igor - Fotolia
Passwörter: Der größte Risikofaktor in der IT-Sicherheit
Gestohlene oder unsichere Passwörter gefährden die Unternehmensdaten. Auch komplexe Passwortrichtlinien sorgen nicht zwangsweise für mehr Sicherheit.
Vergessen Sie die Gebrüder Grimm: Kein Märchen wird heute häufiger erzählt als das vom sicheren Passwort. Eine Mindestlänge von zehn Zeichen, abwechselnde Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen – und schon gucken Cyberkriminelle in die Röhre. Wer das glaubt, der kann ebenso gut an das Rumpelstilzchen oder König Drosselbart glauben. Denn in Wirklichkeit sind und bleiben Passwörter der größte Risikofaktor in der IT-Sicherheit: 63 Prozent aller Datendiebstähle sind auf unsichere oder gestohlene Passwörter zurückzuführen. Das ergab der diesjährige „Data Breach Investigations Report“ von Verizon.
Passwörter zu erraten, ist oftmals sehr einfach. Als vor einiger Zeit die Nutzerdaten der Musikplattform last.fm gestohlen und ins Internet gestellt wurden, nutzten Sicherheitsexperten die Gelegenheit für eine statistische Auswertung. Die Ergebnisse fielen ernüchternd aus: Mehr als eine Viertelmillion User verwendeten das Passwort „123456“, 92.000 nutzten einfach „password“. Beliebt waren auch „lastfm“ (67.000), „123456789“ (64.000) und „abc123“ (36.000). Viele Nutzer haben die Notwendigkeit komplexer Passwörter also offenbar nicht erkannt.
Eine übliche Reaktion auf solche Versäumnisse ist, Anwender mit Passwortrichtlinien zu konfrontieren. Das „Open Web Application Security Project“ empfiehlt folgende Regeln: mindestens ein Großbuchstabe (A-Z), mindestens ein Kleinbuchstabe (a-z), mindestens eine Zahl (0-9), mindestens ein Sonderzeichen und eine Mindestlänge von zehn Zeichen. Immer mehr Unternehmen setzen diese Empfehlungen um. Damit entsteht jedoch ein neues Problem: Weil komplexe Passwörter schwerer zu merken sind, werden sie von Nutzern zumeist für mehrere Logins parallel verwendet. Hinzu kommt, dass Nutzer vermeintlich sichere Passwörter wie „Sommer2016!“wählen, das den Komplexitätsanforderungen entspricht, jedoch durch das Vorkommen in Wörterbüchern ein sehr schwaches Passwort ist.
Zu wenige Passwörter für zu viele Accounts
Die Schuld allein den Nutzern zuzuschreiben, wäre falsch. Zwar sollten sie in die Pflicht genommen werden, sich sichere Passwörter auszudenken und sie zu verwenden. Dabei darf jedoch nicht vergessen werden, dass die meisten Menschen heute über dutzende Accounts und Zugänge verfügen. Sich für jeden von ihnen ein sicheres, einzigartiges Passwort einzuprägen, gelingt allenfalls geübten Denksportlern und Gedächtnisakrobaten. Es kann deshalb nicht verwundern, dass Nutzer ihre komplexen Passwörter gerne recyceln: Einer Studie zufolge benötigen sie im Schnitt 26 Passwörter für unterschiedliche Accounts. Sie besitzen aber nur fünf, die sie entsprechend oft wiederverwenden. Erschwerend hinzu kommen Passwortwechsel, die Unternehmen ihren Benutzern gerne im 90-Tage-Rhythmus zumuten. Damit wird in den meisten Fällen neben einer Verschwendung von Zeit für das Ändern der Passwörter (n-Personen *1 Minute) und der damit verbundenen Verärgerung von Benutzern lediglich eine Reduktion der Passwortkomplexität erreicht und die Sicherheit reduziert. Meistens führen diese Mechanismen dazu, dass noch schwächere Muster gewählt werden, in denen lediglich eine Ziffernfolge hochgezählt wird, so dass bis zu 17 Prozent aller Zugangsdaten mit bis zu fünf Versuchen kompromittiert werden können.
Das Problem mit wiederverwendeten Passwörtern lässt sich leicht erklären: Immer wieder gelingt es Cyberkriminellen, in Datenbanken einzubrechen und Millionen von Account-Daten zu stehlen. Jüngst fielen etwa 200 Millionen Yahoo-Accounts in die Hände von Hackern, davor waren 63 Millionen Dropbox-Accounts im Dark Web gelandet und zum Kauf angeboten worden. Kriminelle nutzen die Daten für eine Technik, die als „Credential Stuffing“ bezeichnet wird. Dabei werden gestohlene Kombinationen von Nutzerkennungen und Passwörtern automatisiert in die Login-Formulare von anderen Onlinediensten eingegeben. Der Einbruch in eine schlecht geschützte, vermeintlich unwichtige Webseite führt so schnell dazu, dass Hacker Zugang zu E-Mail-, PayPal- oder anderen wichtigen Accounts der betroffenen Anwender erlangen.
