Was ist heute die wichtigste Empfehlung beim Erstellen von Passwörtern?

Welches Passwort ist schwer zu knacken und spielt es eine Rolle?

Diese Frage kam mir gleich in den Sinn, nachdem ich den ebenso perversen Titel von Alex Weinerts Microsoft-Sicherheitsblogbeitrag „ Your Pa$$word does not matter“ gefunden hatte . Tatsächlich können die zitierten Zeugenaussagen viele Menschen schockieren. Im nächsten Artikel Alle Ihre Credits gehören uns ! Alex goss Öl ins Feuer, indem er Angriffsmethoden gegen fortgeschrittenere Sicherheitsmaßnahmen ( MFA ) zeigte.

Mit dieser perversen Einführung beginne ich das Thema Passwörter, das schon oft diskutiert wurde, z.B. auf unserem Blog.

Laut Berichten zu Cybersicherheitstrends von Crowdstrike und Verizonund IBM erlebten Unternehmen im Jahr 2021 (im Vergleich zu 2020) vermehrt Ransomware- Angriffe (Datenverschlüsselung, Lösegeldforderungen). Trotz des Zeitablaufs wiederholen sich immer noch dieselben Handlungsmuster. Den Großteil machen Angriffe aus, die mit Hilfe von Nutzern durchgeführt werden (im Jahr 2021 waren es sogar 82 %). Die erlangten Anmeldedaten waren für etwa 45 % der erfolgreichen Hacks verantwortlich .

Starke Passwörter erstellen – wie schützt man Internetnutzer?

Selbst die restriktivste Passwortrichtlinie schützt den Benutzernamen und das Passwort nicht vor der Offenlegung aus einer externen Datenbank, z. B. einer Website. Obwohl Unternehmen große Ressourcen für den Schutz ihrer Infrastruktur aufwenden, finden Hacker Wege, sich Zugriff auf Anmeldeinformationen zu verschaffen, indem sie typisches Benutzerverhalten ausnutzen. Sie können auch ein Passwort verwenden, das sie durch Hackerangriffe erhalten oder auf dem Schwarzmarkt gekauft haben.

Eines der größten Datenlecks im Jahr 2021 war die Sicherheitslücke bei T-Mobile, die dazu führte, dass Daten von 40 Millionen Nutzern erlangt wurden . Der junge Hacker, der für diesen Angriff verantwortlich war, gab sogar ein Interview und prahlte damit, wie er es gemacht hatte. Was mit den gestohlenen Informationen passiert ist, verriet er jedoch nicht. Wurden die Daten irgendwo verkauft?

Wie schützen Sie Ihre Passwörter?

Sie können Ihre Passwörter schnell verlieren, wenn:

Ein Hacker wird sie verdächtigen, wenn Sie sie eingeben – insbesondere an einem öffentlichen Ort.
Der Cyberkriminelle nutzt das Abhören des Netzwerks – alles, was Sie eingeben, wird abgefangen.
Ihr Computer ist mit einem Virus infiziert – es wurde ein Programm installiert, das Daten von der Tastatur liest und an den Hacker sendet,
Das Passwort ist zu einfach – manche Passwörter sind leicht zu erraten,
Das Passwort wurde weitergegeben – Sie haben Ihre Anmeldedaten freiwillig an jemanden weitergegeben,
Das Passwort wird in einer ungesicherten Datei gespeichert – der Hacker erhält es versehentlich bei einem weiteren Einbruch/Abhören.

So gehen Hacker vor – verschiedene Angriffsmethoden mit dem erbeuteten Benutzerpasswort:

Brute Force – ein Versuch, eine Passwortkombination zu entschlüsseln, indem alle Zeichen des ASCII- Codes ausprobiert werden, bis ein mit der Chiffre übereinstimmender Schlüssel gefunden wird, d. h. die Informationen werden in einfacher, entschlüsselter Form empfangen.
Passwortspray – der Hacker nutzt die verfügbare Datenbank gestohlener und am häufigsten verwendeter Passwörter und versucht, dasselbe Passwort für viele Konten (mit unterschiedlichen Benutzernamen) gleichzeitig zu verwenden.
Credential Stuffing – ähnlich wie beim Passwort-Spray-Angriff wird eine gestohlene Datenbank verwendet, dieses Mal jedoch der komplette Satz: Login und Passwort. Anschließend werden die Anmeldedaten in vielen verfügbaren Anwendungen gleichzeitig getestet, um möglichst viele Informationen über den Benutzer zu erhalten.
Phishing – eine E-Mail-Nachricht, die einen Link zu einer gefälschten Website oder einen Anhang enthält. Das Klicken auf einen Link oder das Herunterladen eines Anhangs soll den Computer infizieren oder Benutzeranmeldedaten stehlen und ist in der Regel der Beginn eines größeren Angriffs, z. B. der Vorbereitung auf Datenverschlüsselung und Lösegeldforderungen (Ransomware).

