logo ntadmins

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung

31. Januar 2018
Bild

Passwörter mit geringer Komplexität – die nie gewechselt und zudem noch für alle Webseiten, Dienste und Cloud-Services eingesetzt werden – sind für Hacker ein „gefundenes Fressen“. Traurige Spitzenreiter bei entsprechenden Studien sind dabei jedes Jahr Passwörter wie „123456“ oder „admin“. Was sollten die Systembetreuer und die „normalen“ Mitarbeiter denn beim Thema Kennwörter beachten? Das Team von NT4ADMINS liefert dazu passende Tricks, Kniffe und Strategien. Soviel vorweg: Bei wichtigen Konten ist mindestens eine „Zwei-Faktor-Authentifizierung“ sowie ein starkes und komplexes Kennwort Plicht!

Die IT-Security sollte in den Unternehmen und bei den privaten Nutzern einen hohen Stellenwert einnehmen. Ein sehr wichtiger Punkt dabei ist das Thema Kennwort-Sicherheit – viele Nutzer nehmen es dabei nicht „so genau“ und verwenden unsichere und kurze Zeichenfolgen. Das stellt eine gefährliche Schwachstelle in jedem Security-Konzept dar. Regelmäßig durchgeführte Studien zeigen, dass die Top-10-Liste die meistverwendeten Passwörter mit genau solchen Kandidaten „besetzt“ ist. Passphrasen wie „123456“, „hallo“, „passwort“ oder „admin“ bieten kaum Sicherheit. Denn diese „Favoriten“ sind den Hackern ebenfalls bekannt, und befinden sich somit ganz am Anfang der zu testenden Kombinationen – etwa falls eine Wörterbuchattacke zum Einsatz kommt.

Daher sollten Mitarbeiter, IT-Personal und die Administratoren auf folgende Regeln achten, um (relativ) sicher Kennwörter zu erzeugen und einzusetzen:

  • Buchstaben, Zahlen und Sonderzeichen nutzen (hohe Komplexität),
  • dabei auf eine möglichst hohe Kennwortlänge setzen,
  • „echte“ Wörter, Geburtsdaten, Namen und Begriffe vermeiden,
  • Kennwörter möglichst „zufällig“ zusammenwürfeln.

Korrekte Handhabung

Zudem ist auf eine korrekte Handhabung zu achten, Passwörter daher nicht in „fremden“ WLAN- oder sonstigen Funknetzwerken (Internet-Café, Hotspot) in die Geräte eingeben, die Datenpakete könnten mit Hilfe einer „man-in-the-middle-Attacke“ mitgelesen werden. Auch sollte darauf geachtet werden, dass niemand bei der Passworteingabe zusehen kann (ähnlich wie beim Geldautomaten). Des Weiteren wird es problematisch, wenn das identische Passwort für unterschiedliche Dienste, Webseiten und Applikationen eigesetzt wird.

Auf diese Weise genügt es beispielsweise das Kennwort bei irgendeinem „unwichtigeren“ Dienst zu „knacken“, und schon stehen den Angreifern alle anderen Dienste und Ressourcen der betreffenden Person zu Verfügung – bei denen sich die Hacker beispielsweise mit der gleichen E-Mail-Adresse (als Benutzername) und dem gestohlenen Kennwort einloggen können. Auch Vorsicht ist bei E-Mail-Konten geboten, lassen sich doch mit einem geknackten Konto viele weitere Passwortabfragen umgehen, etwa mit Hilfe der (fast) überall vorhandenen „Passwort-Vergessen-Funktion“.

Kennwörter regelmäßig ändern

BildEin weiterer Faktor: Die Kennwörter sollten regelmäßig geändert werden. Auf diese Weise können potentielle Angreifer, die bereits Zugriff auf entsprechende Credentials erhalten haben, wieder „ausgesperrt“ werden. Allerdings nur, wenn diese Angreifer im Vorfeld noch keine Gegenmaßnahmen ergriffen haben. Wurde das Kennwort beispielsweise durch den Einsatz eines Keyloggers kompromittiert, und diese Schadsoftware befindet sich weiterhin auf dem System des ahnungslosen Opfers, hilft ein regelmäßiger Passwort-Wechsel wenig. Schließlich können die Angreifer ja den Wortlaut des „neuen“ Passworts wieder mitschneiden.

Um nun die Sensibilität weiter zu erhöhen, gab Dan Wiley von Checkpoint auf der CPX 360 in Barcelona wertvolle Tipps:

Setzen Sie so wenig externe Dienste wie möglich ein, besonders E-Mail-Cloud-Konten lassen sich leicht kompromittieren. Sind die Angreifer einmal „im System“, laden sie die komplette Mailbox des betreffenden Users herunter. Danach „lernen“ sie den Benutzer genauer kennen, etwa seine „Art“ E-Mails zu verfassen, mit welchen anderen Mitarbeitern er Kontakte pflegt, und welchen Gewohnheiten diese Person nachgeht.

Derartige Informationen werden danach genutzt, um erfolgreich unter falschen Namen zu agieren. Bei den meisten E-Mail-Providern findet keine zusätzliche Prüfung statt, sind die Hacker einmal „drin“, und versenden E-Mails von einem Konto der Organisation zu weiteren Benutzern in der gleichen Firma, wird dies nicht allzu genau analysiert. Auch die anderen Mitarbeiter werden nicht so leicht aufmerksam, wenn ihnen der Kollege oder Vorgesetzte entsprechende Anweisungen per E-Mail erteilt, und diese Nachrichten „wie immer klingen“.

Auf diese Weise fordern die Angreifer weitere Benutzer auf, bestimmte Dateien zu öffnen, Links anzuklicken, Informationen herauszugeben, oder Geld auf bestimmte Konten zu überweisen.“

Lesen Sie auch

data NT Kris

Cyber-Bedrohungen während der Urlaubszeit minimieren

arrow NT GerdAltmann

Mindeststandard für Webbrowser auf mobilen Plattformen

cyber security Pete Linforth auf Pixabay

CVE-2024-21412: Böse Überraschung nach Datei-Download