{"id":294970,"date":"2024-05-02T23:00:35","date_gmt":"2024-05-02T21:00:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294970"},"modified":"2024-05-02T23:00:35","modified_gmt":"2024-05-02T21:00:35","slug":"das-problem-mit-passwrtern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/02\/das-problem-mit-passwrtern\/","title":{"rendered":"Das Problem mit Passwörtern"},"content":{"rendered":"![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Am 2. Mai ist \"World Passwort Day\" – Gelegenheit sich mit dem Thema Kennw\u00f6rter zu befassen. Nach wie vor verlassen sich zu viele Menschen auf Passw\u00f6rter. Und das, obwohl l\u00e4ngst bekannt ist, dass diese Passw\u00f6rter nur zu oft geknackt, offengelegt und gestohlen werden. Mir ist ein Beitrag untergekommen, der sich mit dem Thema befasst und suggeriert, die Abh\u00e4ngigkeit von Passw\u00f6rtern zu reduzieren. Passwortlose Ans\u00e4tze sollten sich auf alternative oder zus\u00e4tzliche Authentifizierungsmethoden st\u00fctzen, die sicher, benutzerfreundlich und oft Teil eines umfassenden Zero-Trust-Ansatzes sind.<\/p>\n
<\/p>\n
Das grundlegende Problem mit Passw\u00f6rtern<\/h2>\n
Bei rund der H\u00e4lfte (49 Prozent) der im vergangenen Jahr gemeldeten Datenschutzverletzungen (und davon bei 86 Prozent aller Datenschutzverletzungen innerhalb von Web-Applikationen) wurden gestohlene Anmeldeinformationen wie Benutzernamen und Passw\u00f6rter verwendet. In Deutschland wurden allein im ersten Quartal 2024 rund 3,2 Millionen Nutzerkonten erfolgreich gehackt. In der Schweiz waren es knapp 210.000. Sichere Authentifizierung scheint also f\u00fcr viele nach wie vor eine Herausforderung darzustellen, schreibt das Unternehmen Barracuda.<\/p>\n
Obwohl bekannt ist, dass Passw\u00f6rter geknackt, offengelegt oder gestohlen und dann gegen die Nutzer verwendet werden k\u00f6nnen, verlassen sich viele Personen und Unternehmen nach wie vor auf sie. Daf\u00fcr gibt es verschiedene Gr\u00fcnde. Diese zu verstehen, ist essenziell daf\u00fcr, unsere Passw\u00f6rter zu st\u00e4rken oder uns zu Gunsten von effektiveren Authentifizierungsl\u00f6sungen von ihnen zu l\u00f6sen. Passw\u00f6rter sind einfach praktisch: Sowohl Nutzer als auch IT-Administratoren sind mit ihrer Funktionsweise vertraut, sie sind einfach zu implementieren und erfordern dabei nur minimale Investitionen und bestehende Infrastruktur. Sie ben\u00f6tigen keine zus\u00e4tzliche Hardware und nahezu jedes Ger\u00e4t und jede Anwendung unterst\u00fctzt Authentifizierung per Passwort.<\/p>\n
Fu\u00dfballer und Passw\u00f6rter<\/h2>\n
Im Vorfeld der EM 2024 ist mir eine Information der Telekom zum Thema Fu\u00dfballfans und Passw\u00f6rter untergekommen. Der Tenor: Deutsche Fu\u00dfballfans sollten \"Sicherheitstechnisch ins Trainingslager geschickt werden\" – denn die bei dieser Klientel verwendeten Passw\u00f6rter weisen leichte Defizite auf – sagen die Sicherheits-Expertinnen und Experten der Telekom. <\/p>\n
Wer einen Blick auf die 30 gestohlenen Passw\u00f6rter wirft, die am h\u00e4ufigsten in frei zug\u00e4nglichen \u00f6ffentlichen Quellen zu finden sind, sieht das Problem sofort. Schon der zweite Platz geh\u00f6rt einer Fu\u00dfballmannschaft. In dieser Tabelle ist \"Schalke04\" zur Abwechslung mal fast spitze. Nur Das Universal-Passwort \"Passwort1\" ist \u00f6fter anzutreffen, so traurig das auch ist.<\/p>\n