Wie oft sollten Sie Ihr Passwort ändern und wie schützen Sie sich vor Hackern?

Die aktuelle Sicherheitsrichtlinie , die immer noch von vielen Websites verwendet wird, erfordert eine regelmäßige Änderung des Passworts und dessen entsprechende Komplexität, d. h. die Verwendung von Klein- und Großbuchstaben, Zahlen und Sonderzeichen . Dies ergibt sich aus rein mathematischen Berechnungen, die auf den Annahmen der Kryptographie basieren, wo die Verwendung eines größeren Zeichensatzes und dessen häufige Änderungen das Brechen der Chiffre erschweren. Auch wenn das Passwort dann sehr komplex ist, ist es schwer zu merken.

Viele Menschen verwenden an vielen Stellen die gleiche Zeichenfolge oder teilen sie mit anderen. In seiner Extremform handelt es sich dabei um Haftnotizen mit einem Slogan, die auf den Monitor geklebt werden.

Wenn es darüber hinaus notwendig ist, es regelmäßig zu ändern , wird nur ein Teil des Passworts korrigiert, meistens die letzten Zeichen. So finden Sie Vorlagen, die es Hackern leichter machen.

Die Ergebnisse einer Untersuchung einer Datenbank mit 800 Millionen Datensätzen zeigen, dass Benutzer ein Passwort am häufigsten auf der Grundlage dessen wählen, was ihnen am nächsten kommt, z. B. Interessen: Musik, Sport oder Kultur. Beispielsweise machte das Wort „Sommer“ 42 % der Einträge mit Jahreszeiten aus, oder „Mai“ – 52 % der Einträge mit dem Monat.

Aus derselben Forschung wissen wir Folgendes:

93 % der bei Brute-Force-Angriffen verwendeten Passwörter hatten acht oder mehr Zeichen.
Davon hatten 41 % der Passwörter 12 Zeichen oder mehr,
48 % der Unternehmen verwenden keine Identitätsbestätigung, wenn sie die Abteilung für technischen Support anrufen.

Als interessante Tatsache und hilfreiches Tool können Sie sich die Datenbank mit 100.000 beliebten Passwörtern auf der Website haveibeenpwned ansehen .

Welche Passwörter gelten derzeit als sicher? Microsoft-Empfehlungen

Aktuelle Passwortempfehlungen von Microsoft :

Mindestens 14 Zeichen lang,
Es besteht keine Notwendigkeit, das Passwort zu komplizieren, d. h. die Verwendung verschiedener Zeichensätze zu erzwingen – Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen.
Keine Notwendigkeit, das Passwort für Benutzerkonten regelmäßig zu ändern (gilt nicht für Dienstkonten – dort kann ein spezieller Typ von Dienstkonto (verwaltetes Konto) verwendet werden),
Verwendung einer Sperre für häufig verwendete Passwörter (Liste gesperrter Passwörter),
Nicht dasselbe Passwort für andere Dienste zu verwenden, insbesondere ein Passwort, das am Arbeitsplatz für andere Zwecke verwendet wird,
Durchsetzung der Multi-Faktor-Authentifizierung (MFA),
Wenn möglich (Kauf einer Premium-AzureAD-Lizenz erforderlich), nutzen Sie zusätzliche Sicherheitsmaßnahmen, z. B. durch den Einsatz bedingter Richtlinien.

Wie viele Zeichen sollte ein gutes Passwort haben?

Microsoft empfiehlt die Verwendung von mindestens 14 Zeichen.

