Galerie: Das Wunschdenken vom „starken“ Passwort
Galerie: Der erste Donnerstag im Mai steht jedes Jahr ganz im Zeichen der Sicherheit. Von Intel einst ins Leben gerufen, hat der World Password Day mittlerweile mehr Relevanz denn je. Damit soll an einen verantwortungsvollen Umgang mit Passwörtern erinnert werden. 15 IT-Security-Experten geben Rat.
Am 4. Mai ist wieder Welt-Passwort-Tag. Er soll auf einen verantwortungsvollen Umgang mit Passwörtern aufmerksam machen. Doch sind Passwörter wirklich noch das Mittel der Wahl? 15 Security-Experten geben Auskunft.
Ein starkes Passwort ist die erste Verteidigungslinie
Dan Schiappa, Chief Product Officer bei Arctic Wolf
„Im Rahmen des World Password Day sollten Führungskräfte die Gelegenheit nutzen, ihre Mitarbeitenden und User daran zu erinnern, wie wichtig starke Passwörter sind. Genauso entscheidend sind zusätzliche Sicherheitsmaßnahmen, die verhindern, dass Angreifer eine Schwachstelle ausnutzen, um in Unternehmensinfrastrukturen einzudringen. Ein starkes Passwort ist die erste Verteidigungslinie. Wenn es jedoch in einer unsicheren Tabelle oder an einem leicht zugänglichen Ort gespeichert ist, hilft auch das stärkste Passwort nichts. MFA ist entscheidend, um einfache und komplexe Passwörter zu schützen. Nutzer sollten Passwörter nicht wiederverwenden. Vor allem müssen unterschiedliche Zugangsdaten für berufliche und private Geräte und Konten verwendet werden. Ein Passwortmanager als Tresor für alle Anmeldedaten ist ebenfalls ein wichtiges Hilfsmittel. Schließlich ist stets Vorsicht geboten: Wenn ein E-Mail-Link auf ein Formular zur Passworteingabe weiterleitet, sollten User zweimal nachdenken, bevor sie ihre Anmeldedaten eingeben.“
Ein Schritt in die passwortlose Welt
Eve Maler, CTO bei Forgerock:
„Durch die Nutzung von passwortfreien und KI-gestützten Authentifizierungslösungen können Unternehmen die Risiken eliminieren, die durch die Interaktion mit Passwörtern entstehen und sich so besser vor kostspieligen Cyber-Angriffen und unberechtigten Zugriffen schützen. Gleichzeitig müssen sich Nutzer nicht mehr mit Passwörtern herumschlagen, da der passwortlose Zugang auf etwas basiert, das man hat oder ist - und nicht mehr auf etwas, das man weiß. Dies macht nicht nur die Benutzererfahrung nahtloser, intelligenter und sicherer, sondern reduziert auch IT-Aufwand und Betriebskosten. Laut Gartner werden bis 2025 mehr als 50 Prozent der Mitarbeiter- und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen passwortlos sein. Damit ist es an der Zeit, dass Unternehmen einen Schritt in Richtung passwortlose Welt machen.“
„Welt-kein-Passwort-Tag“
Chris Meidinger, Technical Director EMEA, Beyond Identity
„Jedes Jahr zelebrieren wir den Welt-Passwort-Tag, während Cyberkriminelle fröhlich die Schwachstellen des Passworts ausnutzen. Stattdessen sollten Organisationen diesen Tag als ‚Welt-kein-Passwort-Tag‘ betrachten und zum Anlass nehmen, eines der größten Einfallstore in der Unternehmenssicherheit zu schließen. Mit der Einführung von passwortlosen, Phishing-resistenten MFA-Technologien können Unternehmen es Angreifern deutlich erschweren, in ihre Netzwerke einzudringen - sogar mit erhöhter Benutzerfreundlichkeit. Moderne passwortlose, Phishing-resistente Multi-Faktor-Authentifizierung, die Biometrie und Passkeys auf der Grundlage der Fast Identity Online (FIDO)-Standards kombiniert, reduziert die mit Passwörtern verbundenen Risiken erheblich und macht es Kriminellen praktisch unmöglich, sich mit ihrem Lieblingswerkzeug Zugang zu wertvollen Unternehmensassets und sensiblen Daten zu verschaffen.“
