Inhaltsverzeichnis

Das Passwort ist weltweit die Hauptursache für Sicherheitsverletzungen und zerstört Ihr Unternehmen.

Passwörter sind überall.

Möchten Sie 
...Geld überweisen?
...auf die Software Ihres Unternehmens zugreifen?
...einen Einkauf in einem neuen Online-Shop tätigen?
...sich einfach in eine App einloggen, die Sie schon lange nicht mehr benutzt haben?
"Bitte geben Sie Ihr Passwort ein."

Nahezu jedes Gerät, jede App, jedes Programm, jeder Shop und jede Plattform verlangt heute Ihre Identifikation mit einem Passwort zu einem einzigen Zweck: um zu beweisen, dass Sie Sie sind.

In diesem Artikel haben wir die komplizierten technischen Prozesse anhand konkreter Beispiele vereinfacht, damit Sie verstehen, was Passwörter zu einem verheerenden Sicherheitsrisiko macht.

82% der Cyber-Verletzungen werden durch Passwörter verursacht

Passwörter sind immer schwach.

Die Schwäche des Passworts liegt in seiner Verwundbarkeit.

Um zu verstehen, warum, ist es notwendig zu verstehen, was ein Passwort ist.

Ihr Passwort besteht aus einer Reihe geheimer Zeichen (Zahlen, Buchstaben, Symbole). Es wird verwendet, um Zugang zu einem Computergerät, Webdiensten oder anderem zu gewähren.

Das bedeutet, dass Ihr Passwort statisch ist und daher entweder auswendig gelernt oder aufgeschrieben wurde. Diese beiden Merkmale eines Passworts sind die Hauptursache für alle Sicherheitsprobleme im Zusammenhang mit Passwörtern.

Benutzer verwenden schwache oder geläufige Passwörter wie "12345678", die Angreifer innerhalb von Sekunden erraten können.

Das erste Problem liegt in der Erstellung des Passworts: Im Durchschnitt kann sich eine Person ohne jede visuelle Unterstützung eine Kombination von 7 Zeichen oder Zahlen merken. Das bedeutet, dass ein Passwort für den Benutzer einfach sein muss, damit er es sich leicht merken kann.

Neueren Studien zufolge haben 10% der Menschen mindestens eines der 25 schlechtesten Passwörter auf der letztjährigen Top-Liste der 100 schlechtesten Passwörter verwendet. Das am häufigsten verwendete Passwort im Internet ist nach wie vor "123456".

Komplexe Passwörter sind ebenfalls nicht sicher und können leicht gehackt werden.

Die meisten Sicherheitsunternehmen empfehlen die Verwendung komplexer Passwörter aus einer Kombination von Zahlen, Satzzeichen, Großbuchstaben usw., um Ihr Konto zu sichern.

Aber es macht aus zwei Gründen keinen Unterschied, ob Ihr Passwort komplex ist:

  1. Ein Hacker kann Ihr Passwort mittels spezieller Software neu berechnen
  2. Hacker verwenden bestimmte Methoden und Technologien, um Ihr Passwort einfach neu zu berechnen. Gängige Methoden dazu sind so genannte Dictionary Attacks oder Brute-Force-Attacks. Beide Methoden basieren auf Software und Algorithmen, die Ihr Passwort erraten, indem sie auf der Grundlage von Standard-Passwortanforderungen (z.B. 8 Zeichen, mindestens 1 Großbuchstabe oder mindestens 1 Zahl) Milliarden von Möglichkeiten innerhalb von Sekunden kombinieren.

    Selbst wenn Ihr Passwort also komplexer ist, ist es nur eine Frage der Zeit, bis es errechnet werden kann.
  3. Benutzer können sich keine komplexen Passwörter merken
  4. Da Passwörter immer komplexer werden, ist es für Benutzer schwieriger, sich an sie zu erinnern.