Auch die polnische Finanzaufsichtsbehörde (KNF) weist darauf hin : „ Je häufiger das Passwort geändert wird, desto größer ist das Risiko für den Benutzer, da es für den Angreifer einfacher ist, das Muster nachzubilden.“ Darüber hinaus gilt: Je zufälliger das Passwort ist, desto weniger mnemonisch ist es und desto schwieriger kann es sich der Benutzer merken. Daher wird die Passwortlänge zu einem Schlüsselelement .

Es sollte hinzugefügt werden, dass die Empfehlungen von Microsoft Passwörter mit festgelegter, erzwungener MFA und Nutzungsverhaltensforschung betreffen – die Art und Weise, wie der Benutzer Anmeldedaten verwendet. Die in den technischen Empfehlungen der Normen enthaltenen Bestimmungen können von den oben genannten abweichen. Daher sollten Sie beim Erstellen einer Passwortrichtlinie die Anforderungen beachten, die wir befolgen müssen.

Ein gutes Beispiel sind die im PCI 4.0-Standard beschriebenen Anforderungen (für die Kreditkartenabwicklung), die als Grundlage für weitere Überlegungen dienen können.

Sichere Passwörter im Netzwerk – Empfehlungen des PCI 4.0 Standards:

– die Mindestlänge des Benutzerpasswortes beträgt 12 Zeichen,

– das Passwort muss aus Buchstaben und Zahlen bestehen,

– Wenn nur ein Verifizierungsfaktor verwendet wird, d. h. das Passwort selbst, sollte es alle 90 Tage geändert werden oder es sollten zusätzliche Mittel zur automatischen Sicherheitsanalyse verwendet werden, z. B. mithilfe von maschinellem Lernen und typischem Benutzerverhalten, Standort, vertrauenswürdigen Geräten,

– Verwenden Sie keine Standard-Systemkennwörter (z. B. Admin, Passwort),

– Passwörter können nicht im Klartext gelesen werden (sie müssen verschlüsselt sein),

– Geben Sie Ihr Passwort nicht an einen anderen Benutzer weiter.

– für den Zugriff auf sensible Daten (hier: personenbezogene Daten) eine Multi-Faktor-Authentifizierung nutzen,

– Nach der Änderung des Passworts darf es nicht mit den vier zuvor verwendeten identisch sein.

– Das Passwort darf nicht dasselbe sein wie das zuvor in den 12 Monaten verwendete.

– Passwörter für Lieferantenkonten können nicht auf „nicht ablaufend“ eingestellt werden,

– System- und Anwendungskennwörter können nicht auf unbegrenzte Zeit festgelegt werden, sie sollten einmal im Jahr geändert werden und mindestens 15 Zeichen lang sein,

– Die Verwendung von zwei Ein-Faktor-Authentifizierungsfaktoren (z. B. zwei Passwörtern) wird nicht als Multi-Faktor-Authentifizierung behandelt.

Der Prozess der Passworterstellung wird durch die Empfehlungen des britischen National Security Center ergänzt, was laut Microsoft nicht kompliziert sein dürfte. Das NSC empfiehlt die Verwendung von drei zufälligen Wörtern, die Ihnen ein langes , leicht zu merkendes Passwort ergeben , z. B. „Grasdeckenklavier“.

Lohnt es sich, einen Passwort-Manager zu verwenden?

Passwortmanager

Wenn wir uns ein kompliziertes Passwort nicht merken können, können wir Programme verwenden, die das für uns erledigen. Hierbei kann es sich um im Browser integrierte Funktionen oder um externe Anwendungen handeln, z. B. 1password, Lastpass, Keypass, Passwordsafe. Es gibt eine vorteilhafte und empfehlenswerte Lösung.

Wenn es um die Sicherheit solcher Programme geht , bedenken Sie, dass wir die gesamte Datenbank mit einem Passwort schützen – für den Computer oder für die Anwendung. Sobald der Hacker an dieses eine Passwort gelangt, hat er Zugriff auf alle anderen gespeicherten Passwörter. Auch die Programmdatenbank oder der Browser sind Angriffen von der Website oder der Sicherheit des Betriebssystems und der Anwendungen ausgesetzt. In den meisten dieser Programme können Sie nach dem Entsperren der Datenbank mit dem Master-Passwort auf die Anwendungsdaten auf der Speicherebene und nicht auf der Datenbankebene zugreifen .