Identitäten sind ein äußerst kritischer Angriffsvektor
David Higgins, EMEA Technical Director bei Cyberark
„Der Hinweis, dass Unternehmen ihre Passworthygiene und ihre allgemeine Sicherheit verbessern sollen, ist nicht neu. Und auch die Ratschläge, was zu tun ist, haben sich nicht geändert. Dennoch schlagen sich Unternehmen, die das Passwort-Management als Teil ihrer Identity-Security-Strategie immer noch nicht im Griff haben, im Jahr 2023 weiterhin mit altbekannten Identitätsproblemen herum. Die Folge: Sensible Daten und Vermögenswerte sind gefährdet. Deswegen müssen Unternehmen in diesem Jahr endlich mehr tun und schnell handeln. Eine CyberArk-Untersuchung zeigt, dass mehr als die Hälfte der Beschäftigten weltweit Zugang zu sensiblen Unternehmensdaten hat und dass der Zugriff in der Regel nicht ausreichend geschützt ist. Wir empfehlen, moderne Identitätsprotokolle zu verwenden und einen Sicherheitsansatz zu verfolgen, der auf dem Least-Privilege-Prinzip basiert. Diese ganzheitliche Methode zur Implementierung einer besseren Identitätssicherheit stärkt nicht nur den Passwortschutz eines Unternehmens, sondern bietet auch eine umfassende Sicherheit für Identitäten. Identitäten sind ein äußerst kritischer Angriffsvektor. Niemand muss heute noch ein Passwort sehen können, auch nicht beim Zugriff auf Anwendungen, die keine modernen Authentifizierungsprotokolle unterstützen.“
Reflektion der Passwort-Hygiene
Joseph Carson, Chief Security Scientist bei Delinea
„Der Welt-Passwort-Tag ist eine gute Gelegenheit, die unternehmenseigene Passwort-Hygiene wieder einmal zu reflektieren und anzupassen. Dies ist umso wichtiger, als der Großteil der Menschen – inklusive mir selbst – kein großer Fan von Passwörtern ist. Vor allem die Notwendigkeit, diese regelmäßig abändern und sich immer wieder aufs Neue ein tolles Passwort ausdenken zu müssen, das noch besser, länger und einzigartiger ist als das vorherige, führt schnell zu Frustration und Resignation. An diesem heutigen Welt-Passwort-Tag sollten wir uns daher einen Moment Zeit nehmen und darüber nachdenken, wie wir Passwörter aus unserem Leben verbannen beziehungsweise in den Hintergrund rücken können, um unser digitales Leben gleichzeitig bequemer und sicherer zu machen. Ein idealer Startpunkt hierfür ist die Verwendung eines Passwort-Managers.“
5 Grundsätze für wirklich sichere Passwörter
David Warburton, Direktor F5 Labs
„1. Nutzen Sie einen Passwortgenerator im Web, der völlig zufällige Wörter oder wirklich zufällige Zeichenketten für ein Passwort erstellen kann.
2. Verwenden Sie Passwörter nicht mehrfach! Ein Sicherheitsleck oder eine Datenpanne auf einer Website sollte nicht die Sicherheit aller Ihrer Online-Konten gefährden!
3. Verwenden Sie für jede Website und jeden Dienst ein eindeutiges Passwort um Verwechslungen zu vermeiden!
4. Nutzen Sie unbedingt einen Passwort-Manager! Dieser bietet die einzige realistische Möglichkeit, sich alle Passwörter zu „merken“ und jederzeit darauf zugreifen zu können.
