Töte das Passwort, bevor es dich tötet: Eine Geschichte über Passwortsicherheit

Das Passwort ist weltweit die häufigste Ursache für Sicherheitslücken und bringt Ihr Unternehmen zum Erliegen.

Passwörter sind überall.

Würdest du gerne

... Geld überweisen?

... auf die Software Ihres Unternehmens zugreifen?

... in einem neuen Online-Shop einkaufen?

... loggen Sie sich einfach in eine App ein, die Sie eine Weile nicht benutzt haben?

"Bitte geben Sie Ihr Passwort ein."

Fast jedes Gerät, jede App, jedes Programm, jeder Shop und jede Plattform erfordert heute Ihre Identifizierung mit einem Passwort für einen einzigen Zweck: um zu beweisen, dass Sie Sie sind.

In diesem Artikel haben wir die komplizierten technischen Prozesse anhand konkreter Beispiele vereinfacht, damit Sie verstehen, was Passwörter zu einem verheerenden Sicherheitsrisiko macht.

82% der Cyberangriffe werden durch Passwörter verursacht

Passwörter sind immer schwach.

Die Schwäche des Passworts liegt in seinem verwundbaren Charakter.

Um zu verstehen, warum, muss man verstehen, was ein Passwort ist.

Ihr Passwort besteht aus einer Reihe geheimer Zeichen (Zahlen, Buchstaben, Symbole). Es wird verwendet, um Zugriff auf ein Computergerät, Webdienste oder andere zu gewähren.

Das bedeutet, dass Ihr Passwort statisch ist und daher entweder auswendig gelernt oder aufgeschrieben wird. Diese beiden Merkmale eines Passworts sind die Hauptursache für alle Sicherheitsprobleme im Zusammenhang mit Passwörtern.

Benutzer verwenden schwache oder häufig verwendete Passwörter wie "12345678", die Angreifer innerhalb von Sekunden erraten können.

Das erste Problem liegt in der Erstellung des Passworts: Im Durchschnitt kann sich eine Person eine Kombination aus 7 Zeichen oder Zahlen ohne visuelle Unterstützung merken. Das bedeutet, dass ein Passwort einfach sein muss, damit sich der Benutzer es leicht merken kann. Jüngsten Studien zufolge haben 10% der Menschen zuletzt mindestens eines der 25 schlechtesten Passwörter verwendet Topliste des Jahres mit den 100 schlechtesten Passwörtern. Das im Internet am häufigsten verwendete Passwort ist immer noch "123456".

Komplexe Passwörter sind ebenfalls nicht sicher und können leicht gehackt werden.

Die meisten Sicherheitsunternehmen empfehlen, komplexe Passwörter aus einer Kombination von Zahlen, Satzzeichen, Großbuchstaben usw. zu verwenden, um Ihr Konto zu sichern. Es macht jedoch keinen Unterschied, ob Ihr Passwort komplex ist, und zwar aus zwei Gründen:

1. Ein Hacker kann Ihr Passwort dank einer speziellen Software neu berechnen

2. Hacker verwenden bestimmte Methoden und Technologien, um Ihr Passwort einfach neu zu berechnen. Übliche Methoden, dies zu tun, sind sogenannte Wörterbuchangriffe oder Brute-Force-Angriffe. Beide Methoden basieren auf Software und Algorithmen, die Ihr Passwort erraten, indem sie innerhalb von Sekunden Milliarden von Möglichkeiten kombinieren, die auf den Standardpasswortanforderungen basieren (z. B. 8 Zeichen, min. 1 Großbuchstabe oder min. 1 Zahl).

Selbst wenn Ihr Passwort komplexer ist, ist es nur eine Frage der Zeit, bis es neu berechnet werden kann.

