Der Status Quo: „hallo“, „Schatz“ und „passwort“

Hand aufs Herz, eigentlich kennen wir doch alle gewisse Grundregeln für eine sicheres Passwort: Ein Passwort sollte z.B. möglichst komplex sein und häufig gewechselt werden. Darüber hinaus erschließt es sich jedem, dass mit der Länge eines Passwortes vermutlich auch die Passwortsicherheit steigt. Noch sicherer ist, wenn man für jeden Account ein eigenes Passwort verwendet.

Und dennoch: nach einer Studie des Webportales Web.de verwenden 61 Prozent der Nutzer ein und dasselbe Passwort für Online-Dienste. Wörter wie halloquertz und Schatz sind weiterhin die Lieblingspasswörter der Deutschen. Dabei werden in der Allgemeinsprache häufige genutzte Wörter, wie Schatz, teilweise in unter 21 Sekunden geknackt. 36 Prozent gaben in der Studie darüber hinaus an, ihr E-Mail-Passwort sogar seit über einem Jahr nicht mehr gewechselt zu haben.

Was auf den privaten Sektor zutrifft, sieht im Unternehmerischen oftmals nicht besser aus. Sofern keine Firmenregelungen bestehen werden als Passwörter oft dieselben unsicheren privaten Passwörter verwendet. Häufig gesehen sind auch Post-its am Bildschirm mit Benutzernamen und Passwort für den Zugang zum Intranet der Firma oder Verwaltungsstruktur. Wenn man bedenkt, dass ein Hacker oft nur einen Zugangsweg benötigt, um Malware zu platzieren oder Daten abzugreifen, ein beängstigende Sicherheitslücke.

 

Die Angriffswege – Wie knacken Hacker meine Passwörter?

Offline Cracking: Hacker stehlen Benutzerdaten und Passwörter beim Anbieter (z.B. bei Facebook). Die Passwörter sind dort meist als Hash-Verschlüsselungen in der Datenbank hinterlegt. Der Hacker versucht nun die gewonnen Hashs z.B. auf seinem eigenen PC zu entschlüsseln, was Offline Cracking genannt wird.

Brute-Force-Attacken: Mit einer Brute-Force-Attacke probiert ein Hacker per Computerberechnung alle Möglichkeiten zur Entschlüsselung von Passwörtern bzw. Hash´s aus. Ist das Passwort z.B. 8 zeichen lang, dauert es mit einem Heimcomputer ca. 12 Jahre alle Kombinationen auszuprobieren. Häufig kommt dem Hacker jedoch der Zufall zu Hilfe und der Hash wird früher geknackt.

Dictionary Attack: Bei einer Dictionary Attack (Wörterbuch-Attacke) verwendet ein Hacker gängige lexikalische Begriffe oder bedient sich aus dem Vokabular des Opfers. Wohnt das Opfer z.B. in Köln, so wird der Hacker die Wörter “Köln”, “Koeln” oder Sätze wie “Kölle am Rhing” in seine Kombinationssuche einbauen bzw. voranstellen, da jene ortsbezogenen Passwörter häufig verwendet werden. Gerne genommen werden auch Marken, Werbeslogans, Vereinsmottos oder bekannte Liedtexte (z.b. “viva colonia”).

Aneignung & Shoulder Surfing: Das Opfer selbst präsentiert oder verliert seine eigenen Passwörter, so dass ein Hacker sich diese aneignen kann (z.B. PW-Zettel im gestohlenen Portmonee). Beim sog. Shoulder Surfing wiederum schaut jemand dem Opfer bei der Eingabe des Passwortes über die Schulter oder sieht z.B. ein Post-IT mit Passwörtern am PC und nutzt diese gegen den Willen des Opfers.

Social-Engineering-Attacke: Der Hacker versucht gezielt durch Social-Engineering-Attacken an Benutzerdaten und Passwörter zu gelangen- Er gibt sich z.B. am Telefon als Systemadministrator der Firma aus und gibt an das Passwort des Opfers dringend zu benötigen, um schnell neue Updates gegen einen in der Firma grassierenden Virus zu installieren.

Malware: Schadsoftware wird beim Surfen im Internet oder durch eine Social-Engineering bzw. Phishing-Attacke auf dem PC des Opfers installiert. Diese späht Passwörter aus und sendet sie versteckt an den Hacker.

