ihren Daten zu erhalten, haben Sie eine größere Chance, eine effektive Passwortstrategie zu entwickeln.
Was sind die häufigsten Möglichkeiten, Passwörter zu knacken?
- Abfangen oder Man-in-the-Middle-Angriffe – Dies geschieht häufig in ungesicherten Netzwerken, in denen Angreifer leicht den Datenverkehr abfangen können, um nach Passwörtern zu fischen.
- Brute Forcing – Angreifer verwenden eine Liste von Passwörtern, die sie auf ihren Systemen haben, und probieren jedes davon mit Ihrem Benutzernamen aus. In der Regel automatisiert mit Open-Source-Tools.
- Shoulder Surfing – Genau so, wie es klingt: Angreifer stehlen einfach Passwörter, indem sie Ihnen über die Schulter schauen.
- Social Engineering – Ein Angreifer verleitet ahnungslose Benutzer dazu, geklonte Websites zu besuchen. Oder er manipuliert auf sozialer Ebene, am Telefon oder von Angesicht zu Angesicht.
- Keylogging – Ein Angreifer erfasst jeden von Ihnen eingegebenen Schlüssel, indem er Ihren Computer oder die eigentliche Tastatur selbst ausnutzt.
- Bildschirmerfassung – Mit der Software Remote Access Trojans erfassen Angreifer Ihren Bildschirm. In Kombination mit Keylogging ermöglicht dies den Zugriff auf Ihre verschiedenen Passwörter. (Angenommen, Sie haben unterschiedliche Passwörter!)
- Suchen und Stehlen – Angreifer kaufen Wörterbuchpasswörter online oder durch Stehlen von Hash-Werten von remote angemeldeten Maschinen über ein Tool namens mimikatz.
- Manuelles Raten – Einfach und doch effektiv, mit Wissen über den Einzelnen.
- Token-Diebstahl oder Token-Replay – Auf schlecht kodierten Websites können Hacker Login-Token erfassen. Durch die Wiederverwendung des Token erhalten sie Zugang zu Ihrem Konto. Sie brauchen nicht einmal Ihren Benutzernamen.
Wir haben uns also mit Sicherheits- und Basisstandards sowie den verschiedenen Möglichkeiten, Passwörter zu knacken, beschäftigt. Lassen Sie uns nun einen Blick auf den Passwortschutz selbst werfen.
5 gängige Mythen über den Passwortschutz
- Es geht nur um die Länge. Die Länge kann ein wenig helfen. Aber KI, Big Data und Quantencomputer können Passwörter beliebiger Länge in einer Minute knacken. Längere Passwörter allein schützen also Ihre Systeme nicht.
- Die Eingabe komplexer Passwörter (mehr als 8 Zeichen) dauert zu lange. Biometrische Authentifizierungsmethoden (z.B. Gesichtserkennung oder Fingerabdruck) sowie Single Sign-On (SSO) können heutzutage den Authentifizierungszeitraum auf eine Sekunde verkürzen.
- 2FA wird alle Probleme lösen. Wahr in 99,9% aller Fälle. Zwei Faktor-Authentifizierungsmethoden reduzieren sicherlich die Möglichkeit, dass Ihr Konto kompromittiert wird; besonders wenn es sich um einen physischen 2FA-Schlüssel handelt. Das heißt, zufällig generierte Zahlen, die nach dem Anmelden mit Ihrem Passwort erforderlich sind. Software 2FA Schlüssel sind ebenfalls gut, aber anfälliger für Angriffe, wenn sie sich auf Ihrem mobilen Gerät befinden. (Aber denken Sie daran, dass alles gehackt werden kann.)
- Werkseitige Passwörter kann man nicht ändern. Wenn man sie nicht ändern kann, würde ich mich von ihnen fernhalten, pronto! Sie würden kein Haus ohne eine sichere Tür kaufen, warum also Software oder Hardware kaufen, die Ihr Netzwerk sperrangelweit offen lässt. Wenn Sie unsicher sind oder keinen Weg finden, ein Werkspasswort zu ändern, senden Sie eine E-Mail an den Verkäufer, der das Passwort für Sie ändern sollte, oder lassen Sie sich beraten.
- Passwortmanager sind umständlich zu verwenden. Vielleicht umständlich, aber sicherer als eine Haftnotiz unter dem Schreibtisch. Einige Passwortmanager sind vielleicht knifflig, aber der Versuch, Ihre Konten nach einem Verstoß zurückzubekommen, wird viel schwieriger sein.
Welche sind also die 5 wichtigsten Möglichkeiten, Ihr Netzwerk zu schützen?
- Genehmigen Sie größere Budgets. Mitarbeiter für Informationssicherheit zu sensibilisieren, ist eine große Aufgabe. Es bedarf eines umfassenden Programms mit erheblichen Investitionen.
- Wenden Sie mindestens 16 Ziffern mit einer Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen an. Unbedingt auch Ihre Mitarbeiter darüber aufklären, unverwechselbare, aber schwer zu knackende Passwortphrasen zu verwenden. (Zum Beispiel MycarisaFordMustangbuild1963!).
- Verwenden Sie nach Möglichkeit alternative Zugangsmöglichkeiten wie Fingerabdruck oder 3D-Gesichtserkennung.
- Verwenden Sie nach Möglichkeit Zwei-Faktor-Authentifizierung (2FA) und Single Sign-On (SSO).
- Einführung EINER unternehmensweiten, einfach zu bedienenden Passwortmanagerlösung, die mit allen bereitgestellten Anwendungen verbunden ist (z.B. durch Installation von Add-ons).
Es versteht sich von selbst, dass Sie auch alle Ihre Anwendungen vollständig testen sollten, um die verschiedenen oben beschriebenen Angriffsmethoden zu verhindern. Danke fürs Lesen. Wir hoffen, dass unsere Empfehlungen Sie in Zukunft sicher halten werden:
Marcel Reifenberger CISO / CSO, CANCOM (@soc13tyhacker)
Callum Butler Cyber Security Analyst, OCSL (@Callum_Butler)
Erfahren Sie mehr über die Security-Lösungen von CANCOM.
Dieser Artikel wurde ursprünglich auf Englisch bei OCSL Insights veröffentlicht. Aus dem Englischen übersetzt von Patrick Füngerlings.