Sie sollten Ihre Benutzer nicht auffordern, ihre Kennwörter nach einer Sicherheitsverletzung zu ändern. Hier ist der Grund

Datenverletzungen werden meistens durch menschliches Versagen, Schwachstellen im System, Malware oder durch Identitätsdiebstahl (gestohlen Anmeldedaten) verursacht.

Datenschutzverletzungen können sich finanziell und auf den Ruf eines Unternehmens auswirken, aber die Endbenutzer müssen die Folgen der Verletzung tragen. Sie reichen von künstlicher Identität, Kontoübernahme, Spear-Phishing, Auswirkungen auf die Privatsphäre, finanziellem Verlust und anderem.

Datenschutzverletzungen werden in den meisten Fällen durch menschliches Versagen, Schwachstellen im System, Malware oder Identitätsdiebstahl (gestohlen Anmeldedaten) verursacht.

Laut dem Gemalto-Index für Datenschutzverletzungen ist Identitätsdiebstahl immer noch die häufigste Ursache für Datenschutzverletzungen.

Datenschutzverletzungen wie die der Vereinten Nationen, FedEx, Ai.type .............................. und so viele andere sind auf menschliches Versagen zurückzuführen - Fehlkonfiguration/ungeschützte Datenspeicherung und Webserver. Es liegt weder eine Schwäche in den zugrunde liegenden Systemen vor, noch wurden Sicherheitsmaßnahmen in den Systemen überwunden, sondern sie sind das Ergebnis davon, dass keine unbefugten Beschränkungen für das System festgelegt wurden - kein Kennwort oder eine Anmeldedaten ist erforderlich, um auf sie zuzugreifen. Bei dieser Art von Verstößen war das System für jeden zugänglich, der darauf zugreifen wollte.

Datenschutzverletzungen wie die von Equifax, T-Mobile ... und anderen werden durch Schwachstellen in ihren Systemen verursacht. Dies kann auf nicht behobene, bereits identifizierte Sicherheitsprobleme, Zero-Day-Angriffe, Bugs in Software, APIs oder das Fehlen angemessener Sicherheitskontrollmaßnahmen zurückzuführen sein.

Die Art von Sicherheitsverletzungen, von denen British Airways, Ticketfly und Ticketmaster betroffen waren, bei denen bösartiger Code in ihre Anwendungen eingeschleust wurde, könnten als Malware-Angriffe eingestuft werden.

Andere Angriffe, bei denen ein gestohlenes Anmeldedaten verwendet wird, um sich unbefugt Zugang zu einem System zu verschaffen, wie im Fall von Reddit, Time hop, Macy, Yahoo, PEXA und anderen, werden als Identitätsdiebstahl betrachtet. Dies kann auf schwache/unsichere Anmeldedaten, Phishing, Spear Phishing, Credential Surfing, Insider-Bedrohungen usw. zurückzuführen sein.

Bei all diesen Datenschutzverletzungen sind personenbezogene Daten wie E-Mail-Adressen, Telefonnummern, Kreditkartendaten, medizinische Daten, Adressen usw. das Hauptziel der Angreifer. Wenn in ein Mitarbeiterkonto eingedrungen wird, tragen die Endnutzer am meisten die Konsequenzen. Ein einziger Verstoß, der niemals von einem Endnutzer verschuldet wurde, kann dazu führen, dass die Identität des Endnutzers für immer gestohlen wird. Der Diebstahl der Datenbank von 5,6 Millionen US-Bundesbediensteten im Jahr 2015 bedeutet beispielsweise, dass die Betroffenen gefährdet sind, ihre biometrischen Fingerabdrücke zu verwenden. Das Gleiche gilt für gestohlene Krankenakten - die Nutzer können ihre Passwörter auf neue, stärkere Authentifizierungsmethoden umstellen, aber die gestohlenen Krankenakten können nie geändert werden, sie gehören der betreffenden Person ein Leben lang.

Die erste Sicherheitsmaßnahme der meisten Unternehmen besteht darin, die Benutzer zu zwingen und/oder aufzufordern, ihre Passwörter zu ändern (Anmeldedaten), wenn ein Einbruch stattfindet.

Warum wird den Nutzern empfohlen, ihr Passwort nach einer Sicherheitsverletzung zu ändern?

Einige Organisationen tun dies als Vorsichtsmaßnahme, andere, weil die Anmeldung Anmeldedaten nicht richtig gesichert war. Selbst wenn Unbefugte nur auf die Hash-Werte der kompromittierten Anmeldedaten zugreifen, gibt es keine Gewissheit, dass die Hash-Funktionen nicht in naher Zukunft geknackt werden. Das Gleiche gilt, wenn die gestohlenen Anmeldedaten in verschlüsselter Form vorliegen. Der Verschlüsselungsschlüssel befindet sich irgendwo, und wenn dieser Schlüssel in unbefugte Hände gelangt, werden alle versteckten Anmeldedaten offengelegt.