1.Benutzer können sich komplexe Passwörter nicht merken

2. Da Passwörter immer komplexer werden, ist es für Benutzer schwieriger, sie sich zu merken.

Daher müssen Benutzer einen Weg finden, komplexe Passwörter abzurufen, wenn sie sie vergessen. Eine mögliche Lösung ist die Verwendung von Passwortmanagern (). Die Verwendung eines Passwortmanagers führt jedoch zu einem noch größeren Problem - den "Master-Passwörtern". Wenn ein Hacker Ihr Master-Passwort kennt, hat er Zugriff auf alles. Master-Passwörter können innerhalb von Sekunden neu berechnet werden (siehe 1 oben).

52% der Nutzer verwenden Passwörter erneut

Die Wiederverwendung von Passwörtern ist die #1 Ursache für Sicherheitslücken

Wie eingangs erwähnt, erfordert heute fast jedes Gerät, jede App, jedes Programm, jeder Shop und jede Plattform Ihre Identifizierung mit einem Passwort für einen einzigen Zweck. Um all diese verschiedenen Konten zu verwalten, benötigen 52% (!) der Nutzer ihre Passwörter erneut - mit fatalen Folgen!

Warum die Wiederverwendung Ihres Passworts so gefährlich ist

Wenn Sie dasselbe Passwort auf verschiedenen - oder noch schlimmer - allen Websites wiederverwenden, kann ein Hacker auf verschiedene oder alle Ihre Konten zugreifen - indem er einfach den schwächsten Link angreift.

Ein Beispiel

Ihr aktuelles LinkedIn-Konto ist mit einem sicheren Passwort gesichert und das Unternehmen verwendet hohe Sicherheitsstandards. Aber was ist mit Ihrer alten Hotmail-Adresse oder Ihrem MySpace-Konto?

Es ist wahrscheinlich, dass Ihre Login-Daten (unter Experten: Zugangsdaten) 1 der 359.420.698 gestohlene Zugangsdaten während des Giants MySpace-Verstoßes im Jahr 2008 sind. Könnte es sein, dass Sie dasselbe Passwort verwendet haben, das Sie jetzt für ein anderes Konto verwenden? Dann ist MySpace dein schwächstes Glied.

Für einen Hacker spielt es keine Rolle, wie stark die Sicherheit von LinkedIn heute ist. Ihr Benutzerkonto einschließlich der Passwörter wurde vor 11 Jahren unter Millionen gestohlen - und online gespeichert, sodass Sie es heute von jedem Hacker kaufen und verwenden können. Das nennt man Credential Stuffing.

Und MySpace ist nur ein Beispiel für Tausende von Sicherheitslücken, die in den letzten Jahren passiert sind. Und trotz all dieser Verstöße verwendet immer noch mehr als die Hälfte der Benutzer ihre Passwörter erneut.

Aktuelle Zahlen der Stand der Internetsicherheit 2018 bestätige, dass innerhalb eines Jahres sogar 8,2 MILLIARDEN solcher böswilligen Anmeldeversuche (sogenanntes Credential Stuffing) gemeldet wurden.

Ihre Passwörter stehen bereits zum Download zur Verfügung

Das Knacken von Passwörtern ist nicht einmal notwendig. Kombinationen aus Benutzername und Passwort stehen im Internet zum Download bereit.

Bleiben wir beim MySpace-Beispiel. Die gesammelten Anmeldeinformationen für solche Verstöße werden innerhalb der Hacker-Community (besser bekannt als Darknet) geteilt. Hacker sammeln die Ernte dieser Sicherheitslücken und speichern die gestohlenen Zugangsdaten in sogenannten Torrent-Dateien und stellen sie anderen zum Download zur Verfügung. Und diese Dateien werden gesammelt und für immer gespeichert.

Und Verstöße passieren jeden Tag. Nicht nur für die großen Namen, sondern auch für zu kleine, alte Websites, auf denen Benutzer vor langer Zeit angemeldet waren und sich in den meisten Fällen nicht einmal daran erinnern, dass ihre alten Konten noch existieren. Zusammenfassend lässt sich sagen, dass die Anzahl der verfügbaren Passwörter steigt - von Tag zu Tag und ohne dass dies vom Nutzer bemerkt wird.

