Schaffen Sie das Passwort ab, bevor es Sie abschafft : Eine Geschichte über Passwortsicherheit

Das Passwort ist weltweit die Hauptursache für Sicherheitsverletzungen und zerstört Ihr Unternehmen.

Passwörter sind überall.

Möchten Sie

...Geld überweisen?

...auf die Software Ihres Unternehmens zugreifen?

...in einem neuen Online-Shop einkaufen?

...sich einfach bei einer App anmelden, die Sie schon lange nicht mehr benutzt haben?

"Bitte geben Sie Ihr Passwort ein."

Fast jedes Gerät, jede App, jedes Programm, jeder Shop und jede Plattform verlangt heute Ihre Identifikation mit einem Passwort zu einem einzigen Zweck: um zu beweisen, dass Sie Sie sind.

In diesem Artikel haben wir die komplizierten technischen Vorgänge anhand konkreter Beispiele vereinfacht, damit Sie verstehen, was Passwörter zu einem verheerenden Sicherheitsrisiko macht.

82% der Cyberverletzungen werden durch Passwörter verursacht

Passwörter sind immer schwach.

Die Schwäche des Passworts liegt in seinem verwundbaren Charakter.

Um zu verstehen, warum, ist es notwendig zu verstehen, was ein Passwort ist.

Ihr Passwort ist eine Reihe von geheimen Zeichen (Zahlen, Buchstaben, Symbole). Es wird verwendet, um den Zugang zu einem Computer, zu Webdiensten oder anderem zu gewähren.

Das bedeutet, dass Ihr Passwort statisch ist und daher entweder auswendig gelernt oder aufgeschrieben wird. Diese beiden Merkmale eines Passworts sind die Hauptursache für alle Sicherheitsprobleme im Zusammenhang mit Passwörtern.

Benutzer verwenden schwache oder geläufige Passwörter wie "12345678", die Angreifer innerhalb von Sekunden erraten können.

Das erste Problem liegt in der Erstellung des Passworts: Im Durchschnitt kann sich eine Person eine Kombination aus 7 Zeichen oder Zahlen ohne visuelle Unterstützung merken. Das bedeutet, dass ein Passwort einfach sein muss, damit der Benutzer es sich leicht merken kann. Jüngsten Studien zufolge haben 10 % der Menschen mindestens eines der 25 schlechtesten Passwörter verwendet, die im letzten Jahr in der Liste der 100 schlechtesten Passwörter aufgeführt waren. Das am häufigsten verwendete Passwort im Internet ist immer noch "123456".

Komplexe Passwörter sind ebenfalls nicht sicher und können leicht gehackt werden.

Die meisten Sicherheitsunternehmen empfehlen die Verwendung komplexer Passwörter aus einer Kombination von Zahlen, Satzzeichen, Großbuchstaben usw., um Ihr Konto zu schützen. Es macht jedoch keinen Unterschied, ob Ihr Passwort komplex ist, und zwar aus zwei Gründen:

1. Ein Hacker kann Ihr Passwort dank spezieller Software neu berechnen

2. Hacker verwenden spezielle Methoden und Technologien, um Ihr Passwort einfach neu zu berechnen. Gängige Methoden dafür sind so genannte Wörterbuchangriffe oder Brute-Force-Angriffe. Beide Methoden basieren auf Software und Algorithmen, die Ihr Passwort innerhalb von Sekunden durch die Kombination von Milliarden von Möglichkeiten auf der Grundlage von Standardpasswortanforderungen (z. B. 8 Zeichen, mindestens 1 Großbuchstabe oder mindestens 1 Zahl) erraten.

Selbst wenn Ihr Passwort komplexer ist, ist es also nur eine Frage der Zeit, bis es neu berechnet werden kann.