5. Schützen Sie Ihre Zugänge durch eine Zwei-Faktor-Authentifizierung! Manchmal ist es unvermeidlich, dass Passwörter gestohlen oder durch Brute-Force-Attacken eines Computerprogramms ermittelt werden können. Ein zweiter Authentifizierungsfaktor, z. B. ein zeitbasierter Code in einer Handy-App, kann Angreifer daran hindern, Zugang zu Ihrem Konto zu erhalten, selbst wenn sie Ihr Passwort erraten haben.“
Passwort-Manager – Organisations-Tools und zusätzliche Sicherheitsmaßnahme
Henrik Nitsche, Security Solution Manager bei Jamf
„Einen Passwort-Manager zu nutzen, kann für Unternehmen wie Privatpersonen die Lösung darstellen: Die einzelnen Passwörter für verschiedene Webseiten, Konten und Anwendungen werden hier in einer einzigen Datenbank gespeichert, zu der nur der Nutzer mittels eines Master-Passworts Zugriff hat. Im Idealfall verfügt ein Passwort-Manager zudem über die Möglichkeit der Zwei-Faktor-Authentifizierung, um ein zusätzliches Level an Sicherheit zu gewährleisten.“
Es kann jeden treffen
Sascha Spangenberg, Global MSSP Solutions Architect bei Lookout
„Eine Datenschutzverletzung kann jedes Unternehmen treffen. Es ist daher ratsam, proaktiv zu handeln und alle persönlichen Informationen und geschäftskritischen Daten bestmöglich zu schützen. Eine der wichtigsten Maßnahmen ist die Verwendung sicherer Passwörter. Dies bedeutet zunächst, für jedes Konto ein eindeutiges und sicheres Kennwort zu erstellen, das Groß- und Kleinbuchstaben, Zahlen und Symbole enthält. Auf keinen Fall sollten Benutzer auf leicht zu erratenden Wörter wie den Klassiker ‚Passwort‘, naheliegende Abfolgen wie ‚1234‘ oder persönliche Angaben wie den Namen ihres Kindes zurückgreifen. Wer befürchtet, seine Passwörter zu verlieren oder zu vergessen, kann sich einen vertrauenswürdigen Passwort-Manager installieren. Passwortmanager-Apps helfen, sichere Passwörter zu erstellen und diese bei der Anmeldung automatisch einzufügen. Wenn Angreifer bei der Datenschutzverletzung die Zugangsdaten erbeutet haben, gilt es die Passwörter so schnell wie möglich zu ändern oder zu verstärken.“
Verantwortung für Passwortsicherheit nicht auf Mitarbeiter abwälzen
Mark Stockley, Cyber Evangelist bei Malwarebytes
„Anstatt die Verantwortung für die Passwortsicherheit auf die Mitarbeitenden abzuwälzen, sollten sich Unternehmen fragen, wie sie ihre Mitarbeitenden besser schützen können, ohne dass diese sich immer mehr Gedanken darüber machen müssen, welche Passwörter sie nutzen, wo sie diese speichern und wie oft sie diese verwenden. Dafür bieten sich zwei Maßnahmen an: Multi-Faktor-Authentifizierung (MFA) und Account Lockout Policy. Multi-Faktor-Authentifizierung (MFA) verhindert Credential Stuffing, Password Spraying und Brute-Force-Angriffe, indem zusätzlich zum Passwort weitere generierte Zugangsdaten verwendet werden. Mit einer Account Lockout Policy können zudem selbst die schwächsten Passwörter zum Hindernis für unbefugten Zugriff werden, indem sie den Account nach einer geringen Anzahl an fehlgeschlagenen Anmeldeversuchen vorsorglich sperren.“
Kryptografischer Schlüssel statt Passwort
Sergej Epp, CSO für die Region Zentraleuropa bei Palo Alto Networks
„Mit FIDO und zuletzt FIDO2 ist ein neuer Standard hervorgegangen, nachdem sich viele große Unternehmen zusammengesetzt haben, um das Passwortproblem zu lösen. Der Standard setzt statt auf das Passwort auf einen kryptografischen Schlüssel, der individuell für jede Website automatisch generiert wird über das Handy oder einen Schlüsselanhänger/Token. Benutzer können sich somit bei Applikationen und Websites anmelden, ohne jedes Mal ihr Passwort eingeben zu müssen. Individuelle kryptografische Schlüssel verhindern es, falls eine Website kompromittiert wurde, dass Hacker sich bei anderen Websites anmelden können.“