Tatsächlich ist es sehr wahrscheinlich, dass Ihr Passwort bereits irgendwo gehackt wurde. Und aufgrund der Wiederverwendung von Passwörtern könnte ein Angreifer auch eines Ihrer wichtigen Passwörter (wie Ihr Google-Passwort, Ihr Apple AppStore-Passwort oder Ihr Dropbox-Passwort) haben.

Und wenn nicht, werden Benutzer mit Phishing infiziert - ein einfacher Zugang für Hacker

Und wenn die Passwörter nicht zum Herunterladen verfügbar sind, phishen Hacker die Benutzer einfach, indem sie sie auf eine gefälschte Website schicken und sie freiwillig ihre Anmeldedaten angeben lassen.

Um die Sicherheit zu verbessern, begannen Unternehmen, ihrem Anmeldeprozess einen weiteren "Sicherheitsfaktor" hinzuzufügen, z. B. SMS-PINs. Das schwächste Glied ist jedoch der Benutzer selbst, und Unternehmen können nichts tun, um dies zu verhindern. Denn Benutzer geben ihre Pins und Passwörter freiwillig an; oft ohne es jemals zu merken. Das nennt man Phishing.

Ein Beispiel

Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrer Bank. Der Betreff ist dringend, jemand hat versucht, Geld von Ihrem Konto abzuheben, und Ihre Bank besteht darauf, dies sofort zu überprüfen. Und natürlich sind es nicht Sie, die Geld abheben - Sie sitzen gerade im Büro und lesen die E-Mail.

Also, was machst du?

Sie klicken in der E-Mail auf den Button, der Sie direkt zur Website Ihrer Bank führen soll. Dort gibst du wie gewohnt deine Login-Daten ein. Du gibst dein Passwort ein, du erhältst eine PIN per SMS auf dein Handy und gibst diesen Code ebenfalls ein. Ihr Zugang wird gewährt und Sie werden zur Landingpage Ihrer Banken weitergeleitet.

Was ist passiert? Sie wurden erfolgreich mit einer Phishing-Methode gehackt und jetzt aus Ihrem eigenen Konto geworfen.

Wie ist das möglich? Hier ist, was im Hintergrund passiert ist:

Die E-Mail, die Sie erhalten haben, war falsch. Die Website, zu der Sie weitergeleitet wurden, war ebenfalls eine gefälschte, an das Erscheinungsbild der ursprünglichen Website angepasste. Als Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, wurden diese Informationen direkt an den Hacker gesendet. Während Sie auf Ihre SMS-PIN warteten, ging der Hacker auf die ursprüngliche Website Ihrer Bank, tippte Ihren Benutzernamen und Ihr Passwort ein und löste so eine echte SMS aus, die Sie gerade erhalten haben.

Als Sie die SMS-PIN auf der gefälschten Website eintippten, wurde auch diese Information direkt an den Hacker übertragen, der nun nur noch Ihre SMS-PIN auf der ursprünglichen Website eingeben musste - und schon erhielt er Zugriff.

Dies ist nur ein Beispiel für Tausende von Phishing-Möglichkeiten. Und für Websites und Konten, die ohne zweite Faktoren wie SMS gesichert sind, ist es noch einfacher. ‍

Fazit: Das Passwort muss entfernt werden.

Denn solange Passwörter verwendet werden, werden Benutzerkonten gehackt. Da es wirklich unwahrscheinlich ist, dass Benutzer in absehbarer Zeit als schwächstes Glied entfernt werden, musst du das Passwort löschen.

Und das heißt, du musst eine Lösung finden, die

- Ist praktisch für Benutzer

- Ist sicher und kann nicht zentral gehackt werden

- Beugt Angriffen wie Phishing vor

Daher äußern viele Sicherheitsexperten ihr Interesse und die Notwendigkeit, sich zu bewegen Passwortlose Authentifizierung. Wenn Sie mehr über die passwortlose Authentifizierung erfahren und die Grenzen, Risiken und Best Practices besser verstehen möchten, schauen Sie sich unseren Expertenleitfaden zur passwortlosen Authentifizierung an.