![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Am 4. Mai ist wieder World Password Day, an dem das das Bewusstsein f\u00fcr den Wert von sicheren Online-Transaktionen, soliden Cybersicherheitsverfahren und sicheren Passw\u00f6rtern gest\u00e4rkt werden soll. Der Tag findet am ersten Donnerstag im Mail statt. Der Sicherheitsforscher Mark Burnett entwickelte das Konzept f\u00fcr den World Password Day im Jahr 2013, und hielt diesen am 7. Mai ab. Aber heute stellt sich die Frage, wann das Ende des Passworts endlich kommt. <\/p>\n
<\/p>\n
Der World Password Day soll auf einen verantwortungsvollen Umgang mit Passw\u00f6rtern aufmerksam machen. Fr\u00fcher wurde dann geraten, die Kennw\u00f6rter regelm\u00e4\u00dfig zu \u00e4ndern. Davon ist man wieder weg, weil die Leute sich diese auf Zettelchen notierten und unter die Tastatur oder an den Monitor klebten. Doch mir stellt sich die Frage: sind Passw\u00f6rter wirklich noch das Mittel der Wahl? <\/p>\n
Henrik Nitsche, Security Solution Manager bei Jamf greift einen interessanten Aspekt in einem Kommentar zum Welt-Passwort-Tag auf. \"Die schiere Anzahl an Passw\u00f6rtern, die sich jeder beruflich wie privat inzwischen merken muss, ist bereits beachtlich und wird nur noch weiter wachsen, wenn mit zunehmender Digitalisierung immer mehr von unserem Leben online stattfindet. Diese Anzahl an Passw\u00f6rtern wird dann zum Problem, wenn sie dazu verleitet, die wichtigste Regel zu brechen: Passw\u00f6rter nicht mehrmals oder erneut zu verwenden. Mit nur einem erbeuteten Passwort verf\u00fcgen Angreifer dann n\u00e4mlich nicht nur \u00fcber ein Einfallstor, sondern \u00fcber Dutzende oder Hunderte.<\/p>\n
Vor allem dann, wenn sich ein Angreifer auf diese Weise Zugriff auf von verschiedenen Personen genutzte Ressourcen verschaffen kann, wird dies zum Problem, weil bereits eine Schwachstelle potenziell organisationsweite Konsequenzen haben kann. Einen Passwort-Manager zu nutzen, kann hier f\u00fcr Unternehmen wie Privatpersonen die L\u00f6sung darstellen: Die einzelnen Passw\u00f6rter f\u00fcr verschiedene Webseiten, Konten und Anwendungen werden hier in einer einzigen Datenbank gespeichert, zu der nur der Nutzer mittels eines Master-Passworts Zugriff hat. Im Idealfall verf\u00fcgt ein Passwort-Manager zudem \u00fcber die M\u00f6glichkeit der Zwei-Faktor-Authentifizierung, um ein zus\u00e4tzliches Level an Sicherheit zu gew\u00e4hrleisten.\" <\/p>\n
Das Problem: Am Welt-Passwort-Tag sollen die Mitarbeiter \u00fcber \"Passwortsicherheit\" aufgekl\u00e4rt werden. Die Verantwortung wird auf die Mitarbeiter abgew\u00e4lzt, darauf weist Mark Stockley, Cyber Evangelist bei Malwarebytes hin: \"Unternehmen werden nicht m\u00fcde, ihre Mitarbeitenden \u00fcber Passwortsicherheit aufzukl\u00e4ren und ihre Passwortrichtlinien zu versch\u00e4rfen \u2013 und die Liste der Passwortkriterien, die Unternehmen von ihren Mitarbeitenden verlangen, ist lang: Einmalige Passw\u00f6rter mit Sonderzeichen und Gro\u00dfbuchstaben, die so oft gewechselt werden sollen, wie die eigene Zahnb\u00fcrste. Je mehr Regeln vorgegeben werden, desto wahrscheinlicher ist es, dass Mitarbeitende nach Schlupfl\u00f6chern und Workarounds suchen, sodass es f\u00fcr Cyberkriminelle ein leichtes Spiel bleibt, Passw\u00f6rter mit verschiedenen Hacking-Methoden wie Phishing oder Brute-Force-Angriffen zu stehlen.<\/p>\n
