3-D Secure 2.0 als Sicherheitsstandard für Geldtransaktionen
Für Unternehmen gehören Passwörter zu den essentiellen Sicherheitsrisiken – das ergab eine repräsentative Studie, die für das Nevis Sicherheitsbarometer durchgeführt wurde: Während rund die Hälfte der Befragten für jedes Benutzerkonto ein anderes Passwort nutzt, verwenden eben doch ganze 44 Prozent ein Passwort mehrfach. Hinzu kommt, dass ein Fünftel ein Passwort bereits mit Freunden und Familie geteilt hat. Die Leichtsinnigkeit im Umgang mit der IT-Sicherheit ist dabei insbesondere vor dem Hintergrund des zunehmenden Homeoffice während der Corona-Pandemie erschreckend. Was es braucht, ist ein gestärktes Bewusstsein für die gravierenden Schäden. Der Sicherheitsexperte Nevis macht anhand von fünf Punkten deutlich, wieso Sie sich noch heute von Ihrer alten Passwort-Lösung verabschieden sollten. Die Zukunft der IT-Sicherheit lautet Multi-Faktor-Authentifizierung, kurz MFA.
Die Relevanz von Passwörtern ist in Zeiten von Homeoffice während der Corona-Pandemie aktuell wie nie zuvor und aus der Informationssicherheit kaum mehr wegzudenken. Der Zweck ist klar: Passwörter sollen neben der digitalen Identität eines Users auch sensible unternehmensinterne Daten vor unautorisiertem Zugriff schützen. Denn gelangt ein Hacker während der Autorisierung einmal an das Passwort, sind die Daten frei zugänglich. Gerade deshalb geraten die Login-Prozesse immer stärker in den Fokus der Aktivitäten von Kriminellen. Die folgenden fünf Gründe zeigen, wieso sich ein Umdenken bei der Passwortsicherheit lohnt und wie Sie zukünftig Ihre Daten sicher vor Hackerangriffen schützen können.
„Sharing is Caring“ endet bei der Passwortwahl
Solidarität und Gemeinschaftlichkeit sind wichtige Faktoren im gesellschaftlichen Kontext, doch die IT-Sicherheit bildet eine Ausnahme. Zwar ist die gemeinsame Nutzung eines Passwortes mit dem Partner und einem Freund ein weit verbreitetes Phänomen, doch sinnvoll ist es nicht. Das beginnt bereits damit, dass die Daten meist nicht über einen gesicherten Kanal weitergegeben werden. Stattdessen werden die Infos in E-Mails oder SMS geteilt. Hinzu kommt, dass sich die Sicherheit des Passwortes drastisch mit steigender Anzahl der involvierten Personen reduziert. Sobald bereits zwei Personen von dem Passwort wissen, steigt die Gefahr, dass das Passwort durch Malware oder Phishing in die Hände von Hackern gerät.
123456 – Mein (un)sicheres Passwort
Auch in diesem Jahr hat das Hasso-Plattner-Institut ein Ranking der meistgenutzten Passwörter der Deutschen erstellt. Ausgewertet wurden dazu 3,1 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2020 geleakt wurden. Die Ergebnisse sollten spätestens jetzt zum Nachdenken anregen und das eigene Vorgehen bei der Passwortwahl hinterfragen: Platz 1 belegt „123456“, auf Platz 2 „123456789“ und schliesslich „passwort“ auf Platz 3. Doch auch beliebte deutsche Vornamen wie Michael oder Daniel dominieren die vorderen Plätze. Gerade schwache und unsichere Zahlenreihen führen das Ranking an und verstärken den Eindruck, wie gering das Bewusstsein der Deutschen für die Passwortsicherheit ist: sowohl bei Verbrauchern als auch in Unternehmen.
