VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Passwort Sobald Hacker Zugang auf eine E-Mail-Adresse beziehungsweise Benutzernamen und ein Passwort haben, steht ihnen eine Welt voller Möglichkeiten offen. Die Gefahren beschränken sich nicht nur auf das im ersten Schritt kompromittierte User-Konto. Dr. Amir Alsbih von KeyIdentitiy, gibt Tipps wie Nutzer ihre Accounts besser absichern können:

Die nächsten Schritte der Cyber-Kriminellen umfassen in der Regel neben dem Verkauf der Daten auch sogenanntes "Credential Stuffing"; die Hacker nehmen die Anmeldedaten des beeinträchtigten Nutzerkontos und versuchen damit auf weitere Konten zuzugreifen. Dadurch, dass ein erheblicher Teil der Benutzer das gleiche Passwort für mehrere Webseiten und Applikationen benutzt, kann die Kompromittierung eines Benutzeraccounts zum Verlustsämtlicher digitaler Identitäten führen.

1. Immer ein einzigartiges Password für jede einzelne Anwendung verwenden

Die Anforderungen an Passwörter werden immer komplizierter und Zugangsdaten lassen sich so natürlich auch immer schlechter merken. Die OWASP als de-facto Standard für die Sicherheit von Web-Applikationen schreibt beispielsweise vor, dass Passwörter 3 von 4 Komplexitätsregeln (also die Verwendung von Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) entsprechen müssen und dabei mindestens 10 Zeichen lang sein sollten, sowie nicht mehr als zwei identische Zeichen aufeinanderfolgend haben dürfen. Um diese Anforderung zu erfüllen, empfiehlt es sich einen Merksatz zu bilden: „Auf meiner Yacht schimmert ein Logo von EBAY (Anbieter), was meine Frau seit 10 Jahren erfreut“. Nun nimmt man die Anfangsbuchstaben sowie den Namen des Anbieters und erhält: AmYseLvEBAY,wmFs10Je – alle Komplexitätsanforderungen sind somit erfüllt. Welchen (kürzeren) Merksatz man wählt und an welcher Stelle man den Anbieter einfügt, ist dabei irrelevant. Es zählt lediglich das Prinzip, mit dem man sichere individuelle Passwörter bildet.

2. Unbedingt die Datenschutzeinstellungen der eigenen Social Media-Konten prüfen

Man sollte davon ausgehen, dass jeder Nutzer sich ausreichend über die Datenschutzeinstellungen seiner Social Media-Kanäle informiert. Die meisten tun das allerdings nicht. Die Aktivierung ist allerdings der erste Schritt um seine eigenen Nutzerdaten zu schützen. Denn genau hier sammeln Datendiebe Informationen, wie den Namen Ihrer Katze, Ihr Geburtsdatum und weitere Angaben die ihnen bei der Entschlüsselung zu einfacher Passwörter helfen oder die sie für virtuellen Identitätsdiebstahl („Social Engineering“) nutzen können.

3. Das Passwort weder bewusst noch unbewusst teilen

Kein Anbieter eines Service wird jemals um die Herausgabe eines Passworts bitten. Insofern können jegliche Bitten direkt als Versuch aufgefasst werden, die digitale Identität zu stehlen. Das eigene Passwort lässt sich gut mit der eigenen Zahnbürste vergleichen − die möchte man doch auch nicht mit anderen Menschen teilen, auch wenn sie danach fragen. Wichtig ist außerdem, dass man sein Passwort nur eingibt, wenn die Übertragung zur Applikation oder Webseite auf Netzwerkebene verschlüsselt ist. Das erkennt man einfach an dem grünen (geschlossenen) Schloss sowie der Angabe HTTPS vor der URL in der Adresszeile des Browsers. Auf diese Weise wird verhindert, das Dritte Zugangsdaten einfach mitlesen können.

4. Besser keine zu einfache Antwort für die obligatorische „Ich habe mein Passwort vergessen“-Frage eingeben

Bei der Erstellung eines Nutzerkontos muss man häufig eine Sicherheitsfrage beantworten, die dann zum Tragen kommt, wenn man sein Passwort vergessen hat. Ein Beispiel: „Wie lautet der Name Ihres Hundes?“ In Zeiten von Facebook, Instagram, Google und Co. ist die Antwort auf diese Frage allerdings auch leicht für Außenstehende herauszufinden. Besser sind von der Frage unabhängige Antworten, wie „Ich liebe Firmen, die es Angreifern leichtmachen, meine Identität zu stehlen.“ Doch auch hier gilt: Nicht bei jedem Konto dieselbe Antwort verwenden.

5. Bei sensitiven Accounts Zwei-Faktor-Authentifizierung verwenden

Benutzeridentitäten, die besonders schützenswert sind, beispielsweise jene mit denen sich Zahlungen auslösen lassen oder die über besonders sensitive Informationen verfügen, sollten mit einer Zwei-Faktor-Authentifizierung abgesichert werden, so lange es vom Anbieter ermöglicht wird. Durch die Verwendung eines weiteren Faktors, reicht die Kenntnis des Benutzernamens und des Passworts nicht mehr aus, wodurch sich das Schadensausmaß reduzieren lässt. Insbesondere die Nutzung von Push-Tokens erhöht die Sicherheit unter Minimierung des Aufwandes für den Benutzer.

Auch Unternehmen können aktiv zum Schutz von Nutzerkonten ihrer Mitarbeiter oder Kunden beitragen. Die Nutzung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung macht Identitätsdiebstahl nämlich fast unmöglich. Einfach ausgedrückt bedeutet dies, dass weitere Authentifizierungskriterien erfüllt werden müssen, bevor der Zugriff auf eine Seite, eine Anwendung oder bestimme Daten gewährt wird.

Eine simple Zwei-Faktor-Authentifizierung erfordert also zwei von drei Variablen:

  • Etwas, dass der Nutzer kennt (so wie ein E-Mail-Passwort)
  • Etwas, dass der Nutzer mit sich führt (eine Bankkarte oder einen Authentifizierungs-Token – egal ob als Hardware oder digital)
  • Etwas Nutzerspezifisches mit biometrischen Kennzeichen (z.B. der Fingerabdruck oder das Irismuster)

Eine Zwei-Faktor-Authentifizierung mindert die Bedrohung durch Distanzangriffe durch Cyber-Kriminelle deutlich. Schließlich ist es sehr unwahrscheinlich, dass ein Hacker auch Zugriff auf die weitere Komponente der Authentifizierung besitzt.

GRID LIST
Faxgerät

Faxploit-Sicherheitslücke: Wie sicher ist die Fax-Technologie?

Richtigstellung: Nicht die Fax-Technologie ist per se unsicher. Die zu diesem Thema…
Geschenkarten

Cyberkriminelle verschenken „50-Euro-Geschenkkarte für lau!“

Ob Geschenkgutschein für Amazon oder Google Play, Freikarten für den Freizeitpark oder…
Firewall

Schutz vor Angriffen auf private und geschäftliche E-Mail-, Social Media- und Cloud-Anwendungen

Proofpoint, Inc., kündigte drei Neuerungen bei der anwenderbezogenen IT-Sicherheit an:…
DDoS Attack

9.325 DDoS-Attacken im 2. Quartal 2018

Laut Link11 hat es von April bis Juni über 9.000 DDoS-Attacken in Deutschland, Österreich…
Leopard jagt Springbock

IT trifft OT – eine folgenreiche Begegnung

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den…
Mann mit Lupe

Auf den Spuren der Hacker - wie werden gestohlene Passwörter genutzt?

Phishing-Angriffe, die darauf abzielen, mittels Social Engineering von Mitarbeitern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security