Einer der Hauptgründe, warum Benutzer nach einer Sicherheitsverletzung aufgefordert werden, ihr Passwort zu ändern, ist, dass ein Abgleich mit Daten, die bei anderen Sicherheitsverletzungen gestohlen wurden, um das Benutzerkonto Anmeldedaten zu erraten/zurückzusetzen, verhindert werden soll. Bei den Sicherheitsverletzungen bei Equifax, Yahoo und Under Armour wurden beispielsweise Milliarden von Benutzer-E-Mails und in einigen Fällen auch Passwörter offengelegt. Wenn dieselbe E-Mail, die bei Equifax oder Yahoo aufgedeckt wurde, von einem Benutzer auf einer anderen manipulierten Website verwendet wird und der Angreifer zufällig das E-Mail-Passwort aus der früheren Sicherheitsverletzung erhält, könnte das gleiche Passwort verwendet werden, um auf das Konto des Benutzers zuzugreifen, wenn dieser es wieder verwendet. Oder noch besser, der Hacker könnte die bereits unter seiner Kontrolle befindliche E-Mail verwenden, um das Passwort des Benutzers auf der/den anderen Website(s) zurückzusetzen, auf der/denen die gleiche E-Mail verwendet wurde. Aus diesem Grund raten die meisten Unternehmen ihren Nutzern, ihre Passwörter nach einem Einbruch zu ändern, auch wenn die Passwörter nicht kompromittiert wurden.

"Sie sind vor allem in Verbindung mit anderen Daten schädlich. Die Hacker könnten zum Beispiel 2 und 2 zusammenzählen, indem sie diese Liste von 92 Millionen mit einer Liste von E-Mails abgleichen, deren entsprechende Passwörter durch eine andere Sicherheitsverletzung bekannt wurden. Ein weiterer Grund könnte die Möglichkeit sein, dass der Verschlüsselungs- oder Hash-Algorithmus geknackt wurde, und in einigen Fällen verwenden Unternehmen schwache Hash-Funktionen wie MD5 und SHA1 zur Sicherung von Passwörtern.

Die Änderung des Passworts löst das Problem nicht wirklich. Das eigentliche Problem ist das Passwort selbst!

Passwörter sind schwer zu merken, man kann die Wiederverwendung von Passwörtern nicht verhindern, sie können gefälscht oder erraten werden, und auch die Methode zum Zurücksetzen des Passworts.

Die meisten Unternehmen verwenden die E-Mail-Adresse/Telefonnummer als Faktor, um die Inhaberschaft eines Kontos bei der Passwortänderung/-rücksetzung nachzuweisen. Unternehmen können nicht kontrollieren, wie die E-Mail-Adresse oder Telefonnummer, die zum Zurücksetzen des Kontos Anmeldedaten verwendet werden, gesichert sind. Es macht keinen Sinn, den Benutzer überhaupt mit der Änderung seines Passworts zu belästigen, denn wenn dasselbe Passwort, das geändert werden soll, für die E-Mail wiederverwendet wird oder die E-Mail nicht ordnungsgemäß mit MFA gesichert ist, ist es immer noch dasselbe, als würde man das verletzte Passwort nicht ändern, da der Angreifer sogar schon die Kontrolle über die E-Mail gehabt haben könnte. Dies war der Fall bei der PEXA-Datenpanne, bei der es einem Hacker gelang, die E-Mail-Adresse eines Mitarbeiters zu kompromittieren und dann den Link zum Zurücksetzen des Kennworts abzufangen, um das Kennwort des Kontos zu ändern und bis zu 250.000 US-Dollar aus der Abrechnung eines Familienbesitzes in Australien zu stehlen. Das gleiche Sicherheitsproblem betrifft Organisationen, die SMS-Codes als Rücksetzmethode und/oder als zweiten Faktor verwenden. Dies war die Ursache für die Datenverletzung bei Reddit im August 2018, bei der ein Angreifer den SMS-Code des zweiten Faktors abfing, um sich unbefugten Zugang zu den Cloud-Diensten von Reddit zu verschaffen.

Die Sicherheit eines Benutzerkontos hängt und/oder ist gleichwertig mit der Sicherheit der E-Mail-Adresse, der Telefonnummer oder anderer Methoden, die zum Zurücksetzen des Kontos Anmeldedaten verwendet werden könnten.

Sicherheitsverletzungen sind vorprogrammiert, es ist nur eine Frage des Zeitpunkts und des Wie. Warum wählen Unternehmen dann nicht zunächst einen robusteren Sicherheitsansatz, anstatt die Passwörter nach einer Sicherheitsverletzung zu ändern?

Wenn eine Organisation beispielsweise eine Authentifizierungslösung verwendet, bei der sie das Authentifizierungsgeheimnis des Benutzers weder in gehashter noch in verschlüsselter Form speichert, gibt es keinen Grund, die Benutzer aufzufordern, ihre Passwörter nach einem Sicherheitsverstoß zu ändern. Außerdem braucht das Unternehmen keine Passwörter mehr zu verwalten. Laut NIST gelten Authentifizierungsprotokolle, bei denen der Prüfer keine Geheimnisse dauerhaft speichern muss, die für die Authentifizierung verwendet werden könnten, als stärker".

Passwortlose Authentifizierungslösungen, die kein Benutzerauthentifizierungsgeheimnis in gehashter oder unverschlüsselter Form speichern, sind weitaus sicherer und widerstandsfähiger gegenüber Kompromittierungen durch den Prüfer im Vergleich zu Lösungen, die Passwörter, SMS-Codes und OTPs zur Authentifizierung eines Benutzers verwenden.