zurück zur Übersicht

1-2-3-4-5 ist doch sicher genug… oder?

login_bNahezu alles wird heutzutage mit Passwörtern gesichert. Jeder einzelne Nutzer muss täglich eine große Anzahl Passwörter verwenden, viele davon zuvor auswendig gelernt.

Wozu dies führt ist klar: Es werden einfache Passwörter verwendet, Wörter, Zahlenkombinationen wie Geburtstage oder immer wieder das gleiche für verschiedene Accounts.

Das Passwort ist [kein] Witz

Ein Zitat aus dem Mel Brooks – Filmklassiker „Spaceballs“ von 1987 bringt es – zugegebenermaßen etwas derb – auf den Punkt:

„Dann heißt die Kombination also: 1-2-3-4-5? Also, so eine dämliche Kombination hab ich noch nie vernommen! Nur ein Idiot würde für seinen Koffer so‘n Code verwenden!“

Eigentlich sollte man denken, dass diese Weisheit sich durchgesetzt hat. Computer und Passwörter sind etabliert, jeder sollte sich ausreichend damit auskennen. Der Fall „Ashley Madison“ indes beweist einmal mehr das Gegenteil.

Beliebt seit jeher: „123456“ und „password“

Die Daten dieses Hacks sind mittlerweile im Internet und viele Parteien analysieren und bearbeiten sie. So wurden unter anderem auch die Passwörter per Brute Force Verfahren entschlüsselt (http://www.thesecurityblogger.com/ashley-madison-password-analysis-most-common-weak-passwords/). Auch wenn die Datenanalyse nicht zu hundert Prozent verlässlich ist ergeben die Resultate dennoch eine interessante Statistik: Neben vielen weiteren sehr einfachen Passwörtern, verwendeten die Nutzer vor allem diese: „password“, „default“ und tatsächlich „12345“ und „123456“! Selbst wenn diese Analyse nur einen kleinen Einblick in die aktuell verwendeten Passwörter bei privaten Accounts darstellt, so ist dies dennoch sehr bedenklich. Wenn Privatpersonen solche Passwörter für eine heikle Angelegenheit wie einen Account auf einer Seitensprung-Webseite verwenden – wie sicher sind dann die Passwörter die sie im Unternehmen verwenden? Und noch weitergehend: Was wenn sie im Unternehmen sogar die identischen Passwörter wie für private – und meist wesentlich schlechter gesicherte – Accounts verwenden?

Auch Firmenaccounts sind bedroht

Password Policies und regelmäßige, zwangsweise Erneuerungen nach einer bestimmten Zeit sind eine etablierte Gegenmaßnahme. Doch selbst damit ist es noch möglich, relativ simple Passwörter zu verwenden. Auch immer wieder ähnliche Passwörter sind weiterhin möglich, denn meist reicht die Änderung einer Zahl. Die Verwendung identischer Passwörter für mehrere Accounts wird meist gar nicht betrachtet. Das ist vor allem deswegen kritisch, weil oft das Knacken eines einzelnen Accounts ausreicht um gleich zu mehreren anderen Zugang zu erhalten. Ein einziger Account mit einem unsicheren Authentifizierungsverfahren kann so auch gut geschützte Strukturen anderswo kompromittieren. Wie kann dieses Problem angegangen werden? Vor allem im Hinblick auf privilegierte Accounts darf es nicht ignoriert werden. Eine Schulung der Nutzer ist sicherlich hilfreich und kann positive Effekte haben.

Vertrauen ist gut – Automatisierung ist besser.

Doch auch eine Schulung wird nicht jeden davon abhalten sich genauso zu verhalten wie zuvor. Es bedarf automatisierter Lösungen, die Passwörter unabhängig von den Nutzern verwalten. Somit kann sichergestellt werden, dass die Passwörter regelmäßig erneuert werden, dass es sich um lange, sichere und vor allem auch um unterschiedliche Passwörter handelt. Ein System das diese Möglichkeiten bietet ist beispielsweise CyberArk. Es stellt zusätzlich sicher, dass die Passwörter sicher abgespeichert und abgerufen werden. Auch welcher Nutzer zu welchem Zeitpunkt den Account verwendet hat ist überprüfbar. Daneben bietet CyberArk noch weit mehr Features rund um privilegierte Accounts und deren Sicherung. (https://www.it-cube.net/de/it-security-portfolio/applications-database/privileged-identity-management/).

Experten können bei der Auswahl und Konfiguration der passenden Lösung oder der Integration in die vorhandene Security-Infrastruktur unterstützen. Das Zusammenspiel von Privileged Identity Management beispielsweise mit Security Information and Event Management Systemen (SIEM) kann ein Firmennetzwerk hervorragend vor Attacken auf schwache Passwörter schützen.


Links:

http://www.thesecurityblogger.com/ashley-madison-password-analysis-most-common-weak-passwords/
https://www.it-cube.net/de/it-security-portfolio/applications-database/privileged-identity-management/

Schreibe einen Kommentar