World Password Day: Von 1234567 zu SYch&ER%heiçT

Ein Leben ohne Passwörter? In Tat und Wahrheit lässt uns die digitale Gesellschaft keine Wahl: Passwörter gehören immer noch zu den wichtigsten Zugangsmethoden was IT betrifft. Immerhin gibt Wege, die Nutzung von Passwörtern ohne die üblichen Frustrationen sicher zu machen. Wir müssen sie nur benutzen. Übrigens führen wir am 19.5.22, 8:00 unser nächstes kompaktesCybersecurity-Webinar  durch. Nicht zu Passwörtern, aber zum spannenden Thema NDR.

  #Cloud Security   #Cyber Defense Center   #Security Awareness   #Security Risk Assessment   #Security Strategy Architecture   #SIEM  
Marc Rudin
+41 58 510 18 07
marc.rudin@umb.ch

Wenn sie zu lang und zu kompliziert sind, können wir uns nicht an sie erinnern. Wenn sie zu kurz sind, sind sie nicht sicher. Wenn wir für jeden IT-Service ein spezielles Passwort benutzen, wird die Passwortliste so lang, dass wir sie irgendwo notieren müssen. Das wiederum ist natürlich eine sicherheitstechnische Sünde. Was tun also?

 

Passwortunsicherheit und kein Ende

Der leichtsinnige Umgang mit Passwörtern ist weit verbreitet. Es gibt Untersuchungen die zeigen, dass in Unternehmen 60 Prozent der Passwörter nicht den Mindestanforderungen entsprechen. So verwundert es nicht, dass mehr als 80 Prozent von Cybersicherheitsverletzungen durch ungenügende Passwortsicherheit möglich wurden[i]. Jedes Jahr erscheinen Listen der meistbenutzten Passwörter, und sie sehen auch dieses Jahr fast gleich aus, wie in den Jahren zuvor[ii]:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

 

Wir wissen heute, dass 10'000 der gängigsten Passwörter über 90 Prozent aller im Internet existierenden Accounts öffnen würden – weil eben die meisten Nutzer immer wieder das gleiche Passwort benutzen, oft jahrelang. Da wissen natürlich auch die Cyberkriminellen, und das ist der Grund dafür, dass es inzwischen sogar einen weltweiten «Passworttag» gibt[iii], der dieses Jahr am 5. Mai stattfindet.

 

Auf die Länge kommt es an

Passwort-Hacker haben in den letzten Jahren immense Fortschritte gemacht – unter anderem Dank ständig voranschreitender Rechenleistung und immer günstigerer Cloud-Technologie. Eine Hive-Systems-Untersuchung ergab, dass heute jedes achtstellige Passwort in weniger als einer Stunde geknackt werden kann[iv]. Noch erschreckender: Passwörter, die weniger als sieben Zeichen enthalten, können quasi ohne Zeitaufwand, also sofort geknackt werden. Im Jahr 2020 dauerte es noch acht Stunden, ein komplexes, aus acht Zeichen bestehendes Passwort zu knacken. Doch hier ist die gute Nachricht: Ein Passwort aus 12 Zeichen, das mit einem seriösen Passwort-Manager erstellt wurde, würde laut der Studie bis zu 3000 Jahre in Anspruch nehmen, um mit roher Rechenleistung geknackt zu werden.

 

Sicher ist sicher, und ein Passwort-Manager ist am sichersten

Passwörter sollten also mindestens 12 Zeichen lang sein. Es macht sie sicherer, wenn sie Großbuchstaben, Ziffern und Spezialzeichen und keine persönlichen Informationen (Namen, Geburtsdaten) enthalten. Verwenden Sie ein Passwort nie mehrfach (siehe oben).

Genau diese Regeln sind es, die das Passwort-Management kompliziert machen. Deshalb empfiehlt es sich, einen Passwortmanager zu benutzen. Ein solcher speichert Ihre Passwörter und hilft, neue und sichere zu erstellen. So müssen Sie sich nur noch das Passwort für den Passwortmanager merken. Viele gute Passwort-Manager bieten ihre Dienste sogar gratis an[v].

Wie auch immer: Richten Sie, wenn es möglich ist, immer eine Zwei-Faktor-Authentifizierung ein. Kriminelle, die Ihr Passwort gestohlen haben, können ohne den zweiten Faktor, beispielsweise einen Hard- oder Software-Token oder eine SMS-Textnachricht[vi], nicht auf Ihr Account zugreifen.

 

Cybersecurity für eine digitale Welt

Bei UMB betrachten wir Cybersecurity als integrale Disziplin in der ganzen IT-Landschaft und verstehen die Herausforderungen einer sich schnell verändernden Welt. Cybersecurity wird bei UMB nicht isoliert, sondern als Teil der IT-, Workplace- und Digitalisierungs-Konzepte betrachtet, zu denen auch Zugriffskontrollen und Passwörter gehören. Nur ausgewogene organisatorische und technische Massnahmen schützen Ihr Unternehmen wirkungsvoll. Dazu müssen neue Sicherheits-Dimensionen eingeführt werden, welche die klassische Prävention (Netzwerk- und Perimeterschutz) ergänzen. Dazu gehört einerseits die Fähigkeit, einen Angreifer frühzeitig zu entdecken. Andererseits müssen rasch die richtigen Gegenmassnahmen eingeleitet werden können. Kontaktieren Sie uns bitte, wenn Sie an diesem Thema interessiert sind.

 

[i] 81% Of Company Data Breaches Due To Poor Passwords

[ii] Here's 2022's worst passwords — don't use any of these

[iii] World Password Day (May 5th, 2022)

[iv] https://www.hivesystems.io/password-table

[v] Passwort-Manager Test 2022: Das sind die besten Dienste

[vi] SecurID Identity and Access Management

Wie Hacker Passwörter knacken

«Die Passwörter, die Sie auf Websites verwenden, werden auf den Servern als Hashes und nicht im Klartext wie "Passwort" gespeichert, so dass jemand, der sie ansieht, theoretisch das eigentliche Passwort nicht kennt. Umgekehrt geht das nicht. Ein Hashwert wie 5f4dcc3b5aa765d61d8327deb882cf99 kann nicht umgekehrt berechnet werden, um das Wort "Kennwort" zu ermitteln, mit dem er erstellt wurde. Dieser einseitige Ansatz für Hashing-Funktionen ist beabsichtigt. Wie kommen also Hacker, die Hashes von Websites stehlen, letztendlich an eine Liste mit echten Kennwörtern? Hacker lösen dieses Problem, indem sie stattdessen die Kennwörter knacken. In diesem Zusammenhang bedeutet "knacken", dass sie eine Liste aller Zeichenkombinationen auf Ihrer Tastatur erstellen und sie dann hacken. Indem sie Übereinstimmungen zwischen dieser Liste und den Hashes der gestohlenen Kennwörter finden, können Hacker Ihr wahres Kennwort herausfinden - und sich so bei Ihren bevorzugten Websites anmelden. Wenn Sie also dasselbe Kennwort auf mehreren Websites verwenden, ist das ein gefundenes Fressen für die Kriminellen.»             Quelle: Hive Systems