Alex Weinert hat in seinem Artikel gezeigt, dass grundsätzlich kein Passwort völlig sicher ist, wenn es nicht zusätzlich gesichert ist. Durch die Verwendung der Multi-Faktor-Authentifizierung können Sie zu 99,9 % sicher sein, dass Ihr Konto nicht gefährdet wird.

Die drei Authentifizierungsfaktoren sind:

Etwas, das Sie wissen, z. B. ein Passwort
Etwas, das Sie haben, z. B. eine Liste mit Passwörtern Ihrer Bank, einen kryptografischen Schlüssel
Etwas, das Sie sind, z. B. Fingerabdrücke, Gesichtsbild

Mithilfe der Authentifizierungskategorien des NISC (National Institute of Standards and Technology) können wir je nach Bedeutung der zu schützenden Informationen drei Sicherheitsstufen verwenden:

Level 1 . Verwendung eines beliebigen Authentifizierungsfaktors (Passwort, Zertifikat, Token usw.). Die erneute Authentifizierung sollte alle 30 Tage erfolgen und die inaktive Sitzung sollte abgemeldet werden. Bietet mäßige Sicherheit, dass die Person, die die Authentifizierung verwendet, die Person ist, für die sie sich ausgibt.

Dieses Sicherheitsniveau reicht derzeit nicht mehr aus, um einen wirksamen Schutz zu bieten.

Level 2 . Verwendung einer Multi-Faktor-Authentifizierung oder einer Kombination aus zwei Einzel-Faktor-Authentifizierungen (Passwort und Bestätigung in der Anwendung, Passwort und Zugangscode, wobei die Anwendung selbst den Zugangscode nach dem Lesen des Fingerabdrucks generiert). Die Authentifizierung sollte unabhängig von der Benutzeraktivität mindestens alle 12 Stunden wiederholt werden. Nach 30 Minuten Inaktivität sollte die Sitzung beendet (abgemeldet) werden.

Diese Stufe ist für die meisten Anwendungen gut, mit Ausnahme des Schutzes besonders sensibler Daten.

Stufe 3 . Verwendung von zwei verschiedenen Authentifizierungsfaktoren und Verwendung eines sicheren Protokolls. Diese Stufe erfordert den Einsatz einer Hardware-Verifizierung, die sicherstellt, dass die Identität der Person, die sich authentifiziert, nicht gefälscht werden kann. Ein Gerät kann beide Anforderungen erfüllen. Die Authentifizierung sollte unabhängig von der Benutzeraktivität mindestens alle 12 Stunden wiederholt werden und beide Überprüfungsfaktoren erfordern. Nach 15 Minuten Inaktivität sollte die Sitzung beendet (abgemeldet) werden.

Diese Ebene ist für besonders sensible Konten gedacht, beispielsweise für Systemadministratoren.

Ein Multi-Faktor-Hardware-Authentifizierungsgerät ist beispielsweise ein USB-Stick, auf dem sich unser Zertifikat befindet. Der Zugriff auf den Schlüssel ist nach Eingabe der PIN und/oder Berührung möglich (zur Verifizierung ist die Anwesenheit einer Person erforderlich). Darüber hinaus wird der Schlüssel in der Regel zunächst von der Anwendung, die er schützt, als vertrauenswürdig hinzugefügt.

Diese drei Ebenen sind nur ein Beispiel dafür, wie Sie die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen davon abhängen können, wie sensibel die Daten sind, mit denen Sie es zu tun haben. Dadurch können Sie je nach Situation geeignete Sicherheitsmaßnahmen auswählen.

Wie wäre es mit einem Passwort?

Aufgrund der dargestellten Probleme bei der Verwendung von Passwörtern hat der Verbund von Google, Apple und Microsoft beschlossen, die Einführung eines passwortlosen Anmeldesystems – FIDO – zu beschleunigen . Es ist bereits für die Verwendung in den iOS 16- und macOS Ventura-Diensten von Google, Microsoft und Apple verfügbar.

Mit einem vertrauenswürdigen Gerät mit einem von der Anwendung generierten Schlüssel kann der Benutzer es auf verschiedenen Systemen verwenden .

Wie Sie sehen, wird die Verwendung eines Passworts immer problematischer. Hacker erlangen sie durch Leaks und versuchen, sie zu nutzen, wenn sie sich auf den von uns genutzten Websites anmelden.