Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Passwort Sobald Hacker Zugang auf eine E-Mail-Adresse beziehungsweise Benutzernamen und ein Passwort haben, steht ihnen eine Welt voller Möglichkeiten offen. Die Gefahren beschränken sich nicht nur auf das im ersten Schritt kompromittierte User-Konto. Dr. Amir Alsbih von KeyIdentitiy, gibt Tipps wie Nutzer ihre Accounts besser absichern können:

Die nächsten Schritte der Cyber-Kriminellen umfassen in der Regel neben dem Verkauf der Daten auch sogenanntes "Credential Stuffing"; die Hacker nehmen die Anmeldedaten des beeinträchtigten Nutzerkontos und versuchen damit auf weitere Konten zuzugreifen. Dadurch, dass ein erheblicher Teil der Benutzer das gleiche Passwort für mehrere Webseiten und Applikationen benutzt, kann die Kompromittierung eines Benutzeraccounts zum Verlustsämtlicher digitaler Identitäten führen.

1. Immer ein einzigartiges Password für jede einzelne Anwendung verwenden

Die Anforderungen an Passwörter werden immer komplizierter und Zugangsdaten lassen sich so natürlich auch immer schlechter merken. Die OWASP als de-facto Standard für die Sicherheit von Web-Applikationen schreibt beispielsweise vor, dass Passwörter 3 von 4 Komplexitätsregeln (also die Verwendung von Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) entsprechen müssen und dabei mindestens 10 Zeichen lang sein sollten, sowie nicht mehr als zwei identische Zeichen aufeinanderfolgend haben dürfen. Um diese Anforderung zu erfüllen, empfiehlt es sich einen Merksatz zu bilden: „Auf meiner Yacht schimmert ein Logo von EBAY (Anbieter), was meine Frau seit 10 Jahren erfreut“. Nun nimmt man die Anfangsbuchstaben sowie den Namen des Anbieters und erhält: AmYseLvEBAY,wmFs10Je – alle Komplexitätsanforderungen sind somit erfüllt. Welchen (kürzeren) Merksatz man wählt und an welcher Stelle man den Anbieter einfügt, ist dabei irrelevant. Es zählt lediglich das Prinzip, mit dem man sichere individuelle Passwörter bildet.

2. Unbedingt die Datenschutzeinstellungen der eigenen Social Media-Konten prüfen

Man sollte davon ausgehen, dass jeder Nutzer sich ausreichend über die Datenschutzeinstellungen seiner Social Media-Kanäle informiert. Die meisten tun das allerdings nicht. Die Aktivierung ist allerdings der erste Schritt um seine eigenen Nutzerdaten zu schützen. Denn genau hier sammeln Datendiebe Informationen, wie den Namen Ihrer Katze, Ihr Geburtsdatum und weitere Angaben die ihnen bei der Entschlüsselung zu einfacher Passwörter helfen oder die sie für virtuellen Identitätsdiebstahl („Social Engineering“) nutzen können.

3. Das Passwort weder bewusst noch unbewusst teilen

Kein Anbieter eines Service wird jemals um die Herausgabe eines Passworts bitten. Insofern können jegliche Bitten direkt als Versuch aufgefasst werden, die digitale Identität zu stehlen. Das eigene Passwort lässt sich gut mit der eigenen Zahnbürste vergleichen − die möchte man doch auch nicht mit anderen Menschen teilen, auch wenn sie danach fragen. Wichtig ist außerdem, dass man sein Passwort nur eingibt, wenn die Übertragung zur Applikation oder Webseite auf Netzwerkebene verschlüsselt ist. Das erkennt man einfach an dem grünen (geschlossenen) Schloss sowie der Angabe HTTPS vor der URL in der Adresszeile des Browsers. Auf diese Weise wird verhindert, das Dritte Zugangsdaten einfach mitlesen können.

4. Besser keine zu einfache Antwort für die obligatorische „Ich habe mein Passwort vergessen“-Frage eingeben

Bei der Erstellung eines Nutzerkontos muss man häufig eine Sicherheitsfrage beantworten, die dann zum Tragen kommt, wenn man sein Passwort vergessen hat. Ein Beispiel: „Wie lautet der Name Ihres Hundes?“ In Zeiten von Facebook, Instagram, Google und Co. ist die Antwort auf diese Frage allerdings auch leicht für Außenstehende herauszufinden. Besser sind von der Frage unabhängige Antworten, wie „Ich liebe Firmen, die es Angreifern leichtmachen, meine Identität zu stehlen.“ Doch auch hier gilt: Nicht bei jedem Konto dieselbe Antwort verwenden.

5. Bei sensitiven Accounts Zwei-Faktor-Authentifizierung verwenden

Benutzeridentitäten, die besonders schützenswert sind, beispielsweise jene mit denen sich Zahlungen auslösen lassen oder die über besonders sensitive Informationen verfügen, sollten mit einer Zwei-Faktor-Authentifizierung abgesichert werden, so lange es vom Anbieter ermöglicht wird. Durch die Verwendung eines weiteren Faktors, reicht die Kenntnis des Benutzernamens und des Passworts nicht mehr aus, wodurch sich das Schadensausmaß reduzieren lässt. Insbesondere die Nutzung von Push-Tokens erhöht die Sicherheit unter Minimierung des Aufwandes für den Benutzer.

Auch Unternehmen können aktiv zum Schutz von Nutzerkonten ihrer Mitarbeiter oder Kunden beitragen. Die Nutzung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung macht Identitätsdiebstahl nämlich fast unmöglich. Einfach ausgedrückt bedeutet dies, dass weitere Authentifizierungskriterien erfüllt werden müssen, bevor der Zugriff auf eine Seite, eine Anwendung oder bestimme Daten gewährt wird.

Eine simple Zwei-Faktor-Authentifizierung erfordert also zwei von drei Variablen:

  • Etwas, dass der Nutzer kennt (so wie ein E-Mail-Passwort)
  • Etwas, dass der Nutzer mit sich führt (eine Bankkarte oder einen Authentifizierungs-Token – egal ob als Hardware oder digital)
  • Etwas Nutzerspezifisches mit biometrischen Kennzeichen (z.B. der Fingerabdruck oder das Irismuster)

Eine Zwei-Faktor-Authentifizierung mindert die Bedrohung durch Distanzangriffe durch Cyber-Kriminelle deutlich. Schließlich ist es sehr unwahrscheinlich, dass ein Hacker auch Zugriff auf die weitere Komponente der Authentifizierung besitzt.

GRID LIST
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Smarte News aus der IT-Welt