VERANSTALTUNGEN

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

ELO Solution Day - Stuttgart
18.10.18 - 18.10.18
In Kornwestheim (bei Stuttgart)

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

Passwort Sobald Hacker Zugang auf eine E-Mail-Adresse beziehungsweise Benutzernamen und ein Passwort haben, steht ihnen eine Welt voller Möglichkeiten offen. Die Gefahren beschränken sich nicht nur auf das im ersten Schritt kompromittierte User-Konto. Dr. Amir Alsbih von KeyIdentitiy, gibt Tipps wie Nutzer ihre Accounts besser absichern können:

Die nächsten Schritte der Cyber-Kriminellen umfassen in der Regel neben dem Verkauf der Daten auch sogenanntes "Credential Stuffing"; die Hacker nehmen die Anmeldedaten des beeinträchtigten Nutzerkontos und versuchen damit auf weitere Konten zuzugreifen. Dadurch, dass ein erheblicher Teil der Benutzer das gleiche Passwort für mehrere Webseiten und Applikationen benutzt, kann die Kompromittierung eines Benutzeraccounts zum Verlustsämtlicher digitaler Identitäten führen.

1. Immer ein einzigartiges Password für jede einzelne Anwendung verwenden

Die Anforderungen an Passwörter werden immer komplizierter und Zugangsdaten lassen sich so natürlich auch immer schlechter merken. Die OWASP als de-facto Standard für die Sicherheit von Web-Applikationen schreibt beispielsweise vor, dass Passwörter 3 von 4 Komplexitätsregeln (also die Verwendung von Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) entsprechen müssen und dabei mindestens 10 Zeichen lang sein sollten, sowie nicht mehr als zwei identische Zeichen aufeinanderfolgend haben dürfen. Um diese Anforderung zu erfüllen, empfiehlt es sich einen Merksatz zu bilden: „Auf meiner Yacht schimmert ein Logo von EBAY (Anbieter), was meine Frau seit 10 Jahren erfreut“. Nun nimmt man die Anfangsbuchstaben sowie den Namen des Anbieters und erhält: AmYseLvEBAY,wmFs10Je – alle Komplexitätsanforderungen sind somit erfüllt. Welchen (kürzeren) Merksatz man wählt und an welcher Stelle man den Anbieter einfügt, ist dabei irrelevant. Es zählt lediglich das Prinzip, mit dem man sichere individuelle Passwörter bildet.

2. Unbedingt die Datenschutzeinstellungen der eigenen Social Media-Konten prüfen

Man sollte davon ausgehen, dass jeder Nutzer sich ausreichend über die Datenschutzeinstellungen seiner Social Media-Kanäle informiert. Die meisten tun das allerdings nicht. Die Aktivierung ist allerdings der erste Schritt um seine eigenen Nutzerdaten zu schützen. Denn genau hier sammeln Datendiebe Informationen, wie den Namen Ihrer Katze, Ihr Geburtsdatum und weitere Angaben die ihnen bei der Entschlüsselung zu einfacher Passwörter helfen oder die sie für virtuellen Identitätsdiebstahl („Social Engineering“) nutzen können.

3. Das Passwort weder bewusst noch unbewusst teilen

Kein Anbieter eines Service wird jemals um die Herausgabe eines Passworts bitten. Insofern können jegliche Bitten direkt als Versuch aufgefasst werden, die digitale Identität zu stehlen. Das eigene Passwort lässt sich gut mit der eigenen Zahnbürste vergleichen − die möchte man doch auch nicht mit anderen Menschen teilen, auch wenn sie danach fragen. Wichtig ist außerdem, dass man sein Passwort nur eingibt, wenn die Übertragung zur Applikation oder Webseite auf Netzwerkebene verschlüsselt ist. Das erkennt man einfach an dem grünen (geschlossenen) Schloss sowie der Angabe HTTPS vor der URL in der Adresszeile des Browsers. Auf diese Weise wird verhindert, das Dritte Zugangsdaten einfach mitlesen können.

4. Besser keine zu einfache Antwort für die obligatorische „Ich habe mein Passwort vergessen“-Frage eingeben

Bei der Erstellung eines Nutzerkontos muss man häufig eine Sicherheitsfrage beantworten, die dann zum Tragen kommt, wenn man sein Passwort vergessen hat. Ein Beispiel: „Wie lautet der Name Ihres Hundes?“ In Zeiten von Facebook, Instagram, Google und Co. ist die Antwort auf diese Frage allerdings auch leicht für Außenstehende herauszufinden. Besser sind von der Frage unabhängige Antworten, wie „Ich liebe Firmen, die es Angreifern leichtmachen, meine Identität zu stehlen.“ Doch auch hier gilt: Nicht bei jedem Konto dieselbe Antwort verwenden.

5. Bei sensitiven Accounts Zwei-Faktor-Authentifizierung verwenden

Benutzeridentitäten, die besonders schützenswert sind, beispielsweise jene mit denen sich Zahlungen auslösen lassen oder die über besonders sensitive Informationen verfügen, sollten mit einer Zwei-Faktor-Authentifizierung abgesichert werden, so lange es vom Anbieter ermöglicht wird. Durch die Verwendung eines weiteren Faktors, reicht die Kenntnis des Benutzernamens und des Passworts nicht mehr aus, wodurch sich das Schadensausmaß reduzieren lässt. Insbesondere die Nutzung von Push-Tokens erhöht die Sicherheit unter Minimierung des Aufwandes für den Benutzer.

Auch Unternehmen können aktiv zum Schutz von Nutzerkonten ihrer Mitarbeiter oder Kunden beitragen. Die Nutzung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung macht Identitätsdiebstahl nämlich fast unmöglich. Einfach ausgedrückt bedeutet dies, dass weitere Authentifizierungskriterien erfüllt werden müssen, bevor der Zugriff auf eine Seite, eine Anwendung oder bestimme Daten gewährt wird.

Eine simple Zwei-Faktor-Authentifizierung erfordert also zwei von drei Variablen:

  • Etwas, dass der Nutzer kennt (so wie ein E-Mail-Passwort)
  • Etwas, dass der Nutzer mit sich führt (eine Bankkarte oder einen Authentifizierungs-Token – egal ob als Hardware oder digital)
  • Etwas Nutzerspezifisches mit biometrischen Kennzeichen (z.B. der Fingerabdruck oder das Irismuster)

Eine Zwei-Faktor-Authentifizierung mindert die Bedrohung durch Distanzangriffe durch Cyber-Kriminelle deutlich. Schließlich ist es sehr unwahrscheinlich, dass ein Hacker auch Zugriff auf die weitere Komponente der Authentifizierung besitzt.

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt