Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 04.05.2023] Zum diesjährigen „World Password Day“ plädiert Yubico eher für einen „World Password(less) Day“ und möchte nach eigenen Angaben über das Passwort hinaus absichern. Alexander Koch, „VP Sales EMEA“ bei Yubico, erläutert in seinem aktuellen Kommentar die Position seine Hauses:

Foto: Yubico

Alexander Koch rät, auf moderne MFA in Form von hardware-basierten Sicherheitsschlüsseln zu setzen

Digitale Identitäten über das klassische Passwort hinaus absichern!

„Es ist wieder soweit: Der ,World Password Day’ dient jedes Jahr als Anlass, die Sicherheit von Online-Zugängen in den Mittelpunkt zu stellen. Bei Yubico gilt dieser Sicherheitsgedanke 365 Tage im Jahr, denn wir streben rund um die Uhr eine passwortlose und phishing-resistente Zukunft an“, so Koch. Um dies zu erreichen, müsse man angesichts immer komplexerer und sich weiterentwickelnder Cyber-Angriffe zunächst die Bedeutung einer modernen Authentifizierung hervorheben.

Längst sei bekannt, dass auch sehr komplexe Passwörter, welche die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Qualitätsmerkmale erfüllen, keinen ausreichenden Schutz mehr böten. Yubico habe sich deshalb zum Ziel gesetzt, Einzelpersonen und Unternehmen dabei zu helfen, ihre digitalen Identitäten über das klassische Passwort hinaus abzusichern.

Zu Beginn sei es jedoch wichtig, sich einen Überblick der verschiedenen Authentifizierungsoptionen zu verschaffen, um die richtige Wahl hinsichtlich der individuellen Sicherheitsbedürfnisse zu treffen. Koch: „Denn Entscheider müssten ein Verständnis vermittelt bekommen, wie diese modernen Alternativen für sie funktionieren können. Unternehmen sollten sich über Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA), passwortlose Anmeldungen, FIDO-basierte Authentifizierung und vieles mehr informieren, bevor sie sich für eine Methode entscheiden.“

Auch einmaliges Passwort kann von Angreifern leicht umgangen werden

Denn nicht alle Authentifizierungsverfahren seien in ihrer Wirkungsweise und Effektivität deckungsgleich. Auch vermeintlich sichere 2FA-Methoden wie sogenannte One-Time-Passwords oder SMS könnten von Angreifern leicht umgangen werden.

„Wer also wirklich auf dem neuesten Stand der Entwicklung sein will, setzt auf moderne MFA in Form von hardware-basierten Sicherheitsschlüsseln“, betont Koch. Denn diese seien nicht nur einfach zu implementieren, sondern auch resistent gegen Phishing, was angesichts der ständig wachsenden Anzahl an Phishing-Angriffen heute unumgänglich sei.

Der „World Password Day“ diene auch dieses Jahr – 2023 – wieder dazu, Einzelpersonen und Unternehmen weltweit auf die Verbesserung ihrer Passwort-Hygiene und die Sicherheit ihrer Online-Zugänge aufmerksam zu machen. Koch rät abschließend: „Jeder sollte bei dieser Gelegenheit seine Identitäten, Daten und Konten schützen, indem er über die Verwendung von einfachen Benutzernamen und Passwörtern hinausgeht und eine sichere MFA für seine Online-Anwendungen und -Dienste aktiviert.“

Weitere Informationen zum Thema:

yubico
The Total Economic Impact Of Yubico YubiKeys

Werner Thalmeier kommentiert Bedeutung der Passwörter und gibt Tipps zum „World Password Day 2022“

[datensicherheit.de, 03.05.2022] Am 5. Mai 2022 ist der diesjährige „World Password Day“. Auch wenn derzeit oft schon von einer passwortlosen Sicherheit die Rede ist – und dem Passwort schon mehrfach ein leises Verschwinden in der Bedeutungslosigkeit prophezeit wurde –, gehören Passwörter sehr wohl noch immer zu den wichtigsten IT-Security-Maßnahmen. Auch Proofpoint-Experte Werner Thalmeier geht in seiner aktuellen Stellungnahme auf den „World Password Day 2022“ ein und hat einige Tipps zur Passwortverwaltung sowie -erstellung parat.

Foto: Proofpoint

Werner Thalmeier: Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyber-Angriff zu vereiteln!

