Jedes Jahr am ersten Donnerstag im Mai ist Welt-Passwort-Tag, und für Sicherheitsexperten ist dieser Tag oft ein wenig deprimierend. Trotz jahrelanger Warnungen, Datenschutzverletzungen und Kampagnen zur Sensibilisierung für Cybersicherheit verlassen sich immer noch viele Menschen auf schwache, vorhersehbare und wiederverwendete Passwörter.

Die Botschaft dringt nicht durch

Die am häufigsten verwendeten Passwörter haben sich in mehr als einem Jahrzehnt kaum verändert. Variationen von "123456", "password", "qwerty" und andere leicht zu erratende Kombinationen erscheinen weiterhin Jahr für Jahr an der Spitze der weltweiten Listen. Die Technologie hat sich zwar schnell weiterentwickelt, die Passwortgewohnheiten jedoch oft nicht.

Für Cyberkriminelle ist dies ein einfacher Weg, um in private und geschäftliche Konten einzudringen. Angreifer wissen, dass viele Benutzer immer noch die Bequemlichkeit über die Sicherheit stellen, und sie nutzen dieses Verhalten aktiv aus, indem sie Anmeldedaten ausfüllen, Brute-Force-Angriffe durchführen und Phishing-Kampagnen durchführen.

Die Gefahr schwacher und wieder verwendeter Passwörter

Ein schwaches Kennwort ist schon schlimm genug. Ein wiederverwendetes Passwort ist oft noch schlimmer.

Wenn auf einer Website eine Sicherheitslücke auftritt, werden die gestohlenen Benutzernamen und Passwörter schnell auf Bank-, E-Mail-, Cloud-Speicher- und Arbeitsplatzplattformen getestet. Wenn ein und dasselbe Passwort wiederverwendet wurde, kann ein einziger Einbruch mehrere Konten freischalten.

Für Unternehmen können wiederverwendete Passwörter zu kompromittierten Microsoft 365-Konten, ungeschütztem VPN-Zugang, Kompromittierung von geschäftlichen E-Mails und unbefugtem Zugriff auf sensible Daten führen. In vielen Fällen benötigen die Angreifer keine ausgeklügelte Malware. Sie melden sich einfach mit gültigen Anmeldedaten an.

Bei Integrity360 stellen wir regelmäßig fest, dass identitätsbasierte Angriffe nach wie vor eine der schnellsten und effektivsten Möglichkeiten für Angreifer sind, sich Zugang zu verschaffen. Während Unternehmen ihre Sicherheitsvorkehrungen verbessern, zielen Kriminelle zunehmend auf Benutzer, Anmeldedaten und Schwachstellen bei der Authentifizierung ab.

Warum Passwörter weiterhin ein Problem darstellen

Passwörter erlegen den Benutzern zu viel Verantwortung auf. Von ihnen wird erwartet, dass sie Dutzende einzigartiger, komplexer Kombinationen erstellen, sich diese merken, sie aktualisieren und es vermeiden, sie aufzuschreiben.

Das führt oft zu einem vertrauten Verhalten:

• Kurze oder einprägsame Passwörter zu wählen
• Wiederverwendung desselben Passworts für mehrere Dienste
• Nur geringfügige Änderungen vornehmen, wenn man zum Zurücksetzen aufgefordert wird
• Unsichere Speicherung von Passwörtern in Notizen oder Tabellenkalkulationen

Selbst wenn Unternehmen Passwortrichtlinien durchsetzen, werden diese oft ignoriert oder umgangen.

Der Wechsel des NCSC zu Passwörtern

Kürzlich hat das National Cyber Security Centre (NCSC) des Vereinigten Königreichs dazu aufgerufen, von Passwörtern abzurücken und stattdessen Passwörter zu verwenden, wo immer dies möglich ist, und bezeichnet dies als eine wichtige Änderung der langjährigen Sicherheitspraxis.

Passkeys sind eine neuere Form der Authentifizierung, bei der man sich keine Passwörter mehr merken muss. Anstatt sich auf ein gemeinsames Geheimnis zu verlassen, verwenden sie die Kryptographie mit öffentlichen Schlüsseln. Ein Schlüssel verbleibt sicher auf dem Gerät des Nutzers, während der dazugehörige öffentliche Schlüssel von dem Dienst, auf den zugegriffen wird, gespeichert wird.

In der Praxis melden sich die Nutzer oft mit etwas an, das bereits in ihr Gerät eingebaut ist, wie Face ID, Fingerabdruckerkennung oder eine PIN.

Da kein Passwort eingegeben werden muss, können Passkeys das Risiko von Phishing, Passwortdiebstahl und der Wiederverwendung von Anmeldeinformationen erheblich verringern. Jeder Passkey ist für die Website oder App, für die er erstellt wurde, einzigartig, so dass es für Angreifer viel schwieriger ist, ihn über mehrere Dienste hinweg auszunutzen.

Der NCSC hat Passkeys als eine benutzerfreundlichere Option beschrieben, die auch die allgemeine Widerstandsfähigkeit verbessern kann.

Passkeys sind nicht die ganze Antwort

Passkeys sind eine Alternative, werden aber noch nicht von allen Plattformen unterstützt. Wenn Benutzer den Zugang zu ihren Geräten verlieren, kann es zu Problemen bei der Wiederherstellung kommen. Unternehmen benötigen außerdem klare Prozesse für die Registrierung, die Geräteverwaltung und die Wiederherstellung von Konten.

Das bedeutet, dass Unternehmen Passkeys als Teil einer umfassenderen Identitätssicherheitsstrategie und nicht als eigenständige Lösung betrachten sollten.

Einblick von Integrity360: Identität ist die neue Frontlinie

Wir von Integrity360 raten Unternehmen, Authentifizierung als kritische Sicherheitskontrolle zu betrachten. Unabhängig davon, ob Passwörter, Passkeys oder eine Mischung aus beidem verwendet werden, sollte der Schwerpunkt auf der Reduzierung des Identitätsrisikos liegen.

Das beinhaltet:

• Aktivierung der Multi-Faktor-Authentifizierung für alle wichtigen Dienste
• Einsatz von Passwortmanagern für Benutzer, die weiterhin Passwörter benötigen
• Überwachung auf kompromittierte Anmeldedaten im Dark Web
• Erkennung von verdächtigem Anmeldeverhalten durch MDR- und SOC-Dienste
• Implementierung von Passkeys, wo unterstützt
• Schulung der Benutzer zur Erkennung von Phishing-Versuchen

Die Zukunft wird wahrscheinlich passwortlos sein, aber die meisten Unternehmen befinden sich noch in einer Übergangsphase. In dieser Zeit werden es Angreifer weiterhin auf schwache Anmeldedaten abgesehen haben, wo immer sie diese finden. Wenn Ihre Passwörter immer noch einfach, wiederverwendet oder seit Jahren unverändert sind, ist es jetzt an der Zeit zu handeln. Starke, eindeutige Passwörter, MFA und Passkeys können das Risiko drastisch reduzieren.

Passwörter werden zwar nicht über Nacht verschwinden, aber ihre Vorherrschaft geht zu Ende. Die Unternehmen und Einzelpersonen, die frühzeitig modernisieren, werden weitaus besser in der Lage sein, sicher zu bleiben.

Brauchen Sie Hilfe bei Ihrer Cybersicherheit? Kontaktieren Sie unsere Experten noch heute.