Schwache Passwörter – ein Desaster für Ihre (IT)Sicherheit

Wie der ict-channel.com berichtete, hat die jüngste IT-Sicherheitsüberprüfung des US-Innenministeriums gezeigt, dass fast 20.000 Zugänge leicht gehackt werden konnten. Der Zugriff gelang aufgrund von schwachen Passwörtern, die oft von mehreren Mitarbeitern genutzt wurden. Innerhalb von nur 90 Minuten konnten die Sicherheitsexperten 13.000 der 85.944 Active-Directory-Zugänge knacken, die als Hashes zum Schutz vor Kompromittierung bereitgestellt worden waren.

362 hochrangige Regierungsbeamte betroffen

Mit etwas mehr Zeit konnten sie schließlich 18.174 der Passwörter herausfinden, also rund 21 Prozent. Die Experten verwendeten zwei speziell konfigurierte Computer mit 16 GPUs, die rund 15.000 US-Dollar kosteten und von Hackern häufig eingesetzt werden. Diese Maschinen wurden mit verschiedenen Listen von typischen Passwörtern, Internet-Datenbanken und einigen Fachausdrücken aus dem Ministerium gefüttert und verwendeten einen Wörterbuchangriff, um die 1,5 Milliarden Einträge zu bearbeiten. Der Bericht zeigte auch, dass unter den gehackten Passwörtern 362 von hochrangigen Regierungsbeamten und 288 von Konten mit erweiterten Zugriffsrechten stammten.

Je einfacher das Passwort, desto schneller ist es geknackt

Immer wieder gibt es an dieser Stelle gravierende Mängel – und das sogar im vermeintlich professionellen Umfeld. Ausgelöst durch viel zu schwache Passwörter, wie der aktuelle Fall zeigt. Man mag es kaum glauben, aber “123456” ist laut Hasso-Plattner-Institut das beliebteste Passwort Deutschlands. Keine Frage, das ist weder kreativ noch sicher. Auch “passwort“, “hallo” und “qwertz” erscheinen hierzulande häufig als ausreichend, um sensible Daten vor unbefugtem Zugriff zu schützen. Kriminelle wissen die mangelnde Kreativität bei der Passwortwahl sehr zu schätzen und wenden daher gerne die sog. Brute-Force-Methode an. Das bedeutet übersetzt rohe Gewalt und meint, dass mithilfe einer entsprechenden Software schnell nacheinander alle möglichen Passwörter ausprobiert werden, um sich Zugang zu verschaffen. Je einfacher das Passwort, desto schneller ist es geknackt. Wer hingegen ein sicheres Passwort verwendet, dessen Risiko ist deutlich geringer, Opfer einer solchen Attacke zu werden.

Checkliste für sichere Passwörter

• Achten Sie darauf, für jeden Dienst ein eigenes Passwort zu erstellen!
• Achten Sie darauf, dass Zahlen und Sonderzeichen enthalten sind!
• Nutzen Sie gegebenenfalls Generatoren und Manager für Passwörter
• Verwenden Sie, wo möglich, die Zwei-Faktor-Authentifizierung
• Achten Sie in Tages- und Fachpresse auf bekannte Datenleaks, um schnell reagieren zu können!
• Verraten Sie grundsätzlich niemandem Ihr Passwort!

Weitere Informationen zum Erstellen von sicheren Passwörtern finden Sie in unserem Blogbeitrag „Sicheres Passwort – erstellen, merken und richtig verwenden“.

Was ist und wie funktioniert 2FA?

Die Zwei-Faktor-Authentifizierung (2FA) fügt Ihren Online-Konten eine zusätzliche Sicherungsebene hinzu. Sie verlangt zusätzliche Anmeldeinformationen – über nur den Benutzernamen und das Passwort hinaus -, bevor sie den Zugriff auf das Konto zu erlaubt. Die für den Zugang erforderlichen Informationen stammen entweder

• aus Ihrem Wissensfundus, zum Beispiel ein weiteres Passwort oder die Antwort auf eine Sicherheitsfrage,
• von Ihrer eigenen Person, also etwa ein Fingerabdruck, ein Scan der Iris oder die Apple Face ID,
• oder von etwas, das sich in Ihrem Besitz befindet, zum Beispiel von Ihrem Smartphone (via Push Notification App), einem anderen Gerät (Tan-Generator) oder als Einmal-Passwort/Einmal-PIN, die als SMS aufs Handy geschickt wird.