Mehr Sicherheit durch Zwei-Faktor-Authentifizierung
31. Januar 2018Passwörter mit geringer Komplexität – die nie gewechselt und zudem noch für alle Webseiten, Dienste und Cloud-Services eingesetzt werden – sind für Hacker ein „gefundenes Fressen“. Traurige Spitzenreiter bei entsprechenden Studien sind dabei jedes Jahr Passwörter wie „123456“ oder „admin“. Was sollten die Systembetreuer und die „normalen“ Mitarbeiter denn beim Thema Kennwörter beachten? Das Team von NT4ADMINS liefert dazu passende Tricks, Kniffe und Strategien. Soviel vorweg: Bei wichtigen Konten ist mindestens eine „Zwei-Faktor-Authentifizierung“ sowie ein starkes und komplexes Kennwort Plicht!
Die IT-Security sollte in den Unternehmen und bei den privaten Nutzern einen hohen Stellenwert einnehmen. Ein sehr wichtiger Punkt dabei ist das Thema Kennwort-Sicherheit – viele Nutzer nehmen es dabei nicht „so genau“ und verwenden unsichere und kurze Zeichenfolgen. Das stellt eine gefährliche Schwachstelle in jedem Security-Konzept dar. Regelmäßig durchgeführte Studien zeigen, dass die Top-10-Liste die meistverwendeten Passwörter mit genau solchen Kandidaten „besetzt“ ist. Passphrasen wie „123456“, „hallo“, „passwort“ oder „admin“ bieten kaum Sicherheit. Denn diese „Favoriten“ sind den Hackern ebenfalls bekannt, und befinden sich somit ganz am Anfang der zu testenden Kombinationen – etwa falls eine Wörterbuchattacke zum Einsatz kommt.
Daher sollten Mitarbeiter, IT-Personal und die Administratoren auf folgende Regeln achten, um (relativ) sicher Kennwörter zu erzeugen und einzusetzen:
- Buchstaben, Zahlen und Sonderzeichen nutzen (hohe Komplexität),
- dabei auf eine möglichst hohe Kennwortlänge setzen,
- „echte“ Wörter, Geburtsdaten, Namen und Begriffe vermeiden,
- Kennwörter möglichst „zufällig“ zusammenwürfeln.
Korrekte Handhabung
Zudem ist auf eine korrekte Handhabung zu achten, Passwörter daher nicht in „fremden“ WLAN- oder sonstigen Funknetzwerken (Internet-Café, Hotspot) in die Geräte eingeben, die Datenpakete könnten mit Hilfe einer „man-in-the-middle-Attacke“ mitgelesen werden. Auch sollte darauf geachtet werden, dass niemand bei der Passworteingabe zusehen kann (ähnlich wie beim Geldautomaten). Des Weiteren wird es problematisch, wenn das identische Passwort für unterschiedliche Dienste, Webseiten und Applikationen eigesetzt wird.
Auf diese Weise genügt es beispielsweise das Kennwort bei irgendeinem „unwichtigeren“ Dienst zu „knacken“, und schon stehen den Angreifern alle anderen Dienste und Ressourcen der betreffenden Person zu Verfügung – bei denen sich die Hacker beispielsweise mit der gleichen E-Mail-Adresse (als Benutzername) und dem gestohlenen Kennwort einloggen können. Auch Vorsicht ist bei E-Mail-Konten geboten, lassen sich doch mit einem geknackten Konto viele weitere Passwortabfragen umgehen, etwa mit Hilfe der (fast) überall vorhandenen „Passwort-Vergessen-Funktion“.
Kennwörter regelmäßig ändern
Derartige Informationen werden danach genutzt, um erfolgreich unter falschen Namen zu agieren. Bei den meisten E-Mail-Providern findet keine zusätzliche Prüfung statt, sind die Hacker einmal „drin“, und versenden E-Mails von einem Konto der Organisation zu weiteren Benutzern in der gleichen Firma, wird dies nicht allzu genau analysiert. Auch die anderen Mitarbeiter werden nicht so leicht aufmerksam, wenn ihnen der Kollege oder Vorgesetzte entsprechende Anweisungen per E-Mail erteilt, und diese Nachrichten „wie immer klingen“.
Auf diese Weise fordern die Angreifer weitere Benutzer auf, bestimmte Dateien zu öffnen, Links anzuklicken, Informationen herauszugeben, oder Geld auf bestimmte Konten zu überweisen.“