F\u00fcr die Anh\u00e4nger des Revier-Rivalen Borussia Dortmund ist das kein Grund h\u00e4misch zu lachen, meinen die Telekom-Experten. Denn \"Borussia\" findet sich immer noch in den Top 10, und \"Dortmund09\" folgt auf Rang 18. Die Begeisterung der Fans f\u00fcr diesen Sport kennt bei der Sicherheit von Konten leider keine Grenzen. Das Passwort \"Fussball\" belegt den 20. Platz dieser Liste. <\/p>\n
L\u00e4sst sich wohl noch durch Spielernamen toppen. Wer k\u00f6nnte das wohl sein? Die Telekom schreibt, dass der beliebteste Einzelakteur in diesem Sport sich auf Rang 26 gespielt habe und mittlerweile sein Geld in Saudi-Arabien verdient. Es geht um den Fu\u00dfballer (Christiano) Ronaldo, dessen Passwort \"Ronaldo1\" auf dem genannten Platz rangiert. Ansonsten ist der l\u00e4ngt im Ruhestand befindliche US-Basketballer (Michael) \"Jordan23\" noch auf Platz 25 dieser Tabelle mit geklauten Kennw\u00f6rter aus dem ersten Quartal 2024 gelandet. <\/p>\n
Password Spraying <\/h2>\n
Telekom Sicherheitschef Thomas Tschersich sagt : \"Wir sehen, dass deutsche Nutzerinnen und Nutzer weiterhin zu oft das f\u00fcr sie Naheliegendste zum Passwort machen. Und genau das macht sie verwundbar. Wenn ich die Tabelle der Fu\u00dfball-Bundesliga – Verein f\u00fcr Verein -zusammen mit s\u00e4mtlichen E-Mails ausprobiere, die ich mit einfachen Mitteln im Netz finden kann, so generiere ich damit leider zehntausende von aktiven Zugangsschl\u00fcsseln. Und das ist zu einfach und war noch nie zeitgem\u00e4\u00df.\"<\/p>\n
Password Spraying nennt sich diese Technik. Cyberkriminelle probieren etwa als Zugangsdaten von Nutzerkonten einfach eine Reihe von beliebten Passw\u00f6rtern mit E-Mails aus, die sie finden k\u00f6nnen. Und da viele Menschen die Angewohnheit haben, mehr als ein E-Mailkonto zu besitzen, flie\u00dft auch diese Tatsache in die Strategie mit ein. Was bei E-Mail-Anbieter Nummer eins funktioniert hat, kann auch mit demselben Nutzernamen bei anderen Anbietern funktionieren. Das Telekom Sicherheitsteam sieht solche Versuche Passw\u00f6rter zu sprayen regelm\u00e4\u00dfig, wenn Alarme von Anomalie-Erkennungssystemen ausgewertet werden. Dabei r\u00e4cht es sich zus\u00e4tzlich, dass bequeme Zeitgenossen ihr Lieblingspasswort f\u00fcr mehr als ein Konto einsetzen. Auch das l\u00e4sst sich mit schlichtem \"Durchprobieren\" massenhaft austesten.<\/p>\n
Aktuelle Richtlinien fordern von einem Passwort bestenfalls einen Gro\u00dfbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen zu enthalten. Deutscher Fu\u00dfballmeister in diesem Jahr wird Bayer 04 Leverkusen. M\u00fcssen wir uns wirklich dar\u00fcber wundern, dass ein Passwort \"Bayer04Lev!\" aktuell immer h\u00e4ufiger bei Sammlungen von geklauten Passw\u00f6rtern auftaucht, fragt die Telekom?<\/p>\n
Tipp der Sicherheits-Expertinnen und Experten der Telekom f\u00fcr die Fu\u00dfballbegeisterten: Nehmt eure Lieblingspassage der Vereinshymne oder des Fankurvengesangs und davon jeweils die Anfangsbuchstaben der Worte. Achtet auf Gro\u00df- und Kleinschreibung. Idealerweise kommt eine Zahl in dieser Passage vor. Setzt ein Sonderzeichen vor oder hinter diese Kombination, etwa eine Klammer als Meisterschale ( und fertig ist ein individuelles Passwort, das nicht ganz so einfach zu erraten ist. <\/p>\n
Weniger Abh\u00e4ngigkeit von Passw\u00f6rtern<\/h2>\n
