Sie sollten Ihre Benutzer nach einem Verstoß nicht bitten, Passwörter zu ändern. Dies ist der Grund

Datenschutzverletzungen werden meist durch menschliches Versagen, Sicherheitslücken im System, Malware oder durch Identitätsdiebstahl (gestohlene Zugangsdaten) verursacht.

Verstöße können finanzielle und Reputationsschäden für ein Unternehmen haben, aber die Endbenutzer tragen die Folgen des Verstoßes. Das reicht von synthetischer Identität über Kontoübernahme, Spear-Phishing, Auswirkungen auf den Datenschutz bis hin zu finanziellen Verlusten und vielem mehr.

Datenschutzverletzungen werden meistens durch menschliches Versagen, Sicherheitslücken im System, Malware oder durch Identitätsdiebstahl (gestohlene Zugangsdaten) verursacht.

Laut dem Gemalto Data Breach Index ist Identitätsdiebstahl immer noch die häufigste Ursache für Datenschutzverletzungen.

Datenschutzverletzungen wie die von United Nations, FedEx, AI.type... und vielen anderen werden durch menschliches Versagen verursacht - Fehlkonfiguration/ungeschützte Datenspeicher und Webserver. Die zugrundeliegenden Systeme weisen weder Schwächen auf, noch wurden die Sicherheitsmaßnahmen in den Systemen umgangen. Sie sind darauf zurückzuführen, dass dem System keine unbefugten Beschränkungen auferlegt wurden - für den Zugriff auf sie sind weder ein Passwort noch Anmeldeinformationen erforderlich. Bei dieser Art von Sicherheitslücken wurde das System für jeden zugänglich gemacht, der darauf zugreifen wollte.

Datenschutzverletzungen wie die von Equifax, T-Mobile... und anderen werden durch Sicherheitslücken in ihren Systemen verursacht. Dies könnte auf ungepatchte, bereits identifizierte Sicherheitsprobleme, Zero-Day-Angriffe, Fehler in Software, APIs oder das Fehlen angemessener Sicherheitsmaßnahmen zurückzuführen sein.

Die Art der Sicherheitsverletzung, von der British Airways, Ticketfly und Ticketmaster betroffen waren und bei der bösartiger Code in ihre Anwendungen injiziert wurde, könnte als Malware-Angriff eingestuft werden.

Andere, bei denen gestohlene Anmeldeinformationen verwendet werden, um unbefugten Zugriff auf ein System herzustellen, wie im Fall von Reddit, Time Hop, Macy, Yahoo, PEXA und anderen, werden als Identitätsdiebstahl angesehen. Dies kann auf schwache/unsichere Anmeldedaten, Phishing, Spear-Phishing, Surfen mit Anmeldeinformationen, Insider-Bedrohungen usw. zurückzuführen sein.

Bei all diesen Datenschutzverletzungen sind personenbezogene Daten wie E-Mail-Adresse, Telefonnummer, Kreditkartendaten, Krankengeschichte, Adresse usw. das Hauptziel von Angreifern. Wenn ein Mitarbeiterkonto missbraucht wird, tragen die Endnutzer die Konsequenzen am meisten. Ein einziger Verstoß, an dem niemals ein Endbenutzer schuld ist, kann dazu führen, dass die Identität des Endbenutzers für immer gestohlen wird. So bedeutet beispielsweise die gestohlene Datenbank von 5,6 Millionen US-Bundesangestellten im Jahr 2015, dass die Beteiligten Gefahr laufen, ihren biometrischen Fingerabdruck zu verwenden. Das Gleiche gilt für gestohlene Patientenakten - die Benutzer können ihre Passwörter auf neue, stärkere Authentifizierungsmethoden ändern, aber die gestohlenen Patientenakten können niemals geändert werden, sie gehören dieser Person ein Leben lang.

Die erste Sicherheitsmaßnahme der meisten Unternehmen besteht darin, die Benutzer während einer Sicherheitsverletzung zu zwingen und/oder aufzufordern, ihre Passwörter (Anmeldeinformationen) zu ändern.

Warum wird Benutzern empfohlen, ihr Passwort nach einem Verstoß zu ändern?

Einige Organisationen tun dies als Vorsichtsmaßnahme, andere, weil die Anmeldeinformationen nicht ordnungsgemäß gesichert wurden. Selbst wenn nur die Hashes der kompromittierten Anmeldeinformationen von einer nicht autorisierten Stelle abgerufen werden, gibt es keine Gewissheit, dass die Hash-Funktionen in naher Zukunft nicht beschädigt werden. Das Gleiche gilt, wenn die gestohlenen Zugangsdaten in verschlüsselter Form vorlagen. Der Verschlüsselungsschlüssel befindet sich irgendwo und wenn dieser Schlüssel in unbefugte Hände gerät, werden alle versteckten Anmeldeinformationen aufgedeckt.

