7. Mai: World Password Day

Der 7. Mai gilt als Welt-Passwort-Tag, an dem Privatanwender und Firmen auf die Sicherheit ihrer Online-Konten hingewiesen werden sollen. Ich habe nachfolgend einige Informationen, die mir aus diversen Quellen zugingen, aufbereitet.


Anzeige

Die Kollegen von Mashable haben das in nachfolgendem Bild aufgespießt – ein Vorname oder so was wie 1234567 ist als Passwort eher ungeeignet.

Auch wenn man vom Ansatz: Die Kennwörter müssen alle 3 Monate geändert werden, weg kommt (die Leute schreiben sich diese auf und kleben sie unter die Tastatur), gibt es einiges, was zu beachten ist.

Welt-Passwort-Tag im Schatten von COVID-19

OpenText weist auf die drastisch erhöht Bedeutung von Cyber-Sicherheit in Zeiten der Coronavirus-Pandemie hin. Denn aktuell arbeiten derzeit wohl mehr Menschen als je zuvor remote im Home Office. Als Folge verschwimmen die Grenzen zwischen Arbeitsmitteln und Heimausstattung. Selbst diejenigen Arbeitnehmer, die vom Arbeitgeber eigens einen Laptop zur Verfügung gestellt bekommen, nutzen zumindest ihren privaten Internetzugang oder ihr privates WLAN. Mitarbeiter sind zu digitalen Nomaden geworden.


Anzeige

Privat und dienstlich vermischt

Meist werden berufliche und private Tätigkeiten mit einem einzigen Gerät ausgeführt – egal, ob Bankkonten überprüft, E-Mails vom Chef gelesen oder die Systeme und Datenbanken der Firma bedient werden. Und ganz egal, ob mit oder ohne zusätzliche Sicherungen: An vorderster Stelle in Punkto Sicherheit und Identifizierung – sowohl für die privaten als auch die Firmendaten – steht immer noch das gute alte Passwort.

Bring your Own Device

Gänzlich neu ist dieser Grenzganz nicht: 'Bring your Own Device' ist schon seit über einem Jahrzehnt ein wichtiger Trend. Die Coronavirus-Pandemie hat dies noch einmal deutlich verstärkt. Mitarbeiter verlassen sich für ihre Home-Office-Arbeit mehr als je zuvor auf eigene Geräte. In vielen Fällen haben sie schlicht keine anderen Alternativen zur Hand, denn in vielen Unternehmen und Organisationen wurden in den letzten Wochen Notfall-Heimarbeitsplätze aus dem Boden gestampft, im Eilverfahren und oft mit erheblichem Installations- und Zeitaufwand auf Seiten der Mitarbeiter.

Mehrschichtiger Sicherheitsansatz

Erschwerend kommt hinzu, dass das traditionelle Passwort im Laufe der Jahre um einen mehrschichtigen Sicherheitsansatz ergänzt wurde. VPN-Zugänge und Zwei-Faktor-Codes per Token oder SMS werden zunehmend zur Sicherung von Geräten und Diensten eingesetzt. Schon wird davon gesprochen, das Passwort künftig gänzlich abzuschaffen: Biometrische Verfahren wie Fingerabdrücke, Sprach- und Gesichtserkennung ermöglichen einen „Zero-Sign-On"-Zugang auf mobile Geräte.

Aus Sicht der einzelnen Mitarbeiter ist dagegen weniger die absolute Sicherheit wichtig. Die Sicherheits-Features für den Heimeinsatz sollen vor allem keine große Aufmerksamkeit benötigen und keine kostbare Zeit kosten. Gerade in der Krise nimmt für viele das Arbeitspensum zu – ganz zu schweigen davon, dass Eltern „ganz nebenbei" noch ihre Kinder betreuen oder Schulaufgaben helfen müssen. Die kleinen Helferlein sollen deshalb möglichst unbemerkt ihre Arbeit verrichten. Wenn sie nicht vollkommen reibungslos funktionieren, sorgen sie für Stress und Frust im Arbeitsalltag. Ein Albtraum, wenn der Heim-Zugang gesperrt wird und die Betreuung durch IT-Spezialisten dann auch noch lange Wartezeiten an der ohnehin überlasteten Hotline mit sich bringt.

Richtlinien, Praktiken und Lösungen für die Cyber-Sicherheit

Unternehmen müssen daher gerade jetzt robuste Richtlinien, Praktiken und Lösungen für die Cyber-Sicherheit implementieren. Es gilt, einerseits die Geräte und ihre wertvollen Unternehmensdaten und Zugänge abzusichern, gleichzeitig aber allen Nutzern flexibles, bequemes, schnelles und einfaches Arbeiten von zu Hause ermöglichen.

