Die Passwort-Checkliste: Was ein gehacktes Instagram-Konto mit sicherem Online-Banking zu tun hat

Illustration: Absmeier, TheDigitalArtist

Es ist kein Geheimnis: Passwörter haben nicht gerade den Ruf, besonders sicher zu sein. Deshalb ist Multifaktor-Authentifizierung inzwischen praktisch zur Norm geworden. Angesichts dessen scheint es kaum mehr aktuell, sich mit Passworthygiene zu befassen. Aber laut Verizon 2021 Data Breach Investigations Report sind kompromittierte Anmeldeinformationen immer noch in rund 61 % aller Vorfälle der vorherrschende Einfallsweg zu einer Datenschutzverletzung.

 

In einer idealen Welt und zunehmend auch in der Realität, sind alle Systeme oder Anwendungen, die kritische Informationen wie Bank- und Gesundheitsdaten oder geistiges Eigentum eines Unternehmens enthalten, über MFA geschützt. Für Systeme, die es nicht sind, wie z. B. in kleineren, weniger kritischen Unternehmen oder bei privaten Online-Konten, ist eine gute Passworthygiene nach wie vor unerlässlich.

Vor ein paar Jahren erhielt ich die Gelegenheit, mich zum Hack eines Instagram-Kundenkontos zu äußern. Hier hatte sich der Angreifer erfolgreich Zugang zu Benutzernamen und Passwörtern verschafft. Nur, was kümmert es ein Unternehmen, wenn Benutzernamen und Passwörter einiger Instagram-Nutzer kompromittiert wurden? Was soll schon passieren? Nun ja, leider verwenden die meisten Anwender ein und dieselben Passwörter mehrfach. Zusätzlich sind dienstliche Benutzernamen oder E-Mail-Adressen unter Umständen mit einem privaten Bankkonto verknüpft. Oder es werden auch privat genutzte Adressen in einem Firmensystem verwendet, auf dem sich geistiges Eigentum befindet. Dies Anmeldeinformationen können einen erfolgreichen VPN-Zugriff oder sogar dem Zugriff auf das firmeneigene Active Directory ermöglichen.

Entsprechend wichtig ist es, sich an einige Grundlagen zum sicheren Umgang mit Passwörtern zu erinnern, wenn man persönliche und geschäftliche Daten schützen will:

 

Tipp Nr. 1: Verwenden Sie niemals Passwörter oder Abwandlungen desselben Passworts mehrfach

Das Konzept, Passwörter häufig zu ändern, ist nicht mehr zeitgemäß. Bei vielen Systemen braucht man diese ständigen Änderungen ohnehin nicht mehr, da Passwörter immer seltener verwendet werden. Aber nur weil diese Systeme keine Passwortänderungen mehr vorschreiben, ist das kein Freibrief, was deren Verwendung angeht. Ein häufiges Ändern von Passwörtern oder das Verwenden von Einmalpasswörtern kann bei hoch privilegierten Konten durchaus hilfreich sein. Für einen Standardbenutzer hält sich der Mehrwert häufiger Änderungen allerdings in Grenzen. Vor allem dann, wenn von Anfang an ein komplexes Passwort verwendet wird.

 

Tipp Nr. 2: Verwenden Sie komplexe Passwörter mit mindestens acht Zeichen

Ich persönlich verwende einen Passwort-Manager, der Passwörter speichert und erstellt. Auf dem Markt existieren viele gute Produkte. Schützen Sie diesen persönlichen Passworttresor auf jeden Fall mit einer Multifaktor-Authentifizierung. Ich beispielsweise kann das betreffende System so einrichten, dass es Passwörter mit bis zu 99 Zeichen generiert. Aber denken Sie daran, dass Sie irgendwann einmal eines dieser Passwörter werden eintippen müssen. Dann sind 99 Zeichen so sicher wie unpraktisch. Ich spreche aus Erfahrung… Bei Passwörtern geht es darum, die richtige Balance zu finden. Sie sollten so sicher wie möglich sein. Aber sie so sicher zu generieren, dass sie das betreffende Konto praktisch unzugänglich machen, das sollte nicht das Ziel eines Passwortes sein.

 

Tipp Nr. 3: Wenn Sie die Möglichkeit haben, verwenden Sie ein sicheres Passwort und Multifaktor-Authentifizierung

Die Multifaktor-Authentifizierung ist ein enorm wichtiges Instrument, um die Sicherheit Ihrer Passwörter quasi zu duplizieren. Sie ist jedoch kein Allheilmittel oder Passwortersatz. Erwarten Sie nicht, dass MFA Ihr Konto schützt, wenn Sie ein Passwort á la »Passwort1« oder »qwe123« verwenden. Wenn das ursprüngliche Passwort schwach ist, ermutigt das Angreifer eher zu fortgesetzten Angriffsversuchen. Der beste Rat, den ich an dieser Stelle geben kann, ist, ein komplexes Passwort mit mehr als 8 Zeichen UND eine mehrstufige Authentifizierung zu verwenden.

 

Wenn es darum geht, Unternehmen und Benutzer mittels Authentifizierung zu schützen, sind Passwörter und deren richtige Auswahl/Verwendung ein Schlüsselelement. Benutzer können ihre Anmeldeinformationen wie einen Hausschlüssel betrachten. Ihren Hausschlüssel geben sie nicht weiter, und Sie sollten durchaus besorgt sein, wenn jemand diesen an sich nehmen könnte – ob mit böswilligen Absichten oder nicht.

An dieser Stelle können wir alle noch besser werden. Selbst die Zeiten, in denen Benutzername und Passwort telefonisch kommuniziert wurden, sind noch nicht gänzlich vorüber. Selbst das Versenden über vermeintlich Ende-zu-Ende verschlüsselte Dienste wie etwa WhatsApp ist nicht ratsam. Diese Praktiken verstoßen zweifellos gegen die Sicherheitsrichtlinien eines Unternehmens – jedenfalls sollten sie das. Wenn Sie ausschließen wollen, dass Ihre Mitarbeiter so vorgehen, sollten Sie für ALLE Benutzerauthentifizierungen MFA einsetzen.

Dan Conrad, Security Team Lead bei One Identity