Barracuda sagt: Wer Alternativen zu Passw\u00f6rtern in Betracht zieht, muss die Aspekte Sicherheit, Benutzerfreundlichkeit und Skalierbarkeit abw\u00e4gen, um ein nahtloses und gleichzeitig sicheres Nutzererlebnis zu gew\u00e4hrleisten. Zu viel Komplexit\u00e4t bei den Authentifizierungsprozessen f\u00fchrt nur dazu, dass Nutzer Wege finden, diese zu umgehen. Unternehmen, die sich von Passw\u00f6rtern l\u00f6sen m\u00f6chten, ohne ihre Nutzer zu \u00fcberfordern, haben unter anderem die Wahl zwischen:<\/p>\n
\n- Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung (2FA bzw. MFA): Diese Methoden sind inzwischen zum Standard f\u00fcr viele Anwendungen geworden. Bei der 2FA m\u00fcssen Nutzer zwei Faktoren zur Identifizierung vorzeigen, bevor sie Zugang zum Ger\u00e4t oder der Anwendung erhalten. \u00dcblicherweise umfassen diese Faktoren etwas, das sie wissen (z. B. ein Passwort) und etwas, \u00fcber das sie verf\u00fcgen (z. B. einen Code, den sie \u00fcber ein mobiles Endger\u00e4t teilen k\u00f6nnen). Der zus\u00e4tzliche Zeitaufwand und die Komplexit\u00e4t sind dabei vergleichsweise gering. MFA f\u00fcgt zus\u00e4tzliche Authentifizierungsebenen hinzu, z. B. etwas, das dem Nutzer eigen ist (biometrische Authentifizierung) oder etwas, das er ausf\u00fchrt (verhaltensbiometrische Authentifizierung). Allerdings haben in den vergangenen Jahren Angreifer zunehmend gelernt, 2FA und MFA durch gezieltes Phishing oder durch Ausnutzung von \u201eMFA-M\u00fcdigkeit\" zu umgehen, indem sie Nutzer mit gef\u00e4lschten Anmeldebenachrichtigungen \u00fcberfluten, bis diese eine davon durchwinken.<\/li>\n
- Single Sign-On (SSO): SSO erm\u00f6glicht es Nutzern, mit nur einem Satz von Anmeldedaten auf verschiedene Ger\u00e4te oder Anwendungen zuzugreifen. Dadurch wird der Bedarf an Passw\u00f6rtern reduziert und das Benutzererlebnis verbessert. F\u00fcr beispielsweise unternehmens- bzw. organisationsinterne Anmeldungen ist dieser Ansatz sehr effektiv, aber oftmals zeitaufw\u00e4ndig in der Implementierung und Einrichtung. SSO kann zudem riskant sein, wenn es auf Anmeldungen im Internet ausgeweitet wird und der Zugang \u00fcber die Anmeldedaten f\u00fcr beliebte Dienste und Websites wie Google, Facebook, Yahoo, Apple oder Microsoft erfolgt. Die Anmeldung selbst wird dann zwar einfach. Wenn jedoch ein Konto bei einem dieser Anbieter kompromittiert wird, kann der Angreifer auf jedes andere Konto zugreifen, f\u00fcr den der SSO verwendet wird. Zudem werden h\u00e4ufig Daten zwischen den einzelnen Anbietern ausgetauscht, was vielen Nutzern nicht bewusst, aber auch nicht erw\u00fcnscht ist.<\/li>\n
- Biometrische Authentifizierung: Dazu z\u00e4hlen Methoden wie Fingerabdruckerkennung, Gesichtserkennung, Iris-Scan und Stimmerkennung. Verhaltensbiometrie hingegen st\u00fctzt sich auf die Erkennung von Tipp- oder Ger\u00e4tenutzungsverhalten. Biometrische Authentifizierungsmethoden bieten ein hohes Ma\u00df an Sicherheit bei gleichzeitiger Benutzerfreundlichkeit, da sich Nutzer keine Passw\u00f6rter oder Antworten auf Sicherheitsabfragen merken m\u00fcssen. Au\u00dferdem sind viele Nutzer bereits mit ihnen vertraut, da zahlreiche Ger\u00e4te f\u00fcr Endnutzer bereits \u00fcber die M\u00f6glichkeit zur biometrischen Authentifizierung verf\u00fcgen, was den Einsatz und die Akzeptanz dieser Methoden auf unternehmensweiter Ebene erleichtern und beschleunigen kann. Allerdings ist nicht jedes Ger\u00e4t f\u00fcr biometrische Authentifizierung geeignet und die Implementierung der erforderlichen Technologie kann sehr kostspielig sein. Au\u00dferdem m\u00fcssen die Nutzer damit einverstanden sein, ihre biometrischen Daten im beruflichen Kontext zu nutzen.<\/li>\n