Dieser Spagat ist momentan wichtiger denn je, denn insbesondere Cyber-Kriminelle arbeiten schon immer flexibel und ortsunabhängig. Sie nutzen bereits jetzt die COVID-19-Pandemie für verschiedenste Betrügereien und Angriffe aus.

Sicherheit hört beim Passwort nicht auf

Veracode weist in einem Text darauf hin, dass Cyber-Kriminelle ein Passwort mit 7 Zeichen heutzutage in nur 0,29 Millisekunden knacken können. Deshalb sei daher höchste Zeit das Konzept 'Passwort' zu überdenken und sich bei Anwendungen auf die Authentifizierungsprozesse zu fokussieren.

Die meisten Unternehmen kennen die Herausforderungen rund um Passwortsicherheit, aber sind sich nicht darüber im Klaren, dass Sicherheit auch im Software-Entwicklungs-Prozess eine zentrale Rolle spielt. So ist einer der wichtigsten Aspekte von Web-Applikationen der Authentifizierungsmechanismus, der weit über ein Passwort hinausgeht um die Anwendungen abzusichern und gleichzeitig auch bestimmte Nutzerrechte definiert.

Statisches Passwort nicht mehr ausreichend

Ein simples, statisches Passwort reicht in unserem datengetriebenen Jahrzehnt einfach nicht mehr aus. Die meisten Unternehmen haben bereits ein Bewusstsein dafür entwickelt, wie wichtig Software-Sicherheit für Datenschutz ist. Banken und andere Industrien übernehmen leider noch nicht genug Eigenverantwortung für die Authentifizierungsprozesse der eigenen Anwendungen, um beispielsweise betrügerische Kontozugriffe aufdecken zu können.

Der diesjährige Welt-Passwort-Tag ist also die perfekte Gelegenheit Entwicklern die nötigen Trainings und Sicherheits-Tools an die Hand zu geben. So können Entwickler beispielsweise durch Best Practices sicheres Coden lernen. Hacker werden jenseits der Passwörter weitere Sicherheitslücken im Anwendungs-Layer suchen und durch das richtige Training können Entwickler Nutzer vor entsprechenden Datenverlusten bestmöglich schützen.

Dennoch sollten Nutzer auch selbst Verantwortung übernehmen und bestimmte Sicherheitsmaßnahmen in Bezug auf Passwörter und Authentifizierung befolgen:

Zwei-Faktor-Authentifizierung

Dass die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) die Sicherheit von Accounts und Konten stark verbessert ist heute kein Geheimnis mehr. Nichtsdestotrotz versäumen viele Nutzer, insofern sie nicht vorgeschrieben ist, eine 2FA einzusetzen – oftmals womöglich aus Bequemlichkeit. Dabei gibt es viele simple und schnelle Möglichkeiten eine 2FA zu benutzen. Am verbreiteten sind einmalig-generierte Codes, die nach der Eingabe von Nutzername und Passwort per SMS an eine hinterlegte Mobilnummer geschickt werden. Erst nach erfolgreicher Eingabe des Codes kann sich der Nutzer einloggen. Selbstverständlich garantiert eine 2FA auch keine absolute Sicherheit. Um sich noch mehr schützen, können Nutzer einen Schritt weitergehen und eine Multi-Faktor-Authentifizierung einsetzen, bei der eine Kombination vielzähliger Identifizierungsmerkmale eingesetzt wird.

Komplexe Passwörter einsetzen

Hier gilt natürlich: je länger und komplexer das Passwort, desto besser. So empfiehlt sich der Einsatz von Ziffern, Sonderzeichen und Groß- und Kleinbuchstaben. Noch besser ist es ganze Sätze in bestimmte Phrasen umzuwandeln und damit zufällige Wortfolgen zu generieren. Besonders ratsam ist auch sein Passwort selbstständig in Abschnitten von mindestens 60-90 Tagen zu ändern. Für Personen, die mit besonders sensiblen Daten und Informationen arbeiten, empfiehlt es sich einen Passwort-Manager einzusetzen.

Recycling ist gut – aber nicht bei Passwörtern

So verlockend es auch sein mag – es ist stark davon abzuraten das gleiche Passwort für mehrere Konten und Accounts zu nutzen. Sollten Hacker das Passwort geknackt haben, so können sie sich danach kinderleicht Zugang zu allen Accounts und Daten verschaffen. Auch eine Abwandlung des gleichen Passworts ist für Cyber-Kriminelle relativ leicht zu knacken und im Falle eines Lecks können Hacker dadurch prompt auf alle Daten zugreifen. Deshalb sollten Nutzer Passwörter niemals recyceln, sondern für jedes Konto ein eigenes Passwort einsetzen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu 7. Mai: World Password Day

  1. Matthias sagt:

    Forscher haben festgestellt, dass diese Vorgaben zu 99% sinnvoll sind und sich 99.999% der Benutzer an weniger als 10% dieser Vorgaben halten. Reality-Check.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.