1.Benutzer können sich komplexe Passwörter nicht merken

2. Je komplexer die Passwörter werden, desto schwieriger ist es für die Benutzer, sie sich zu merken.

Daher müssen die Benutzer eine Möglichkeit finden, komplexe Passwörter abzurufen, wenn sie sie vergessen haben. Eine mögliche Lösung ist die Verwendung von Passwortmanagern (). Die Verwendung von Passwort-Managern schafft jedoch ein noch größeres Problem - "Master-Passwörter". Wenn ein Hacker Ihr Master-Passwort kennt, hat er Zugang zu allem. Master-Passwörter können innerhalb von Sekunden neu berechnet werden (siehe 1 oben).

52 % der Nutzer verwenden Passwörter erneut.

Passwort-Wiederverwendung ist die Ursache Nr. 1 für Verstöße

Wie eingangs erwähnt - fast jedes Gerät, jede App, jedes Programm, jeder Shop und jede Plattform erfordern heute Ihre Identifikation mit einem Passwort für einen einzigen Zweck. Um all diese verschiedenen Konten zu verwalten, verwenden 52 % (!) der Nutzer ihre Passwörter immer wieder - mit fatalen Folgen!

Warum die Mehrfachverwendung Ihres Passworts so gefährlich ist

Die erneute Verwendung desselben Passworts auf verschiedenen - oder noch schlimmer - allen Websites ermöglicht es einem Hacker, an verschiedene oder alle Ihre Konten zu gelangen - indem er einfach das schwächste Glied angreift.

Ein Beispiel

Ihr aktuelles LinkedIn-Konto ist durch ein sicheres Passwort geschützt und das Unternehmen verwendet hohe Sicherheitsstandards. Aber was ist mit Ihrer alten Hotmail-Adresse oder Ihrem MySpace-Konto?

Es ist wahrscheinlich, dass Ihre Anmeldedaten (unter Experten: Anmeldedaten) zu den 359.420.698 gestohlenen Anmeldedaten während der riesigen MySpace-Panne im Jahr 2008 gehörten. Könnte es sein, dass Sie dasselbe Passwort, das Sie jetzt verwenden, für ein anderes Konto benutzt haben? Dann ist MySpace Ihr schwächstes Glied.

Für einen Hacker spielt es keine Rolle, wie stark die Sicherheit von LinkedIn heute ist. Ihr Benutzerkonto einschließlich der Passwörter wurde vor 11 Jahren unter Millionen gestohlen - und online gespeichert, so dass es heute von jedem Hacker gekauft und verwendet werden kann. Das nennt man Credential Stuffing.

Und MySpace ist nur ein Beispiel für Tausende von Sicherheitsverletzungen, die in den letzten Jahren stattgefunden haben. Und trotz all dieser Sicherheitsverletzungen verwendet mehr als die Hälfte der Nutzer ihre Passwörter immer noch.

Jüngste Zahlen des State of the Internet Security 2018 bestätigen, dass innerhalb eines Jahres sogar 8,2 MILLIARDEN solcher böswilligen Anmeldeversuche (so genanntes Credential Stuffing) gemeldet wurden.

Ihre Passwörter stehen bereits zum Download bereit

Das Knacken von Passwörtern ist nicht einmal notwendig. Kombinationen aus Benutzername und Kennwort sind im Internet leicht herunterzuladen.

Bleiben wir bei dem Beispiel MySpace. Die gesammelten Anmeldedaten von Einbrüchen wie diesem werden innerhalb der Hackergemeinschaft (besser bekannt als Darknet) geteilt. Hacker sammeln die Ergebnisse dieser Einbrüche und speichern die gestohlenen Anmeldedaten in so genannten Torrent-Dateien und stellen sie anderen zum Herunterladen zur Verfügung. Und diese Dateien werden gesammelt und für immer gespeichert.

Und jeden Tag kommt es zu Verstößen. Nicht nur bei den großen Namen, sondern auch bei kleinen, alten Websites, bei denen sich die Benutzer schon vor Jahren angemeldet haben und sich in den meisten Fällen nicht einmal mehr daran erinnern, dass ihre alten Konten noch existieren. Die Zahl der verfügbaren Passwörter nimmt also zu - Tag für Tag und ohne dass der Nutzer es merkt.