- Hardware-Tokens: Diese physischen Ger\u00e4te erzeugen einmalige, oft zeitlich befristete Codes oder kryptografische Schl\u00fcssel f\u00fcr die Authentifizierung als zus\u00e4tzliche Sicherheitsebene f\u00fcr die Anmeldung. Ein Angreifer br\u00e4uchte physischen Zugriff auf den Token und m\u00fcsste au\u00dferdem die Anmeldedaten des Nutzers kennen, um Zugang zu seinem Konto zu erhalten. Der Nachteil: Ein vergessenes Passwort kann einfach zur\u00fcckgesetzt werden, aber ein verlorener Hardware-Token muss ersetzt werden. In der Zwischenzeit muss zudem ein alternativer Back-Up-Prozess f\u00fcr die Anmeldung eingerichtet werden.<\/li>\n
- Zertifikatsbasierte Authentifizierung: Dieser Ansatz basiert auf digitalen Zertifikaten, die von einer Zertifizierungsstelle ausgestellt werden, in Kombination mit Public-Key-Kryptographie zur \u00dcberpr\u00fcfung und Verifizierung der Benutzeridentit\u00e4t. Das Zertifikat speichert identifizierungsrelevante Informationen und einen Public Key, w\u00e4hrend der Nutzer selbst \u00fcber einen virtuellen Private Key verf\u00fcgt. Diese Authentifizierungsmethode bietet sich beispielsweise in F\u00e4llen an, in denen Unternehmen Auftragnehmer besch\u00e4ftigen, die tempor\u00e4ren Zugang zu ihrem Netzwerk ben\u00f6tigen. Die Implementierung dieser Methode kann allerdings vergleichsweise kosten- und zeitaufw\u00e4ndig sein.<\/li>\n<\/ul>\n
Dar\u00fcber hinaus existiert noch ein weiterer, dynamischer Ansatz: die sogenannte risikobasierte Authentifizierung. Dabei wird bei einem Anmeldeversuch zun\u00e4chst das damit verbundene Risiko eines unbefugten Zugriffs auf Basis verschiedener Faktoren wie Benutzerverhalten, Standort und Ger\u00e4teinformationen ermittelt und die Authentifizierungsanforderungen entsprechend angepasst.<\/p>\n
Fazit: Es gibt viele Wege nach Rom<\/h2>\n
Um ein m\u00f6glichst hohes Level an Authentifizierungssicherheit zu gew\u00e4hrleisten, sollte der Fokus der Verantwortlichen nicht auf der Abschaffung von Passw\u00f6rtern liegen, sondern darauf, die Abh\u00e4ngigkeit von ihnen zu reduzieren. Passwortlose Ans\u00e4tze st\u00fctzen sich daf\u00fcr auf alternative oder zus\u00e4tzliche Authentifizierungsmethoden, die \u2013 wie die oben genannten – sicher und gleichzeitig benutzerfreundlich sind, oft als Teil eines umfassenderen \u201eZero Trust\"-Ansatzes. Sowohl passwortloser Zugriff als auch Zero Trust tragen dazu bei, die Sicherheit von Ger\u00e4ten, Nutzern und Netzwerken in einer sich kontinuierlich ver\u00e4ndernden Bedrohungslandschaft zu erh\u00f6hen, ohne die Benutzererfahrung zu beeintr\u00e4chtigen \u2013 und in Kombination die Abh\u00e4ngigkeit von Passw\u00f6rtern zu beenden.<\/p>\n","protected":false},"excerpt":{"rendered":"
Am 2. Mai ist \"World Passwort Day\" – Gelegenheit sich mit dem Thema Kennw\u00f6rter zu befassen. Nach wie vor verlassen sich zu viele Menschen auf Passw\u00f6rter. Und das, obwohl l\u00e4ngst bekannt ist, dass diese Passw\u00f6rter nur zu oft geknackt, offengelegt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294970","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294970"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294970\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}