Enormes Risiko: Mehrfach- bzw. Wiederverwendung von Passwörtern

Thalmeier unterstreicht: „Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyber-Angriff zu vereiteln. Einer der häufigsten Fehler, den Menschen machen, ist der Gebrauch derselben Kombination aus Benutzername bzw. E-Mail-Adresse und Kennwort für verschiedene Websites oder Geräte.“

Insbesondere angesichts der zunehmenden Anzahl erfolgreicher Phishing-Kampagnen berge die Wiederverwendung von Kennwörtern ein enormes Risiko. Bei den erwähnten Phishing-Kampagnen würden gefälschte Websites verwendet, welche wie die Anmeldeseite eines legitimen Online-Dienstes aussähen, um Benutzernamen und Passwörter zu stehlen.

Empfehlung, unterschiedliche Passwörter und Multi-Faktor-Authentifizierung zu verwenden!

„Unsere Empfehlung an Verbraucher lautet daher, unterschiedliche Passwörter zu verwenden, speziell, wenn es sich um wichtige Konten etwa bei der Bank oder andere sensible Daten handelt“, so Thalmeier. Ferner sollten möglichst viele Konten mit einer Multi-Faktor-Authentifizierung (MFA) geschützt werden, sofern diese verfügbar ist.

Steht MFA für ein Account nicht zur Verfügung, sollte zumindest ein Passwort-Manager zum Einsatz kommen. Thalmeier erläutert: „Passwort-Manager erstellen zufällige Kennwörter, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind.“ Dadurch entfalle der Aufwand, sich komplizierte Anmeldedaten für verschiedene Websites zu merken.

Schutz durch Passwörter: Auf den Menschen ausgerichteten Sicherheitsansatz verfolgen!

Wenn Wörter als Teil des Passworts verwendet werden, „sollten die Nutzer darauf achten, dass dies keine gebräuchlichen Wörter oder Phrasen, Namen oder Daten sind, die von Angreifern mit einer Person oder dessen Familienmitgliedern in Verbindung gebracht werden können“. Thalmeier empfiehlt ferner: „Außerdem sollten alle Passwörter zweimal im Jahr geändert werden – im geschäftlichen Umfeld sogar alle drei Monate.“

Da 90 Prozent der erfolgreichen Cyber-Angriffe eine menschliche Interaktion erforderten, sei es für Unternehmen wichtig, einen auf den Menschen ausgerichteten Sicherheitsansatz zu verfolgen. „Daher sollte zwingend sichergestellt werden, dass sowohl die Mitarbeiter im Büro als auch die im Außendienst Schulungen und Weiterbildungen zu den besten Methoden erhalten, um Cyber-Sicherheit zu gewährleisten.“ Dazu zählten beispielsweise Trainings, wie man einen Phishing-Versuch erkennt und sichere Kennwörter erzeugt.

3 Tipps zur Verwaltung und -erstellung von Passwörtern:

1. Verwendung von Multifaktor-Authentifizierung (MFA) für so viele Konten wie möglich
Das Grundkonzept bestehe darin, zwei Arten von „Beweisen“ zur Verifizierung der Identität zu nutzen, bevor ein Zugriff gewährt wird. Dadurch erhöhe sich der Schutz des Kontos signifikant. „Wenn Sie sich beispielsweise in Ihr Konto einloggen möchten, erhalten Sie nach Eingabe von Benutzernamen und Passwort eine Benachrichtigung auf Ihr Telefon, in der Sie um eine Bestätigung gebeten werden, damit die Anmeldung erfolgen kann.“ Dieser Ansatz schiebe automatisierten Systemen einen Riegel vor, welche von Cyber-Kriminellen verwendet würden, um Kennwörter zu knacken oder Login-Informationen zu erbeuten.

2. Verwendung einer sicheren Anwendung zur Kennwortverwaltung (Passwort-Manager)
Diese sollte mehrere Kennwörter abrufen und bei Bedarf automatisch in die Formularfelder für den Login eintragen können. Durch die Verwendung eines Passwort-Managers entfalle die Notwendigkeit, sich mehrere Kennwörter zu überlegen und sich diese merken zu müssen. Thalmeier: „So steht einer Verwendung komplexerer, längerer Kennwörter nichts im Wege.“

3. Vermeidung häufig vorkommender Wörter, Phrasen, Namen und Daten bei der Erstellung von Kennwörtern
Insbesondere solcher, „die mit Ihnen oder Ihren Familienmitgliedern in Verbindung gebracht werden können“. Denn Cyber-Kriminelle seien für gewöhnlich sehr einfallsreich und könnten Querverweise aus allen über eine Person zur Verfügung stehenden Daten ziehen, um die richtige Kombination für die betreffenden Konten zu finden. „Außerdem sollten Sie persönliche Passwörter zweimal im Jahr ändern und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden. Für geschäftliche Passwörter empfehlen wir, diese sogar alle drei Monate zu ändern und eine automatisierte Systemrichtlinie einzuführen, die eine Frist zur Aktualisierung von Kennwörtern festlegt.“ In einer solchen Richtlinie könnten auch Vorgaben für die zu erstellenden Passwörter festgelegt werden. Dadurch werde u.a. verhindert, „dass das neue Passwort in der Vergangenheit bereits verwendet wurde“.