    Daher müssen die Benutzer einen Weg finden, um komplexe Passwörter wiederzufinden, wenn sie sie vergessen haben. Eine mögliche Lösung ist der Einsatz von Passwortmanagern (). Aber die Verwendung eines Passwort-Managers schafft ein noch größeres Problem - "Master-Passwörter". Wenn ein Hacker Ihr Master-Passwort kennt, hat er Zugang zu allem. Master-Passwörter können innerhalb von Sekunden neu berechnet werden (siehe 1 oben).
52% der Benutzer verwenden Passwörter mehrfach

Passwort-Wiederverwendung ist die Ursache Nr. 1 für Verstöße

Wie eingangs erwähnt - fast jedes Gerät, jede App, jedes Programm, jedes Geschäft und jede Plattform erfordert heute Ihre Identifikation mit einem Passwort für einen einzigen Zweck.

Um all diese verschiedenen Konten zu verwalten, verwenden 52% (!) der Benutzer ihre Passwörter mehrfach - mit fatalen Folgen!

Warum die Mehrfachverwendung Ihres Passworts so gefährlich ist

Die erneute Verwendung desselben Passworts auf verschiedenen - oder noch schlimmer - allen Websites ermöglicht es einem Hacker, an verschiedene oder alle Ihre Konten zu gelangen - indem er einfach das schwächste Glied angreift.

Ein Beispiel

Ihr aktuelles LinkedIn-Konto ist mit einem starken Passwort gesichert und das Unternehmen verwendet hohe Sicherheitsstandards. Aber was ist mit Ihrer alten Hotmail-Adresse oder Ihrem alten MySpace-Konto?  

Es ist wahrscheinlich, dass Ihre Anmeldedaten 1 der 359.420.698 der im MySpace-Datenleck im Jahr 2008 gestohlen Anmeldedaten waren. Könnte es sein, dass Sie dasselbe Passwort, das Sie jetzt benutzen, für ein anderes Konto verwendet haben? Dann ist MySpace Ihr schwächstes Glied.

Für einen Hacker spielt es keine Rolle, wie stark die Sicherheit von LinkedIn heute ist. Ihr Benutzerkonto einschließlich der Passwörter wurde vor 11 Jahren unter Millionen von Menschen gestohlen - und online gespeichert, so dass es heute von jedem Hacker gekauft und benutzt werden kann. Dies wird als "Credential stuffing" bezeichnet.

Und MySpace ist nur ein Beispiel von Tausenden von Verstößen, die in den letzten Jahren geschehen sind. Und trotz all dieser Verstöße verwendet mehr als die Hälfte der Benutzer ihre Passwörter immer noch mehrfach.

Jüngste Zahlen zum Stand der Internetsicherheit 2018 bestätigen, dass sogar 8,2 Milliarden solcher böswilligen Anmeldeversuche (so genanntes Credential Stuffing) innerhalb eines Jahres gemeldet wurden.

Ihre Passwörter stehen bereits zum Download bereit

Das Knacken von Passwörtern ist nicht einmal notwendig. Kombinationen von Benutzername + Passwort sind im Internet zum Herunterladen verfügbar.

Bleiben wir beim MySpace-Beispiel. Die gesammelten Anmeldedaten der Datenlacks wie dieser werden innerhalb der Hacker-Community (besser bekannt als Darknet) geteilt. Hacker sammeln die Ernte dieser Datenlacks und speichern die gestohlenen Anmeldedaten in so genannten Torrent-Dateien und stellen sie anderen zum Download zur Verfügung. Und diese Dateien werden gesammelt und für immer gespeichert.

Und Verstöße geschehen jeden Tag. Nicht nur bei den großen Namen, sondern auch bei zu kleinen, alten Websites, auf denen sich die Nutzer vor Ewigkeiten angemeldet haben und sich in den meisten Fällen nicht einmal daran erinnern, dass ihre alten Konten noch existieren. Zusammenfassend lässt sich sagen, dass die Anzahl der verfügbaren Passwörter zunimmt - Tag für Tag und ohne dass der Benutzer dies bemerkt.