Einer der Hauptgründe, warum Benutzer nach einem Verstoß aufgefordert werden, ihr Passwort zu ändern, besteht darin, zu verhindern, dass Querverweise mit Daten, die bei anderen Verstößen gestohlen wurden, abgeglichen werden, um die Kontoanmeldeinformationen des Benutzers zu erraten oder zurückzusetzen. Beispielsweise enthüllten Equifax und Yahoo, Under Armour, bei einer Sicherheitsverletzung die E-Mails und in einigen Fällen die Passwörter von Milliarden von Benutzern. Wenn dieselbe E-Mail, die in Equifax oder Yahoo aufgedeckt wurde, dieselbe ist, die von einem Benutzer auf einer anderen verletzten Website verwendet wird und der Angreifer zufällig das Passwort der E-Mail von dem früheren Verstoß erhält, könnte dasselbe Passwort für den Zugriff auf das Konto des Benutzers verwendet werden, wenn er es erneut verwendet. Oder noch besser, der Hacker könnte die E-Mail verwenden, die bereits unter seiner Kontrolle steht, um das Passwort des Benutzers auf den anderen Websites zurückzusetzen, auf denen dieselbe E-Mail verwendet wurde. Aus diesem Grund raten die meisten Unternehmen Benutzern, ihre Passwörter nach einer Sicherheitsverletzung zu ändern, auch wenn die Passwörter nicht gefährdet sind.

"Sie sind hauptsächlich in Verbindung mit anderen Daten schädlich. Zum Beispiel könnten die Hacker 2 und 2 zusammenzählen, indem sie diese Liste von 92 Millionen mit einer Liste von E-Mails abgleichen, deren entsprechende Passwörter aufgrund eines anderen Verstoßes bekannt waren. Deshalb ist es gut, einen Passwort-Manager zu verwenden und eindeutige Passwörter für jede Website zu haben." Ein weiterer Grund könnte die Möglichkeit sein, dass der Verschlüsselungs- oder Hashing-Algorithmus kaputt gegangen ist. In einigen Fällen verwenden Unternehmen schwache Hashfunktionen wie MD5 und SHA1, um Passwörter zu sichern.

Das Ändern des Passworts löst das Problem nicht wirklich. Das eigentliche Problem ist das Passwort selbst!

Passwörter sind schwer zu merken, man kann die Wiederverwendung von Passwörtern nicht verhindern, es kann gehackt oder erraten werden und auch die Methode zum Zurücksetzen des Passworts.

Die meisten Unternehmen verwenden E-Mail-Adresse/Telefonnummer als Faktor, um beim Ändern/Zurücksetzen des Passworts die Inhaberschaft eines Kontos nachzuweisen. Unternehmen können nicht kontrollieren, wie die E-Mail-Adresse oder Telefonnummer, die zum Zurücksetzen der Kontoinformationen verwendet wird, gesichert werden. Es macht keinen Sinn, den Benutzer überhaupt damit zu belästigen, sein Passwort zu ändern, denn wenn dasselbe Passwort, das geändert wird, für die E-Mail wiederverwendet wird oder die E-Mail nicht ordnungsgemäß mit MFA gesichert ist, ist das immer noch dasselbe, als würde man das verletzte Passwort nicht ändern, da der Angreifer möglicherweise sogar schon die Kontrolle über die E-Mail hatte. Dies war der Fall einer PEXA-Datenschutzverletzung, bei der es einem Hacker gelang, die E-Mail-Adresse eines Mitarbeiters zu kompromittieren und dann den Link zum Zurücksetzen des Passworts abzufangen, um das Kontopasswort zu ändern, und bis zu 250.000 US-Dollar aus der Abrechnung eines Familienbesitzes in Australien stahl. Das gleiche Sicherheitsproblem betrifft Unternehmen, die SMS-Code als Reset-Methode und/oder als zweiten Faktor verwenden. Dies war die Ursache für die Reddit-Datenschutzverletzung vom August 2018, bei der ein Angreifer den SMS-Code des zweiten Faktors abfing, um sich unbefugten Zugriff auf die Cloud-Dienste von Reddit zu verschaffen.

Die Sicherheit eines Benutzerkontos hängt von der Sicherheit der E-Mail-Adresse, Telefonnummer oder anderen Methoden ab, die zum Zurücksetzen der Kontoanmeldeinformationen verwendet werden könnten, und/oder entspricht ihr.

Sicherheitslücken müssen passieren, es kommt nur darauf an, wann und wie. Warum verfolgen Unternehmen dann nicht zunächst einen robusteren Sicherheitsansatz, anstatt Passwörter nach einer Sicherheitsverletzung zu ändern?

Wenn ein Unternehmen beispielsweise eine Authentifizierungslösung verwendet, bei der es keine geheimen Benutzerauthentifizierungsgeheimnisse in gehashter oder verschlüsselter Form speichert, gibt es keinen Grund, Benutzer nach einer Sicherheitsverletzung zu bitten, ihre Passwörter zu ändern. Außerdem muss das Unternehmen keine Passwörter mehr verwalten. Laut NIST werden "Authentifizierungsprotokolle, bei denen der Prüfer nicht ständig Geheimnisse speichert, die für die Authentifizierung verwendet werden könnten, als stärker angesehen".

Passwortlose Authentifizierungslösungen, die kein Geheimnis der Benutzerauthentifizierung speichern, weder in gehashter noch in unverschlüsselter Form, sind weitaus sicherer und kompromittierungsresistenter als Lösungen, die Passwörter, SMS-Code und OTPs zur Authentifizierung eines Benutzers verwenden.