Weitere Informationen zum Thema:

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 15.07.2021
Umfrage zeigt: Passwörter können zur Sicherheitsfalle werden / Im Rahmen einer Studie 1.008 Mitarbeiter zum Umgang mit Passwörtern befragt

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

[datensicherheit.de, 04.05.2016] In einer aktuellen Stellungnahme zum 5. Mai 2016, dem „World Password Day“, weist G DATA darauf hin, dass für immer mehr Geräte und Anwendungen, wie etwa für Online-Banking, Internet-Shopping, E-Mail- und Social-Media-Accounts, sich Nutzer Kennwörter und Pincodes merken müssen. Laut einer Umfrage des Digitalverbands bitkom fühle sich gut ein Drittel (36 Prozent) aller Bundesbürger mit der großen Menge an Passwörtern überfordert; schließlich verwende ein Internet-Nutzer im Durchschnitt 17 unterschiedliche Passwörter.

Viele Passwörter leicht zu merken – und somit auch zu erraten

Viele Anwender benutzen demnach Passwörter, die auf persönlichen Informationen beruhen und somit leichter zu merken sind. Das wüssten auch Angreifer, warnt G DATA. Oftmals ließen sich beispielsweise kurze numerische Passwörter erraten, indem Geburtsjahr oder Tag und Monat des Opfers ausprobiert würden. Andere gängige Merkhilfen wie Namen von Haustieren oder Lebensgefährten seien ebenfalls mit geringem Aufwand durch Angreifer in Erfahrung zu bringen.
Deutlich sicherer seien Kombinationen aus Klein- und Großschreibung, kombiniert mit Ziffern. Sichere Passwörter sollten aus mindestens acht Zeichen bestehen.

Sicheres Passwort als ein Baustein für mehr Sicherheit

Reiht man beispielsweise jeweils das erste Zeichen jedes Wortes und Zahlen aus dem Satz „Heute, am 5. Mai, erstelle ich ein sicheres Passwort mit mindestens 15 Zeichen.“ aneinander, so ergibt sich als Ergebnis das folgende Passwort: Ha05MeiesPmm15Z Ein sicheres Passwort sei allerdings „nur ein Baustein für mehr Sicherheit im Internet“, betont G DATA.

G DATAs „Drei-Punkte-Sicherheits-Check“:

• Passwörter wechseln: Nutzer sollten in regelmäßigen Abständen die Kennwörter für die Online-Benutzerkonten bei Shops oder Sozialen Netzwerken ändern und für jedes Portal ein einzigartiges Passwort einsetzen.
• Virenschutz: In vielen Privathaushalten werden unterschiedliche Geräte zum Surfen im Internet eingesetzt. Daher sollten Anwender beim Sicherheits-Check alle Geräte berücksichtigen – dieser umfasst Desktop-PCs ebenso, wie Notebooks oder Smartphones und Tablets. Alle Geräte sollten mit einer aktuellen Virenschutzlösung zum Schutz vor Computerschädlingen wie Keylogger oder Trojaner ausgestattet werden.
• Betriebssystem und Co.: Alle Sicherheits-Updates für das Betriebssystem und die installierte Software sollten umgehend einspielt werden. So sind bestehende Sicherheitslücken für zukünftige Angriffe geschlossen.

Passwortmanager: Zugriff nur über ein Master-Passwort

Für mehr Sicherheit und eine einfache Übersicht bei den Zugangscodes sorge z.B. der neue Passwortmanager in der „G DATA Total Protection“. Sensible Daten wie Nutzernamen und Kennwörter würden in einer Datenbank auf der Festplatte verschlüsselt.
Zugriff gebe es nur über ein Master-Passwort. Bei der Installation erscheine der Passwortmanager als Icon im Browser und merke sich alle Zugangsdaten von Webseiten. Durch dieses Modul sei Schluss mit Spickzetteln oder unsicheren Passwörtern, so G DATA.