Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Passwort Sobald Hacker Zugang auf eine E-Mail-Adresse beziehungsweise Benutzernamen und ein Passwort haben, steht ihnen eine Welt voller Möglichkeiten offen. Die Gefahren beschränken sich nicht nur auf das im ersten Schritt kompromittierte User-Konto. Dr. Amir Alsbih von KeyIdentitiy, gibt Tipps wie Nutzer ihre Accounts besser absichern können:

Die nächsten Schritte der Cyber-Kriminellen umfassen in der Regel neben dem Verkauf der Daten auch sogenanntes "Credential Stuffing"; die Hacker nehmen die Anmeldedaten des beeinträchtigten Nutzerkontos und versuchen damit auf weitere Konten zuzugreifen. Dadurch, dass ein erheblicher Teil der Benutzer das gleiche Passwort für mehrere Webseiten und Applikationen benutzt, kann die Kompromittierung eines Benutzeraccounts zum Verlustsämtlicher digitaler Identitäten führen.

1. Immer ein einzigartiges Password für jede einzelne Anwendung verwenden

Die Anforderungen an Passwörter werden immer komplizierter und Zugangsdaten lassen sich so natürlich auch immer schlechter merken. Die OWASP als de-facto Standard für die Sicherheit von Web-Applikationen schreibt beispielsweise vor, dass Passwörter 3 von 4 Komplexitätsregeln (also die Verwendung von Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) entsprechen müssen und dabei mindestens 10 Zeichen lang sein sollten, sowie nicht mehr als zwei identische Zeichen aufeinanderfolgend haben dürfen. Um diese Anforderung zu erfüllen, empfiehlt es sich einen Merksatz zu bilden: „Auf meiner Yacht schimmert ein Logo von EBAY (Anbieter), was meine Frau seit 10 Jahren erfreut“. Nun nimmt man die Anfangsbuchstaben sowie den Namen des Anbieters und erhält: AmYseLvEBAY,wmFs10Je – alle Komplexitätsanforderungen sind somit erfüllt. Welchen (kürzeren) Merksatz man wählt und an welcher Stelle man den Anbieter einfügt, ist dabei irrelevant. Es zählt lediglich das Prinzip, mit dem man sichere individuelle Passwörter bildet.

2. Unbedingt die Datenschutzeinstellungen der eigenen Social Media-Konten prüfen

Man sollte davon ausgehen, dass jeder Nutzer sich ausreichend über die Datenschutzeinstellungen seiner Social Media-Kanäle informiert. Die meisten tun das allerdings nicht. Die Aktivierung ist allerdings der erste Schritt um seine eigenen Nutzerdaten zu schützen. Denn genau hier sammeln Datendiebe Informationen, wie den Namen Ihrer Katze, Ihr Geburtsdatum und weitere Angaben die ihnen bei der Entschlüsselung zu einfacher Passwörter helfen oder die sie für virtuellen Identitätsdiebstahl („Social Engineering“) nutzen können.

3. Das Passwort weder bewusst noch unbewusst teilen

Kein Anbieter eines Service wird jemals um die Herausgabe eines Passworts bitten. Insofern können jegliche Bitten direkt als Versuch aufgefasst werden, die digitale Identität zu stehlen. Das eigene Passwort lässt sich gut mit der eigenen Zahnbürste vergleichen − die möchte man doch auch nicht mit anderen Menschen teilen, auch wenn sie danach fragen. Wichtig ist außerdem, dass man sein Passwort nur eingibt, wenn die Übertragung zur Applikation oder Webseite auf Netzwerkebene verschlüsselt ist. Das erkennt man einfach an dem grünen (geschlossenen) Schloss sowie der Angabe HTTPS vor der URL in der Adresszeile des Browsers. Auf diese Weise wird verhindert, das Dritte Zugangsdaten einfach mitlesen können.

4. Besser keine zu einfache Antwort für die obligatorische „Ich habe mein Passwort vergessen“-Frage eingeben

Bei der Erstellung eines Nutzerkontos muss man häufig eine Sicherheitsfrage beantworten, die dann zum Tragen kommt, wenn man sein Passwort vergessen hat. Ein Beispiel: „Wie lautet der Name Ihres Hundes?“ In Zeiten von Facebook, Instagram, Google und Co. ist die Antwort auf diese Frage allerdings auch leicht für Außenstehende herauszufinden. Besser sind von der Frage unabhängige Antworten, wie „Ich liebe Firmen, die es Angreifern leichtmachen, meine Identität zu stehlen.“ Doch auch hier gilt: Nicht bei jedem Konto dieselbe Antwort verwenden.

5. Bei sensitiven Accounts Zwei-Faktor-Authentifizierung verwenden

Benutzeridentitäten, die besonders schützenswert sind, beispielsweise jene mit denen sich Zahlungen auslösen lassen oder die über besonders sensitive Informationen verfügen, sollten mit einer Zwei-Faktor-Authentifizierung abgesichert werden, so lange es vom Anbieter ermöglicht wird. Durch die Verwendung eines weiteren Faktors, reicht die Kenntnis des Benutzernamens und des Passworts nicht mehr aus, wodurch sich das Schadensausmaß reduzieren lässt. Insbesondere die Nutzung von Push-Tokens erhöht die Sicherheit unter Minimierung des Aufwandes für den Benutzer.

Auch Unternehmen können aktiv zum Schutz von Nutzerkonten ihrer Mitarbeiter oder Kunden beitragen. Die Nutzung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung macht Identitätsdiebstahl nämlich fast unmöglich. Einfach ausgedrückt bedeutet dies, dass weitere Authentifizierungskriterien erfüllt werden müssen, bevor der Zugriff auf eine Seite, eine Anwendung oder bestimme Daten gewährt wird.

Eine simple Zwei-Faktor-Authentifizierung erfordert also zwei von drei Variablen:

  • Etwas, dass der Nutzer kennt (so wie ein E-Mail-Passwort)
  • Etwas, dass der Nutzer mit sich führt (eine Bankkarte oder einen Authentifizierungs-Token – egal ob als Hardware oder digital)
  • Etwas Nutzerspezifisches mit biometrischen Kennzeichen (z.B. der Fingerabdruck oder das Irismuster)

Eine Zwei-Faktor-Authentifizierung mindert die Bedrohung durch Distanzangriffe durch Cyber-Kriminelle deutlich. Schließlich ist es sehr unwahrscheinlich, dass ein Hacker auch Zugriff auf die weitere Komponente der Authentifizierung besitzt.

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security