Warum Passwort-Hygiene einen Neustart braucht

Cyber Security News

In der heutigen digitalen Welt ist die Sicherheit von Passwörtern wichtiger denn je. Während Biometrie, One-Time-Passwörter (OTP) und andere neue Formen der Authentifizierung oft als Ersatz für das traditionelle Passwort angepriesen werden, ist dieses Konzept heute mehr ein Marketing-Hype als alles andere.

Aber nur weil Passwörter in absehbarer Zeit nicht verschwinden werden, heißt das nicht, dass Unternehmen ihren Ansatz zur Passworthygiene nicht jetzt schon modernisieren müssen.

Die Krise der kompromittierten Zugangsdaten

Das Sicherheitsteam von Microsoft drückt es so aus: “Es genügt ein einziger kompromittierter Zugangscode, um eine Datenpanne zu verursachen.” In Verbindung mit dem weit verbreiteten Problem der Wiederverwendung von Passwörtern können kompromittierte Passwörter erhebliche und lang anhaltende Auswirkungen auf die Unternehmenssicherheit haben.

Tatsächlich fanden Forscher der Virginia Tech University heraus, dass über 70 % der Benutzer ein kompromittiertes Passwort für andere Konten bis zu einem Jahr nach dem ersten Leck verwendeten, wobei 40 % Passwörter wiederverwendeten, die vor mehr als drei Jahren durchgesickert waren.

Während die Herausforderung kompromittierter Anmeldedaten für die meisten IT-Verantwortlichen nicht gerade neu ist, werden sie vielleicht überrascht sein, dass ihre Versuche, das Problem zu lösen, oft weitere Sicherheitslücken schaffen.

Nachfolgend sind nur einige Beispiele für traditionelle Ansätze aufgeführt, die die Passwortsicherheit schwächen können: Vorgeschriebene Passwort-Komplexität Periodisches Zurücksetzen des Passworts Beschränkungen der Passwortlänge und Zeichenverwendung Anforderungen an Sonderzeichen

Eine moderne Herangehensweise an die Passwortsicherheit

Angesichts der Schwachstellen, die mit diesen veralteten Ansätzen verbunden sind, hat das National Institute of Standards and Technology (NIST) seine Empfehlungen überarbeitet, um modernere Best Practices für die Passwortsicherheit zu fördern. Den jüngsten Empfehlungen des NIST liegt die Erkenntnis zugrunde, dass menschliche Faktoren oft zu Sicherheitslücken führen, wenn Benutzer gezwungen sind, ein Passwort zu erstellen, das bestimmten Komplexitätsanforderungen entspricht, oder gezwungen sind, es regelmäßig zurückzusetzen.

Wenn Benutzer z. B. aufgefordert werden, Sonderzeichen und Zahlen zu verwenden, wählen sie vielleicht etwas Einfaches wie “P@ssword1”; eine Anmeldeinformation, die eindeutig üblich ist und von Hackern leicht ausgenutzt werden kann. Ein weiterer veralteter Ansatz, der sich negativ auf die Sicherheit auswirken kann, sind Richtlinien, die die Verwendung von Leerzeichen oder verschiedenen Sonderzeichen in Passwörtern verbieten. Wenn Sie wollen, dass Ihre Benutzer ein starkes, einzigartiges Kennwort erstellen, das sie sich leicht merken können, warum sollten Sie dann Beschränkungen auferlegen, was das sein könnte?

Darüber hinaus empfiehlt das NIST jetzt, Passwörter nicht regelmäßig zurückzusetzen, sondern nur dann zu ändern, wenn es Hinweise auf eine Kompromittierung gibt.

Die Rolle von Lösungen zur Überprüfung von Anmeldeinformationen

Wie können Unternehmen also auf Anzeichen einer Kompromittierung achten? Indem sie eine weitere NIST-Empfehlung übernehmen, nämlich die, dass Unternehmen Passwörter laufend mit schwarzen Listen abgleichen, die häufig verwendete und kompromittierte Anmeldedaten enthalten.

Dies mag einfach klingen, aber es ist wichtig, die richtige Lösung zum Screening kompromittierter Anmeldeinformationen für die heutige verschärfte Bedrohungslandschaft auszuwählen.

Kein Ersatz für Dynamik

Es gibt zahlreiche statische Blacklists, die online verfügbar sind, und einige Unternehmen erstellen sogar ihre eigenen. Da jedoch zahlreiche Datenschutzverletzungen in Echtzeit stattfinden, werden neu kompromittierte Anmeldedaten kontinuierlich im Dark Web veröffentlicht und stehen Hackern für ihre laufenden Angriffe zur Verfügung. Bestehende Blacklists oder solche, die nur in regelmäßigen Abständen im Laufe des Jahres aktualisiert werden, sind dieser hochsensiblen Umgebung einfach nicht gewachsen.

Die dynamische Lösung von Enzoic gleicht Anmeldedaten mit einer proprietären Datenbank ab, die mehrere Milliarden Passwörter enthält, die bei Datenschutzverletzungen aufgedeckt und in Cracking-Wörterbüchern gefunden wurden. Da die Datenbank mehrmals täglich automatisch aktualisiert wird, haben Unternehmen die Gewissheit, dass ihre Passwortsicherheit den neuesten Erkenntnissen über Sicherheitsverletzungen entspricht, ohne dass die IT-Abteilung zusätzliche Arbeit leisten muss.

Die Überprüfung von Anmeldedaten sowohl bei ihrer Erstellung als auch die kontinuierliche Überwachung ihrer Integrität danach ist ebenfalls ein wichtiger Bestandteil eines modernen Ansatzes zur Passwortsicherheit. Sollte ein zuvor sicheres Passwort im Laufe der Zeit kompromittiert werden, können Unternehmen die entsprechenden Maßnahmen automatisieren – zum Beispiel ein Zurücksetzen des Passworts bei der nächsten Anmeldung erzwingen oder den Zugang komplett sperren, bis die IT-Abteilung das Problem untersucht hat.

Der Weg nach vorn

Auch wenn die NIST-Richtlinien häufig als Grundlage für Best-Practice-Empfehlungen in der Sicherheitsbranche dienen, liegt es letztendlich an den Sicherheitsverantwortlichen, zu bestimmen, was für ihre individuellen Bedürfnisse am besten geeignet ist, und ihre Strategien entsprechend anzupassen.

Je nach Branche, Unternehmensgröße und anderen Faktoren sind vielleicht einige der Empfehlungen nicht für Ihr Unternehmen geeignet.

Aber angesichts der täglichen Flut von Cyberangriffen, die keine Anzeichen eines Nachlassens zeigen und häufig mit Passwortschwachstellen in Verbindung gebracht werden, ist es nicht leicht, sich eine Organisation vorzustellen, die nicht von der zusätzlichen Sicherheitsebene profitieren würde, die eine Überprüfung der Anmeldeinformationen bietet.

Erfahren Sie mehr über die dynamische Passwort-Bedrohungsanalyse von Enzoic und wie sie Ihnen helfen kann, Ihren Ansatz zur Passwort-Hygiene neu zu gestalten.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com