Anstatt die Verantwortung f\u00fcr die Passwortsicherheit auf die Mitarbeitenden abzuw\u00e4lzen, sollten sich Unternehmen fragen, wie sie ihre Mitarbeitenden besser sch\u00fctzen k\u00f6nnen, ohne dass diese sich immer mehr Gedanken dar\u00fcber machen m\u00fcssen, welche Passw\u00f6rter sie nutzen, wo sie diese speichern und wie oft sie diese verwenden. Daf\u00fcr bieten sich zwei Ma\u00dfnahmen an: Multi-Faktor-Authentifizierung (MFA) und Account Lockout Policy. Multi-Faktor-Authentifizierung (MFA) verhindert Credential Stuffing, Password Spraying und Brute-Force-Angriffe, indem zus\u00e4tzlich zum Passwort weitere generierte Zugangsdaten verwendet werden. Mit einer Account Lockout Policy k\u00f6nnen zudem selbst die schw\u00e4chsten Passw\u00f6rter zum Hindernis f\u00fcr unbefugten Zugriff werden, indem sie den Account nach einer geringen Anzahl an fehlgeschlagenen Anmeldeversuchen vorsorglich sperren.\" <\/p>\n
Eve Maler, CTO bei ForgeRock, f\u00fchrt den obigen Ansatz weiter und meint dazu: \"Passw\u00f6rter stellen Unternehmen vor zahlreiche Probleme: Sie sind unsicher, nicht benutzerfreundlich und teuer. Viele Unternehmen untersch\u00e4tzen die Risiken von Passw\u00f6rtern, vor allem angesichts der rasanten Zunahme von Phishing-, Malware- und Ransomware-Angriffen und Cyberattacken, die explizit auf der Kompromittierung von Anmeldeinformationen basieren. Allein im Jahr 2021 wurden weltweit mehr als zwei Milliarden Benutzernamen und Passw\u00f6rter kompromittiert<\/a>, wobei sich mehr als 50 Prozent dieser Sicherheitsverletzungen auf unberechtigten Zugriff zur\u00fcckf\u00fchren lassen. <\/p>\n Durch die Nutzung von passwortfreien und KI-gest\u00fctzten Authentifizierungsl\u00f6sungen k\u00f6nnen Unternehmen die Risiken eliminieren, die durch die Interaktion mit Passw\u00f6rtern entstehen und sich so besser vor kostspieligen Cyber-Angriffen und unberechtigten Zugriffen sch\u00fctzen. Gleichzeitig m\u00fcssen sich Nutzer nicht mehr mit Passw\u00f6rtern herumschlagen, da der passwortlose Zugang auf etwas basiert, das man hat oder ist – und nicht mehr auf etwas, das man wei\u00df. Dies macht nicht nur die Benutzererfahrung nahtloser, intelligenter und sicherer, sondern reduziert auch IT-Aufwand und Betriebskosten. Laut Gartner werden bis 2025 mehr als 50 % der Mitarbeiter- und mehr als 20 % der Kundenauthentifizierungstransaktionen passwortlos sein. Damit ist es an der Zeit, dass Unternehmen einen Schritt in Richtung passwortlose Welt machen.\" <\/p>\n F\u00fcr mich stellt sich die Frage: Wann kommen wir in einer passwortlosen Welt an? Und ist diese wirklich sicherer? Die neueste Episode mit dem Google Authenticator (siehe Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschl\u00fcsselung kommt erst noch \u2026<\/a>) zeigt, dass der Teufel im Details sitzt. Und was passiert, wenn mir Zugriffstoken durch Sicherheitsl\u00fccken entwendet werden – auch diese F\u00e4lle hatten wir ja in der Vergangenheit (siehe Links am Artikelende). <\/p>\n Ein weiteres Problem stellt sich bez\u00fcglich der Frage: Was passiert, wenn ich das Ger\u00e4t f\u00fcr die Multifaktor-Authentifizierung (MFA) verloren habe, wenn dieses gestohlen wurde oder kaputt geht? Und wer besitzt noch den \u00dcberblick, mit welchen Methoden er wann, wo registriert ist und wie er diese Registrierung im Fall der F\u00e4lle sperrt bzw. eine gesperrte Anmeldung wieder zur\u00fccksetzen kann? Wie l\u00f6st ihr das Ganze in eurem Umfeld bzw. Unternehmen? <\/p>\n \u00c4hnliche Artikel:<\/strong> Am 4. Mai ist wieder World Password Day, an dem das das Bewusstsein f\u00fcr den Wert von sicheren Online-Transaktionen, soliden Cybersicherheitsverfahren und sicheren Passw\u00f6rtern gest\u00e4rkt werden soll. Der Tag findet am ersten Donnerstag im Mail statt. Der Sicherheitsforscher Mark Burnett … Weiterlesen Ich h\u00e4tte Fragen <\/h2>\n<\/p>\n
Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschl\u00fcsselung kommt erst noch \u2026<\/a>
Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs<\/a>
Exchange Server: Authentifizierungs-Bypass mit ProxyToken<\/a>
Facebook-Hack: Zugriff auf 50 Mio. Access-Token f\u00fcr Konten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"