Die menschliche Komponente nicht außer Acht lassen
Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint
„Cyberkriminelle können unter Umständen an ihr Ziel gelangen, auch wenn komplexe Passwörter, MFA und Passwortmanager zum Einsatz kommen. Und zwar einfach, indem all diese Methoden und Technologien umgangen werden. Denn 95 Prozent aller Cybersicherheitsvorfälle lassen sich auf eine vorhergehende menschliche Interaktion zurückführen. Folglich ist es von kaum zu ermessender Bedeutung, dass alle Nutzer in einem Unternehmen wissen, wie sie Phishing nach Anmeldedaten erkennen können. Nur so lässt sich schlussendlich vermeiden, dass die eigene Organisation Opfer eines der vielen Cyberangriffe wird, die nach wie vor weiter zunehmen.“
Passwörter haben nicht ausgedient, sie werden Teil eines Zero-Trust-Ansatzes
Tobias Lauderbach, Enterprise Solution Engineer bei Ringcentral
„Selbst die beste Passwortkombination kann mittels Phishing-Angriffen, bei denen Nutzerinnen und Nutzer ihr Passwort freiwillig in eine dafür konstruierte, legitim anmutende Website eingeben, ausgehebelt werden. Diese Angriffe sind gefährlich, denn um sie zu verhindern, müssen Mitarbeitende aufmerksam sein und beim Anklicken verdächtiger Links Vorsicht walten lassen. Zudem erfordern sie Sicherheitsmaßnahmen, die diese Angriffsart erkennen können, bevor sie zu unbefugten Zugriffen auf Nutzerkonten führen. Das ideale Sicherheitskonzept kombiniert deshalb verschiedene Maßnahmen in einem Zero-Trust-Ansatz hinsichtlich Passwörter und externer Links. Dieser Ansatz umfasst stärkere Passwortkombinationen und ein Höchstmaß an Vorsicht dahingehend, was als vertrauenswürdig eingestuft wird und angeklickt werden darf.“
Es gibt hilfreiche Tools
Satnam Narang, Senior Staff Research Engineer bei Tenable
„Es ist nicht einfach, mehrere Hunderte von Passwörtern zu verwalten, weshalb es für den Einzelnen wichtig ist, Tools wie den in Apple eingebauten Schlüsselbund zum Speichern von Passwörtern zu nutzen, aber auch professionelle Lösungen zur Verwaltung von Passwörtern. Diese Tools können Nutzern dabei helfen starke und einzigartige Passwörter zu erstellen, die sie sich nicht merken müssen, und sie können Browsererweiterungen verwenden, um ihre Anmeldedaten automatisch in die richtige Website einzutragen. Trotz dieser weisen Ratschläge ist es wichtig, daran zu denken, dass Sicherheitsverletzungen und Phishing-Angriffe immer noch häufig vorkommen, so dass es nicht nur darum geht, sichere und eindeutige Passwörter. Der Einsatz von Funktionen wie Zwei-Faktor- oder Mehr-Faktor Authentifizierung (2FA beziehungsweise MFA) kann den Nutzern helfen, ihre Konten auch dann sicher bleiben, wenn ihre Passwörter auf irgendeine Weise offengelegt werden.“
Zero Trust muss die Basis unserer Cybersicherheit werden
Pantelis Astenburg, Vice President DACH bei Versa Networks
„Eine adäquate Sicherheitsstrategie umfasst Sicherheitslösungen, die die Bewegungsfreiheit von Eindringlingen einschränken und sicherstellen, dass jeder, der auf etwas zugreift, auch entsprechend authentifiziert ist. Eine effektive Technologie bietet hier die Sicherheitsarchitektur Secure-Access-Service-Edge, kurz SASE, die auf dem Zero-Trust-Prinzip beruht, und daher davon ausgeht, dass alle Benutzer – bis zum Beweis des Gegenteils – ein Risiko darstellen. Aus diesem Grund erhalten die Benutzer erst dann Zugang zum Netzwerk, wenn sie ordnungsgemäß identifiziert sind. Dabei ist es egal, ob die User remote arbeiten oder in den geschützteren Unternehmensumgebungen. Neben der Authentifizierung der Benutzer vor dem Zugriff auf das Netzwerk können die Benutzer zudem nur auf das zugreifen, was sie für die Ausübung ihrer jeweiligen Tätigkeit auch tatsächlich benötigen.“