English

Zwei-Faktor-Authentifizierung transformiert selbst 123456 in ein sicheres Passwort

von VPNHaus | 28.01.2015 |2 Factor Authentication, Rethink Remote Access

Seit 2011 rangieren dieselben zwei Passwörter ganz oben auf der Liste der von Nutzern am meisten verwendeten (und schlechtesten) Passwörter. Möchten Sie raten, welche das sind?

Um das herauszufinden, müssen Sie kein versierter Hacker sein: „123456“ und „password“ führen auch in diesem Jahr wieder die Liste an. Die gute Nachricht: Die Verwendungshäufigkeit speziell dieser beiden Passwörter ist beachtlich zurückgegangen – und zwar von 8,5 Prozent aller Passwörter im Jahr 2011 auf weniger als 1 Prozent heute.

Handelt es sich um Passwörter für ein persönliches Facebook- oder Tumblr-Konto, sind sie vermutlich noch ok. Diese so geschützten Konten sind eher unbedeutend und als Angriffsziele unwahrscheinlich. Hacker zögen keinen echten Gewinn aus einem Hack dieser Konten. Anders verhält es sich, wenn ein Nutzer ein E-Mail-Konto für seine Arbeit oder ein Kreditkartenkonto anlegt und dabei diese leicht zu knackenden Passwörter benutzt. Die Wahrscheinlichkeit, dass diese Konten ein Angriffsziel bieten, ist wesentlich höher.

Anstatt die Brute Force-Methode anzuwenden und wiederholt Passwörter auszuprobieren, brauchen Hacker hier kaum schwitzen oder sich abmühen. Sie können einfach „1-2-3-4-5-6“ oder „p-a-s-s-w-o-r-d“ eintippen und schon beim ersten Versuch erhalten sie Zugriff auf das Konto. Auf Knopfdruck öffnet sich ihnen schlagartig eine wahre Goldgrube.

Auf den ersten Blick verfügen Netzwerkadministratoren anscheinend über verschiedene Vorgehensweisen, mit denen sie diese Arten von schwachen Passwörtern verhindern und ihre Netzwerksicherheit verbessern können. Sie könnten versuchen, die Mitarbeiter zu schulen und sie die Best Practices im Zusammenhang mit der Anlage von Login-Daten zu lehren. Oder sie könnten ihnen Tools zur Verfügung stellen, die zufällige, sichere Passwörter generieren und diese anschließend für einen einfachen Abruf sicher speichern.

Das Problem bei jeder dieser Lösungen ist: Es sind lediglich temporäre Lösungen. Sie berücksichtigen den Faktor Mensch nicht vollends. Ein Mitarbeiter könnte diese Prozesse immer noch umgehen, sei es vorsätzlich, aus Bequemlichkeit oder versehentlich. Dann fängt der Netzwerkadministrator wieder von vorn an, denn die Netzwerksicherheitsschwachstelle existiert immer noch.

Eine bessere Lösung für IT-Abteilungen bietet die Zwei-Faktor-Authentifizierung. Durch einen zusätzlichen Schritt im Verifizierungsprozess, bei dem mehr als nur ein einfaches Passwort erforderlich ist, wird das Konto auf Anhieb viel sicherer. Aus diesem Grund sagten neun von zehn IT-Managern weltweit, sie würden ab 2014 die Verwendung von One-Time-Passwörtern (OTP) planen. Dies trage im Rahmen einer Strategie der Zwei-Faktor-Authentifizierung zur Verbesserung der Sicherheit ihres Netzwerks bei.

Warum verwendet nicht jede IT-Abteilung generell diese anscheinend bombensichere Methode zur Verifizierung? Die Antwort ist simpel. Wie so oft, wenn es um Probleme im Zusammenhang mit der Netzwerksicherheit geht, besteht der Konflikt in der Balance zwischen Komfort, Ressourcen und Sicherheit. Es ist einfach nicht praktisch oder zweckdienlich, dass jeder Server oder jeder Dateiordner lediglich mittels Zwei-Faktor-Authentifizierung zugänglich ist.

Gleichzeitig könnte ein allein selektiver Schutz von bestimmten Dateien mittels Zwei-Faktor-Authentifizierung ein ganzes Netzwerk anfällig machen. Wie Tony Bradley von PC World sagte: „Das ist so, als würde man sämtliche Türen und Fenster im Haus bis auf eines verschließen. Anschließend würde man hoffen, dass ein Einbrecher nicht gründlich genug sucht, um den nicht verschlossenen Eingang zu finden.“

Bradley hat Recht. Zur Verdeutlichung seiner Aussage: Einen besonders auffälligen „unverschlossenen Eingang“ kann ein Netzwerk in seiner Remote Access-Infrastruktur haben. Glücklicherweise sind einige VPNs mit entsprechenden Management-Funktionen ausgestattet, welche Zwei-Faktor-Authentifizierung unterstützen und ein zufällig generiertes Einmal-Passwort via SMS an den Nutzer senden.

Konfrontiert mit dieser zusätzlichen Hürde wäre ein Hacker beim Versuch, eine Remote Access-Schwachstelle auszunutzen, wahrscheinlich noch weniger erfolgreich beim Angriff auf einen Account. Das gilt selbst dann, wenn ein Nutzer den Fehler macht, ein lächerliches und häufiges Passwort wie „123456“ oder „password“ zu wählen.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK