Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Passwort Sobald Hacker Zugang auf eine E-Mail-Adresse beziehungsweise Benutzernamen und ein Passwort haben, steht ihnen eine Welt voller Möglichkeiten offen. Die Gefahren beschränken sich nicht nur auf das im ersten Schritt kompromittierte User-Konto. Dr. Amir Alsbih von KeyIdentitiy, gibt Tipps wie Nutzer ihre Accounts besser absichern können:

Die nächsten Schritte der Cyber-Kriminellen umfassen in der Regel neben dem Verkauf der Daten auch sogenanntes "Credential Stuffing"; die Hacker nehmen die Anmeldedaten des beeinträchtigten Nutzerkontos und versuchen damit auf weitere Konten zuzugreifen. Dadurch, dass ein erheblicher Teil der Benutzer das gleiche Passwort für mehrere Webseiten und Applikationen benutzt, kann die Kompromittierung eines Benutzeraccounts zum Verlustsämtlicher digitaler Identitäten führen.

1. Immer ein einzigartiges Password für jede einzelne Anwendung verwenden

Die Anforderungen an Passwörter werden immer komplizierter und Zugangsdaten lassen sich so natürlich auch immer schlechter merken. Die OWASP als de-facto Standard für die Sicherheit von Web-Applikationen schreibt beispielsweise vor, dass Passwörter 3 von 4 Komplexitätsregeln (also die Verwendung von Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) entsprechen müssen und dabei mindestens 10 Zeichen lang sein sollten, sowie nicht mehr als zwei identische Zeichen aufeinanderfolgend haben dürfen. Um diese Anforderung zu erfüllen, empfiehlt es sich einen Merksatz zu bilden: „Auf meiner Yacht schimmert ein Logo von EBAY (Anbieter), was meine Frau seit 10 Jahren erfreut“. Nun nimmt man die Anfangsbuchstaben sowie den Namen des Anbieters und erhält: AmYseLvEBAY,wmFs10Je – alle Komplexitätsanforderungen sind somit erfüllt. Welchen (kürzeren) Merksatz man wählt und an welcher Stelle man den Anbieter einfügt, ist dabei irrelevant. Es zählt lediglich das Prinzip, mit dem man sichere individuelle Passwörter bildet.

2. Unbedingt die Datenschutzeinstellungen der eigenen Social Media-Konten prüfen

Man sollte davon ausgehen, dass jeder Nutzer sich ausreichend über die Datenschutzeinstellungen seiner Social Media-Kanäle informiert. Die meisten tun das allerdings nicht. Die Aktivierung ist allerdings der erste Schritt um seine eigenen Nutzerdaten zu schützen. Denn genau hier sammeln Datendiebe Informationen, wie den Namen Ihrer Katze, Ihr Geburtsdatum und weitere Angaben die ihnen bei der Entschlüsselung zu einfacher Passwörter helfen oder die sie für virtuellen Identitätsdiebstahl („Social Engineering“) nutzen können.

3. Das Passwort weder bewusst noch unbewusst teilen

Kein Anbieter eines Service wird jemals um die Herausgabe eines Passworts bitten. Insofern können jegliche Bitten direkt als Versuch aufgefasst werden, die digitale Identität zu stehlen. Das eigene Passwort lässt sich gut mit der eigenen Zahnbürste vergleichen − die möchte man doch auch nicht mit anderen Menschen teilen, auch wenn sie danach fragen. Wichtig ist außerdem, dass man sein Passwort nur eingibt, wenn die Übertragung zur Applikation oder Webseite auf Netzwerkebene verschlüsselt ist. Das erkennt man einfach an dem grünen (geschlossenen) Schloss sowie der Angabe HTTPS vor der URL in der Adresszeile des Browsers. Auf diese Weise wird verhindert, das Dritte Zugangsdaten einfach mitlesen können.

4. Besser keine zu einfache Antwort für die obligatorische „Ich habe mein Passwort vergessen“-Frage eingeben

Bei der Erstellung eines Nutzerkontos muss man häufig eine Sicherheitsfrage beantworten, die dann zum Tragen kommt, wenn man sein Passwort vergessen hat. Ein Beispiel: „Wie lautet der Name Ihres Hundes?“ In Zeiten von Facebook, Instagram, Google und Co. ist die Antwort auf diese Frage allerdings auch leicht für Außenstehende herauszufinden. Besser sind von der Frage unabhängige Antworten, wie „Ich liebe Firmen, die es Angreifern leichtmachen, meine Identität zu stehlen.“ Doch auch hier gilt: Nicht bei jedem Konto dieselbe Antwort verwenden.

5. Bei sensitiven Accounts Zwei-Faktor-Authentifizierung verwenden

Benutzeridentitäten, die besonders schützenswert sind, beispielsweise jene mit denen sich Zahlungen auslösen lassen oder die über besonders sensitive Informationen verfügen, sollten mit einer Zwei-Faktor-Authentifizierung abgesichert werden, so lange es vom Anbieter ermöglicht wird. Durch die Verwendung eines weiteren Faktors, reicht die Kenntnis des Benutzernamens und des Passworts nicht mehr aus, wodurch sich das Schadensausmaß reduzieren lässt. Insbesondere die Nutzung von Push-Tokens erhöht die Sicherheit unter Minimierung des Aufwandes für den Benutzer.

Auch Unternehmen können aktiv zum Schutz von Nutzerkonten ihrer Mitarbeiter oder Kunden beitragen. Die Nutzung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung macht Identitätsdiebstahl nämlich fast unmöglich. Einfach ausgedrückt bedeutet dies, dass weitere Authentifizierungskriterien erfüllt werden müssen, bevor der Zugriff auf eine Seite, eine Anwendung oder bestimme Daten gewährt wird.

Eine simple Zwei-Faktor-Authentifizierung erfordert also zwei von drei Variablen:

  • Etwas, dass der Nutzer kennt (so wie ein E-Mail-Passwort)
  • Etwas, dass der Nutzer mit sich führt (eine Bankkarte oder einen Authentifizierungs-Token – egal ob als Hardware oder digital)
  • Etwas Nutzerspezifisches mit biometrischen Kennzeichen (z.B. der Fingerabdruck oder das Irismuster)

Eine Zwei-Faktor-Authentifizierung mindert die Bedrohung durch Distanzangriffe durch Cyber-Kriminelle deutlich. Schließlich ist es sehr unwahrscheinlich, dass ein Hacker auch Zugriff auf die weitere Komponente der Authentifizierung besitzt.

GRID LIST
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Jürgen Jakob

Anti-Malware & E-Mail Security nach wie vor unverzichtbar | Statement

Im digitalen Zeitalter sind die Sicherheitsbedrohungen für IT-Systeme zahlreich und…
Smart House

Smarte Geräte: Schadprogramme und Defizite bei Privatsphäre

Ob smarte Lautsprecher, smarte Armbanduhren, Überwachungskameras oder das komplette Smart…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet