Key Takeaways
- Cybersicherheitsexperten schlagen vor, dass Passwörter allein nicht mehr als ausreichend für die Sicherung von Konten angesehen werden sollten.
- Benutzer sollten wo immer möglich die Multi-Faktor-Authentifizierung (MFA) aktivieren.
- MFA sollte jedoch nicht als Entschuldigung für die Erstellung schwacher Passwörter verwendet werden.
Die stärksten Passwörter und die strengsten Passwortrichtlinien sind nicht von großem Nutzen, wenn Ihr Online-Dienstanbieter Ihre Zugangsdaten aufgrund einer Fehlkonfiguration seiner Server preisgibt.
Wenn Sie denken, dass eine solche Möglichkeit eine Seltenheit wäre, sollten Sie wissen, dass viele der größten Datenlecks im Jahr 2021 auf technische Probleme bei den Dienstanbietern zurückzuführen waren. Tatsächlich halfen Cybersicherheitsexperten im Dezember 2021 dabei, eine solche Fehlkonfiguration in den S3-Bucket von Amazon Web Services zu stecken, der Sega gehörte und alle Arten von sensiblen Informationen enthielt, einschließlich Passwörtern.
"Die Verwendung von Passwörtern sollte obsolet werden und wir sollten nach anderen Möglichkeiten suchen, uns bei Konten anzumelden", sagte Saryu Nayyar, CEO des Sicherheitsanbieters Gurucul, Lifewire per E-Mail.
Das Problem mit Passwörtern
Im Dezember berichtete The Sun, dass die britische National Crime Agency (NCA) über 500 Millionen Passwörter an den beliebten Dienst Have I Been Pwned (HIBP) geliefert hatte, die sie während einer Untersuchung aufgedeckt hatte.
HIBP ermöglicht es Benutzern zu überprüfen, ob ihre Passwörter bei einer Sicherheitsverletzung durchgesickert sind und von Hackern missbraucht werden können. Laut dem Gründer von HIBP, Troy Hunt, existierten über 200 Millionen der von NCA gelieferten Passwörter noch nicht in der Datenbank.
Obwohl die Funktion zum Speichern von Kontoanmeldeinformationen in Browsern sehr praktisch ist, wird Benutzern empfohlen, sie nicht zu verwenden.
"Es weist auf die schiere Größe des Problems hin, das Problem sind Passwörter, eine archaische Methode, um seine Glaubwürdigkeit zu beweisen. Wenn es jemals einen Aufruf zum Handeln gab, um auf die Beseitigung von Passwörtern und die Suche nach Alternativen hinzuarbeiten, dann muss dies der Fall sein Sei es", sagte Baber Amin, COO der Experten für digitale Identität, Veridium gegenüber Lifewire per E-Mail als Antwort auf den jüngsten Beitrag der NCA zu HIPB.
Amin fügte hinzu, dass durchgesickerte Zugangsdaten nicht nur bestehende Konten gefährden, da Hacker sie jetzt mit KI-basierten Analysetools verwenden, um Muster zu identifizieren, wie eine Person Passwörter erstellt. Im Wesentlichen gefährden geleakte Zugangsdaten auch die Sicherheit anderer nicht kompromittierter Konten.
Passwörter und mehr
Nayyar plädiert für einen besseren Schutzmechanismus als Passwörter und schlägt vor, dass Benutzer, die die Möglichkeit haben, eine Multi-Faktor-Authentifizierung für ihre Konten einzurichten, dies tun sollten.
Ron Bradley, VP von Shared Assessments, einer Mitgliederorganisation, die hilft, Best Practices für die Risikoabsicherung durch Dritte zu entwickeln, stimmt zu. "Sch alten Sie die Multi-Faktor-Authentifizierung überall dort ein, wo es möglich ist, insbesondere bei Apps, die Geld bewegen."
Das Sichern eines Kontos nur mit einem Passwort wird als Ein-Faktor-Authentifizierung bezeichnet. Die Multi-Faktor-Authentifizierung oder MFA baut darauf auf und sichert Konten, indem sie dem Anmeldeprozess einen zusätzlichen Schritt hinzufügt, indem Benutzer nach weiteren Informationen gefragt werden. Viele Dienste, darunter mehrere Banken, implementieren MFA, indem sie einen Bestätigungscode an die bei der Bank registrierte Handynummer eines Benutzers senden.
Dieser Überprüfungsmechanismus ist jedoch anfällig für einen als SIM-Swap-Angriff bekannten Angriffsmechanismus, bei dem Angreifer die Kontrolle über die Mobiltelefonnummer eines Ziels übernehmen, indem sie den Netzbetreiber des Besitzers dazu verleiten, die Nummer der SIM-Karte des Angreifers neu zuzuweisen.
Obwohl T-Mobile einen solchen Angriff anerkennt, der auf einige seiner Kunden abzielte, sagte T-Mobile, dass SIM-Swap-Angriffe zu einem häufigen und branchenweiten Vorkommnis geworden sind.
Stattdessen ist eine bessere Option zum Aktivieren von MFA die Verwendung von Apps wie Duo Security, Google Authenticator, Authy, Microsoft Authenticator und anderen solchen dedizierten MFA-Apps.
Password Wildwuchs
Alle Cybersicherheitsexperten, mit denen wir gesprochen haben, warnten jedoch davor, dass die Verwendung von MFA keine Entschuldigung dafür sein sollte, keine angemessenen Schritte zum Schutz der Passwörter zu unternehmen.
"Sei Teil der Einprozentigen, die keine Ahnung haben, wie ihr Bankpasswort lautet, weil es zu lang und komplex ist", riet Bradley.
Er fügt hinzu, dass Benutzer in Betracht ziehen sollten, in einen Passwort-Manager zu investieren, wenn es um Passwörter geht. Während es keinen Mangel an kostenlosen Passwort-Managern gibt und auch einer in Ihren Webbrowser integriert ist, schlagen Experten vor, dass ein kostenloser Passwort-Manager besser ist, als gar keinen zu haben, aber Benutzer sollten bei der Verwendung eines solchen Vorsicht w alten lassen.
Sei Teil der Einprozentigen, die keine Ahnung haben, wie ihr Bankpasswort lautet, weil es zu lang und komplex ist.
Bei der Untersuchung eines kürzlichen Einbruchs in das interne Netzwerk eines Unternehmens stellten Cybersicherheitsforscher von AhnLab fest, dass das VPN-Konto, das zum Eindringen in das Unternehmensnetzwerk verwendet wurde, vom PC eines remote arbeitenden Mitarbeiters geleakt wurde.
Dieser PC war mit verschiedener Malware infiziert, darunter eine, die speziell zum Extrahieren von Passwörtern aus den in Chromium-basierten Webbrowsern wie Google Chrome und Microsoft Edge integrierten Passwortmanagern entwickelt wurde.
"Obwohl die Funktion zum Speichern von Kontoanmeldeinformationen von Browsern sehr praktisch ist, da bei einer Malware-Infektion die Gefahr besteht, dass Kontoanmeldeinformationen verloren gehen, wird Benutzern empfohlen, sie nicht zu verwenden", warnen die AhnLab-Forscher.