Selbst wenn es einem Nutzer gelingen sollte, sich für jeden seiner Accounts ein komplexes Passwort auszudenken, besteht noch ein immenses Risiko. Auch komplexe Passwörter können nämlich entwendet werden – etwa durch Phishing-Attacken, bei denen arglose Anwender mit Hilfe gefälschter Webseiten und E-Mails dazu gebracht werden sollen, ihre Login-Daten in ein täuschend echtes Onlineformular einzugeben oder durch Malware wie Keylogger, die sich auf PCs einnistet und Tastatureingaben protokolliert, in beiden Fällen hilft leider das beste Passwort nichts.
Die Zukunft gehört der Multifaktor-Authentifizierung
Passwörter alleine liefern also keinen hinreichenden Schutz vor unbefugten Zugriffen. Immer mehr Anbieter setzen deshalb auf Multifaktor-Authentifizierung (MFA), um die Sicherheit zu steigern. Dahinter steht das Prinzip, mehrere Authentifizierungstechniken miteinander zu verknüpfen. Zwei oder mehr der folgenden Variablen werden abgefragt:
- etwas, das der Nutzer weiß – zum Beispiel ein Passwort,
- etwas, das der Nutzer besitzt – wie etwa ein Smartphone oder eine Zugangskarte,
- etwas, das den Nutzer zweifelsfrei als Person identifiziert – beispielsweise ein Fingerabdruck oder andere biometrische Merkmale.
Banken setzen bereits seit Jahren auf Multifaktor-Authentifizierung. Beim Onlinebanking fragen sie nicht nur Login-Daten ab, sondern verlangen für jede Transaktion eine Transaktionsnummer (TAN), die dem Nutzer entweder in Papierform vorliegt, per SMS an dessen Mobiltelefon gesendet oder von einem Token-Generator elektronisch erzeugt wird. Aber auch Google, Twitter und Microsoft versenden mittlerweile SMS mit einer PIN zur Authentifizierung des Anwenders. Will ein Angreifer Zugriff auf einen Account erlangen, muss er somit nicht mehr nur an das Passwort, sondern auch an das Smartphone des Nutzers kommen. Wichtig ist allerdings immer, dass die Sicherheitslösung auch benutzerfreundlich bleibt.
Durch die Verwendung von Push-Token, bei denen der Anwender eine Nachricht auf sein Smartphone erhält und lediglich per Click auf einen Button seine Authentifizierung bestätigen muss, wird die Sicherheit maßgeblich erhöht, ohne dass der Aufwand für den Benutzer groß wird -schließlich entfällt das lästige Eintippen der Zahlenfolge. Die Erhöhung der Sicherheit kommt daher, dass für eine Authentifizierung der physikalische Zugriff zu dem Smartphone nötig wird – die Zugangsdaten alleine reichen nicht mehr aus. Außerdem funktioniert die Kommunikation mit dem Smartphone über ein weiteres Netzwerk, über das der Angreifer in der Regel keine Kontrolle hat, nämlich das Mobilfunknetzwerk des Providers.
„Durch die Verwendung von Push-Token, bei denen der Anwender eine Nachricht auf sein Smartphone erhält und lediglich per Click auf einen Button seine Authentifizierung bestätigen muss, wird die Sicherheit maßgeblich erhöht.“
Dr. Amir Alsbih, KeyIdentity
Immer weniger Nutzer schenken dem Märchen vom sicheren Passwort heute noch Glauben. Immer mehr Unternehmen wird gleichzeitig bewusst, dass ein Passwort alleine keinen ausreichenden Schutz bietet. Sie sorgen sich um die Daten ihrer Kunden – aber auch um ihre Reputation, die durch Passwortdiebstahl beschädigt wird. Mit der Multifaktor-Authentifizierung schieben sie dem Identitätsklau einen Riegel vor und mindern die Bedrohung durch Cyberkriminelle. Denn in den seltensten Fällen gelingt es einem Hacker, mehrere Authentifizierungsverfahren zugleich zu umgehen.
Über den Autor:
Dr. Amir Alsbih ist seit August 2016 als Chief Operating Officer bei der KeyIdentity GmbH tätig. Dr. Alsbih verfügt über mehr als zehn Jahre Erfahrung in der IT-Security-Branche und war unter anderem mehr als fünf Jahre lang als Chief Information Security Officer bei der Haufe Gruppe angestellt. Er ist unter anderem CISSP-ISSMP zertifizierter IT-Sicherheitsexperte. Dr. Alsbih lehrte zudem an der Universität Freiburg in den Bereichen der angewandten Informationssicherheit und digitalen Forensik.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