Passwort-Recycling: Zu einfach und zu oft im Einsatz
Recycling – Ein Begriff, der intuitiv dem Klimaschutz zugeordnet wird. Doch die IT-Sicherheit zieht schon längst nach, jedoch nicht im positiven Sinne. Konkret handelt es sich beim Passwort-Recycling um die Wiederverwendung eines Passwortes über mehrere Konten hinweg mit teils nur leichten Änderungen wie dem Tausch von Gross- und Kleinbuchstaben. Das Problem: Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu mehreren Diensten fungieren. Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen beim so genannten Credential Stuffing mithilfe eines rotierenden Proxys, der Hunderttausende von Login-Daten über mehrere Dienste hinweg ansteuert. Eine grossangelegte Attacke kann dadurch bereits in wenigen Minuten bis zu zehntausenden Accounts knacken.
Flüchtige Passwortupdates
Ein regelmässiges Update gehört zu den weit verbreiteten Tipps, wenn es um grösstmögliche Passwortsicherheit geht: Mindestens 10 Zeichen lang, mit Zahlen, Sonderzeichen und Gross- und Kleinbuchstaben bestückt, aber ohne reine Zahlenabfolge soll das neue Passwort im Optimalfall sein. Doch die Passwortänderung geht selten mit der Erstellung eines völlig neuen Schlüsselwortes einher. Stattdessen wird lieber nur eine Zahl oder ein Buchstabe des alten Wortes verändert, sodass der Kern des Wortes erhalten bleibt. Doch dies erhöht in keinem Fall die Sicherheit der digitalen Identität, sondern dämpft höchstens das eigene Schuldgefühl, bis die nächste Erinnerung vom System ausgelöst wird.
Identitätsdiebstahl: Wenn die Kontrolle fehlt
Sind die Passwörter einmal in den falschen Händen, sind die gravierenden Folgen so divers, wie es das Schlüsselwort selbst sein sollte. Angefangen mit der Übernahme der Identität, die mit einer Passwortänderung des Hackers und dem vollständigen Verlust der Kontrolle einhergeht. Die Folge: Es bricht Chaos aus. Im privaten Kontext bedeutet das zweifelhafte Facebook-Postings, geänderte Passwörter bei Onlinediensten wie Amazon und Co. bis hin zur Speicherung privater Fotos. Doch auch für Unternehmen sind die Konsequenzen von gehackten Passwörtern und Malware nicht zu verachten, denn der Kontrollverlust ist immens: Sind die Angreifer einmal im System, eröffnen sich ganz neue Möglichkeiten. Neben dem Zugriff auf das sensible Unternehmensnetzwerk ist auch die Änderung von Online-Banking-Prozessen möglich. Kontos müssen gesperrt werden und die Arbeitsprozesse stocken bis zum Stillstand.
Die Lösung: Höchster Sicherheitskomfort dank MFA
Um die Passwortsicherheit zu optimieren und zeitgleich die Benutzerfreundlichkeit der Login-Prozesse zu optimieren, kann die Multi-Faktor-Authentifizierung, kurz MFA, genutzt werden. Bei diesem Sicherheitsmechanismus werden mehrere Validierungsverfahren kombiniert, um den User während der Authentifizierung zweifelsfrei zu identifizieren. Zeitgleich wird auf das unsichere Passwort verzichtet. Zum Einsatz können dabei vier Verfahren kommen, die auf den Faktoren Besitz, Wissen, Standort und biometrische Merkmale wie FaceID oder Fingerabdruck basieren. MFA stellt dadurch sicher, dass die Person, die auf die Ressource zugreifen möchte, tatsächlich der Mensch ist, der er zu sein vorgibt. Je mehr Faktoren kombiniert abgefragt werden, desto höher der Sicherheitskomfort. Zeitgleich ist die Benutzerfreundlichkeit hoch, denn die biometrischen Verfahren kosten weder Zeit noch Mühe und sind ständig verfügbar. Für ein Plus an Sicherheit, sowohl im privaten Leben als auch im beruflichen Umfeld.