Tatsächlich ist es sehr wahrscheinlich, dass Ihr Passwort bereits irgendwo gehackt worden ist. Und aufgrund der Wiederverwendung von Passwörtern könnte ein Angreifer auch eines Ihrer wichtigen Passwörter haben (wie Ihr Google-Passwort, Ihr Apple AppStore-Passwort oder Ihr Dropbox-Passwort).

Und wenn nicht, werden Benutzer gephisht - ein leichter Zugang für Hacker

Und wenn die Passwörter nicht zum Herunterladen zur Verfügung stehen, phischen Hacker die Benutzer einfach, indem sie sie auf eine gefälschte Website schicken und sie freiwillig ihre Anmeldedaten angeben lassen.

Um die Sicherheit zu verbessern, haben Unternehmen angefangen, einen weiteren "Sicherheitsfaktor" in ihren Anmeldeprozess einzubauen, z.B. SMS-PINs. Aber das schwächste Glied ist der Benutzer selbst, und Unternehmen können nichts tun, um dies zu verhindern. Denn die Benutzer geben ihre Pins und Passwörter freiwillig, oft ohne es zu merken. Dies nennt man Phishing.

Ein Beispiel

Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrer Bank. Das Thema ist dringend, jemand hat versucht, Geld von Ihrem Konto abzuheben, und Ihre Bank besteht darauf, dies sofort zu überprüfen. Und natürlich sind es nicht Sie, der Geld abhebt - Sie sitzen gerade im Büro und lesen die E-Mail.

Also, was machen Sie?  

Sie klicken auf die Schaltfläche in der E-Mail, die Sie direkt auf die Website Ihrer Bank führen soll. Dort geben Sie wie gewohnt Ihre Login-Daten ein. Sie geben Ihr Passwort ein, erhalten eine PIN per SMS auf Ihr Telefon und geben auch diesen Code ein. Ihr Zugang wird gewährt, und Sie werden auf die Landing Page Ihrer Banken geführt.

Was ist passiert? Sie wurden erfolgreich mit der Phishing-Methode gehackt und jetzt aus Ihrem eigenen Konto rausgeworfen.

Wie ist das möglich? Hier ist, was im Hintergrund passiert ist:

Die E-Mail, die Sie erhalten haben, war gefälscht. Die Website, zu der Sie geführt wurden, war ebenfalls eine gefälschte Website, die an das Erscheinungsbild der ursprünglichen Website angepasst war. Als Sie Ihren Benutzernamen und Ihr Passwort eingaben, wurden diese Informationen direkt an den Hacker geschickt. Während Sie auf Ihre SMS-PIN warteten, ging der Hacker auf die ursprüngliche Website Ihrer Bank, gab Ihren Benutzernamen und Ihr Passwort ein und löste damit eine echte SMS aus, die Sie gerade erhalten hatten.

Als Sie die SMS-PIN auf der gefälschten Website eingetippt haben, wurde auch diese Information direkt an den Hacker weitergeleitet, der nun nur noch Ihre SMS-PIN auf der ursprünglichen Website eingeben musste - und erhielt Zugang.

Dies ist nur ein Beispiel von Tausenden von Möglichkeiten für Phishing. Und für jene Websites und Konten, die ohne 2. Faktoren wie SMS gesichert sind, ist es sogar noch einfacher.  

Schlussfolgerung: Das Passwort muss beseitigt werden.

Denn solange Passwörter verwendet werden, werden Benutzerkonten gehackt. Da es sehr unwahrscheinlich ist, dass Benutzer in absehbarer Zeit als schwächstes Glied entfernt werden, müssen Sie das Passwort löschen.

Und das bedeutet, Sie müssen eine Lösung finden, die

  • Ist bequem für Benutzer
  • Ist sicher und kann nicht zentral gehackt werden
  • Verhindert Angriffe wie Phishing

Daher äußern viele Sicherheitsexperten ihr Interesse und die Notwendigkeit, sich in Richtung Passwortlose Authentifizierung. Wenn Sie mehr darüber wissen wollen Passwortlose Authentifizierung, die Grenzen, Risiken und Best Practices besser verstehen wollen, lesen Sie unseren Expertenleitfaden zu Passwortlose Authentifizierung.