 

Dabei ist es gar nicht so schwer – 5 Basics für ein sicheres Passwort

Neutralität: Vermeiden sie alle Wort-Zusammenhänge in einem Passwort, welche durch sie als Person zurück geschlossen werden kann. Ausdrücklich nicht zu verwenden sind Passwörter die Begriffe aus den Themenkreisen Familie, Beruf, Hobby, Interessen und Lebensdaten enthalten. Diese könnten z.B. in einer Dictionary Attack das Knacken des Passwortes ermöglichen. Exemplarisch fatal wäre beispielsweise ein Passwort, mit dem Namen ihres Hundes und ihrem Geburtsdatum (z.B. KnechtRuprecht1980 oder Rollo88)

Länge: In den letzten Jahren hat sich gezeigt, dass vor allem die Länge eines Passwortes mit seiner Sicherheit korreliert. Das BSI empfiehlt z.B. bei alphanumerischen Passwörtern eine mindestlänge aus 8 Zeichen. Bei besonders relevanten Passwörtern und Sicherheits-Multiplikatoren, wie das Passwort zu einem Haupt-E-Mail-Account, raten wir dazu die doppelte Länge zu verwenden. Sofern Gedankenstützen unerlässlich sind, ist es auch sicherer Sätze zu verwenden, als einzelne Wörter. Noch mehr Sicherheit schafft es  darüber hinaus die Wörter im Satz zu verdrehen (z.B. LeovonderPelzwiese -> vonpelzwiesederLeo -> Besser mit Numeric und Sonderzeichen: 3von6pezlwiese1der7Leo$%)

Komplexität: Je weiter ein Passwort von einer erkennbaren Wortform entfernt ist, desto schwieriger wird es für einen Hacker es durch automatisierte Skripte zu knacken (Vivacolonia -> auch nicht sehr sicher, weil ortsgebunden, aber schon besser wäre: v1v4co/on!4).

Varianz: Nutzen sie möglichst für jeden Login-Account ein anderes Passwort. Es ist sinnvoll sich ggf. ein Passwortsystem zu überlegen und merkbare Passwortstämme zu variieren (z.B.je ein Stamm für Beruf, Privates und einen für Hobbies wie z.B. Spiele Accounts).

Wechsel: Obwohl in der heutigen Sicherheitsdiskussion vor allem die länge eines Passwortes im Kontext der Sicherheit hervorgehoben wird, bleibt der Wechsel von Passwörter ein unerlässliches präventives Instrument. Begründend bekommt man es als Kunde häufig erst sehr spät mit, wenn Datenbanken mit Passwörter bei einem Anbieter gehackt wurden. Der Wechsel eines Passwortes kann diesbezüglich die Sicherheit erhöhen. Es ist daher ratsam die Passwörter mindestens 1 mal im Jahr auszutauschen.

 

3 weitere nützliche Tools für mehr Passwortsicherheit

Zwei-Faktor-Authentifizierung (2FA): Hierbei wird z.B. für das Einloggen zu einem Account ein Zweitgerät, meist das Mobiltelefon per SMS oder APP, eingebunden. Ein absolutes Muss, vor allem für fiskalische Accounts, wie z.B. Paypal. Auch wichtige E-Mail-Accounts sollte durch 2FA-Anmeldung geschützt sein.

Passwortgeneratoren: Passwortgeneratoren helfen dabei die Kriterien Neutralität, Länge und Komplexität für ein gutes Passwort optimal umzusetzen. Nachteil ist, dass diese Passwörter meist nur sehr schwer zu behalten sind.

Passwort-Organizer: Sofern ein seriöser Anbieter gewählt wird, ist es Allgemein sicherer, dass Passwörter mit einem Password-Organizer verwaltet werden. Es erleichtert das Nutzen von komplexen und variierenden Passwörter maßgeblich, was die Varianz erhöht und auch den Passwortwechsel erleichtert.

 

SoSafe

SoSafe testet, sensibilisiert und schult Ihre Mitarbeiter im Rahmen des richtigen Umganges mit Cyber-Attacken, z.B. auch zu den Grundlagen von Passwortsicherheit.

Sie möchten wissen, wie anfällig Ihre Organisation für Phishing-Attacken ist? Sie würden gerne einmal sehen, wie ein Spear-Phishing-Angriff auf Ihr Betrieb aussehen würde? Und sie möchten Ihre Mitarbeiter mit einem modernen, einfach zu bedienenden SaaS-Tool sowie simulierten Angriffen im richtigen Umgang mit Cyberrisiken trainieren? Dann fragen Sie jetzt einen unverbindlichen Testlauf bei SoSafe an und erhalten Sie erste Transparenz darüber, wie anfällig Ihre Organisation beim Thema Cybersicherheit ist.


www.sosafe.de     Cyber Security Awareness Training made in Germany