In der Tat ist es sehr wahrscheinlich, dass Ihr Passwort bereits irgendwo gehackt wurde. Und aufgrund der Wiederverwendung von Passwörtern könnte ein Angreifer auch eines Ihrer wichtigen Passwörter haben (wie Ihr Google-Passwort, Ihr Apple AppStore-Passwort oder Ihr Dropbox-Passwort).

Und wenn nicht, werden die Nutzer gephisht - ein einfacher Zugang für Hacker

Und wenn die Passwörter nicht zum Herunterladen zur Verfügung stehen, schicken die Hacker die Nutzer einfach auf eine gefälschte Website, auf der sie ihre Anmeldedaten freiwillig angeben Anmeldedaten.

Um die Sicherheit zu verbessern, haben Unternehmen angefangen, einen weiteren "Sicherheitsfaktor" in ihren Anmeldeprozess einzubauen, z.B. SMS-PINs. Aber das schwächste Glied ist der Benutzer selbst, und Unternehmen können nichts tun, um dies zu verhindern. Denn die Benutzer geben ihre Pins und Passwörter freiwillig, oft ohne es zu merken. Dies nennt man Phishing.

Ein Beispiel

Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrer Bank. Der Betreff ist dringend: Jemand hat versucht, Geld von Ihrem Konto abzuheben, und Ihre Bank besteht darauf, dies sofort zu überprüfen. Und natürlich sind es nicht Sie, der Geld abhebt - Sie sitzen gerade im Büro und lesen die E-Mail.

Also, was machen Sie?  

Sie klicken auf die Schaltfläche in der E-Mail, die Sie direkt zur Website Ihrer Bank führen soll. Dort geben Sie wie gewohnt Ihre Anmeldedaten ein. Sie geben Ihr Passwort ein, erhalten eine PIN per SMS auf Ihr Telefon und geben auch diesen Code ein. Ihr Zugang wird gewährt, und Sie werden auf die Landing Page Ihrer Bank geleitet.

Was ist passiert? Sie wurden erfolgreich per Phishing-Methode gehackt und nun aus Ihrem eigenen Konto geworfen.

Wie ist das möglich? Hier ist, was im Hintergrund passiert ist:

Die E-Mail, die Sie erhalten haben, war gefälscht. Die Website, auf die Sie geleitet wurden, war ebenfalls eine Fälschung, die dem Aussehen der ursprünglichen Website angepasst war. Als Sie Ihren Benutzernamen und Ihr Passwort eingaben, wurden diese Informationen direkt an den Hacker gesendet. Während Sie auf Ihre SMS-PIN warteten, rief der Hacker die ursprüngliche Website Ihrer Bank auf, tippte Ihren Benutzernamen und Ihr Passwort ein und löste damit eine echte SMS aus, die Sie gerade erhalten hatten.

Als Sie die SMS-PIN auf der gefälschten Website eintippten, wurde auch diese Information direkt an den Hacker übermittelt, der nun nur noch Ihre SMS-PIN auf der ursprünglichen Website eingeben musste - und Zugang erhielt.

Dies ist nur ein Beispiel von tausenden von Möglichkeiten für Phishing. Und für die Websites und Konten, die ohne 2. Faktoren wie SMS gesichert sind, ist es sogar noch einfacher. ‍

Schlussfolgerung: Das Passwort muss beseitigt werden.

Denn solange Passwörter verwendet werden, werden auch Benutzerkonten gehackt werden. Da es sehr unwahrscheinlich ist, dass die Benutzer als schwächstes Glied in absehbarer Zeit beseitigt werden, müssen Sie das Passwort abschaffen.

Und das bedeutet, dass man eine Lösung finden muss, die

- für die Benutzer bequem ist

- sicher ist und nicht zentral gehackt werden kann

- Angriffe wie Phishing verhindert

Daher äußern viele Sicherheitsexperten ihr Interesse und die Notwendigkeit, sich in Richtung Passwortlose Authentifizierung. Wenn Sie mehr über Passwortlose Authentifizierung erfahren und die Grenzen, Risiken und bewährten Verfahren besser verstehen möchten, lesen Sie unseren Expertenleitfaden zu Passwortlose Authentifizierung.