Welt-Passwort-Tag 2022

AronAllgemein, Security, Technik

Immer am ersten Donnerstag im Mai ist Welt-Passwort-Tag. Dieser Tag ist sehr wichtig, damit sich alle mindestens einmal im Jahr Gedanken über die eigenen persönlichen Passwörter zu Hause und im Unternehmen machen.

Im Laufe der Zeit wurde das Passwort immer komplexer und Unternehmungen fordern vermehrt das Ändern dieser Passwörter mit noch komplexeren Vorgaben und in noch kürzeren Zeitfenstern.
Vor ein paar Jahren wurde ein 8stelliges Passwort mit Gros- und Kleinschreibung sowie Spezialzeichen als sicher angesehen. Heute wissen wir etwas mehr in diesem Bereich und ein sicheres Passwort sollte mindestens 20stellig mit Gross- und Kleinschreibung, mit Spezialzeichen und Zahlen kombiniert werden.
Wir verwenden immer mehr Services, welche ein Passwort mit gewissen Voraussetzungen verlangen.

So viele verschiedene Passwörter merken ist schwierig und dies ist leider auch einer der Gründe, warum ein Passwort immer wiederverwendet wird. Dies führt dazu, dass bei einer Kompromittierung eines Logins meistens mit dem gleichen Passwort auch auf andere Services zugegriffen werden kann.
Also merken wir uns ein Muster und wandeln dieses auf die verwendeten Services etwas ab. Leider lassen sich so Passwörter nach einer Kompromittierung ableiten und wir können so Opfer von Identitätsdiebstahl werden. Noch schlechter ist die Variante, dass ein Passwort einfach zweimal hintereinander gesetzt wird, um so ein längeres Passwort zu erhalten.

Dazu kommt, dass Mails mit Phishing- oder Ransomware-Attacken immer persönlicher und grammatikalisch besser werden. Das Ziel ist es, zu erreichen, dass ein Opfer den manipulierten Link unbedingt öffnen will.

Phishing

Versuch an persönliche Passwörter zu gelangen, indem vorgegaukelt wird, dass z.b. jemand eine Datei teilt oder ich eine Rechnung nicht bezahlt habe, dass Mein Login gesperrt ist, ich ein Paket erhalte oder sogar, dass jemand mein Auto zerkratzt hat und mir einen Link des Kratzes per Foto schickt.

Ransomware

Zum Beispiel mit einem Klick auf einen Link wird Schadsoftware nachgeladen, infiziert und verschlüsselt meinen Computer und alle Infrastruktur, auf welche ich mit meinen Benutzerdaten Zugriff habe. dann wird Lösegeld verlangt.

Wie muss ich nun vorgehen, um mich bestmöglich zu schützen:

  1. Bei allen Logins ein unabhängiges Passwort erstellen, damit dieses Passwort nicht weiterverwendet werden könnte.
  2. Passwort Manager verwenden mit einem sehr sicheren Master-Passwort.
  3. MFA (Multifaktor Authentifizierung oder auch 2FA oder UFA genannt) immer aktivieren, wo dies möglich ist.
  4. Passwortlänge von mindestens 20 Zeichen mit Gross- und Kleinschreibung sowie Zahlen und Spezialzeichen.
  5. Niemals mein Passwort eingeben, nach einer dringenden Aufforderung etwas unbedingt zu tun.
  6. Absender genau identifizieren und Links mit der Maus drüberfahren, um zu prüfen, ob der Link wirklich von einer legitimen Quelle stammt.
  7. Abklären z.B. mit Telefon, ob dieses Mail wirklich von der besagten Quelle stammt.
  8. Bei Unklarheiten lieber einmal etwas nicht anzuklicken als einmal am falschen Ort.

Viele dieser Massnahmen benötigen Erfahrung und in manchen Fällen wird sogar tieferes technisches Wissen verlangt. Dies macht es sehr schwierig, nicht auf Phishing oder Ransomware Angriffe hereinzufallen.

Also was kann ich unternehmen, um mich noch viel besser zu schützen:
Überall wo es möglich ist, sollte die 2FA (2Faktor Authentifizierung mit SMS oder noch besser als App mit 2Faktor-Athenticator) aktiviert werden.
SMS als zweiten Faktor wird heute nicht mehr als sicher angesehen, aber es ist immer noch besser ein SMS als zweiten Faktor einzurichten als kein MFA einzusetzen.

Das ist vielleicht alles viel zu kompliziert und wie wäre es noch viel einfacher möglich, um sich bestens zu schützen?

Den zweiten Faktor bei der Authentifizierung ersetzen wir mit Yubikey 5 von Yubico.
Nun erhalten wir mit einer USB, USB-C oder sogar NFC Hardware-Unterstützung, welche uns im Umgang mit Passwörtern auf sehr einfache Weise begleitet und gleichzeitig den zweiten Faktor sicher gestaltet.
Es ist sogar möglich komplett passwortlos anzumelden und alle Online-Services mit dem gleichen Key abzusichern, welche FIDO2 unterstützen.
Dieses kleine Stück Hardware wird an den persönlichen Schlüsselbund gehängt und ist immer mit dabei.

Welche Vorteile bietet U2F (Universal 2nd Factor) mit FIDO2:

  • Passwortlose und Phishing-resistente MFA-Authentifizierung auf Geräten und im Internet
    Passwordless Account Login with YubiKey | Yubico
  • Eine Erfüllung von diversen Voraussetzungen für den erfolgreichen Abschluss von Cyber-Versicherungen
  • Einfache Einführung von MFA im Unternehmen
  • Absicherung von Logins mit MFA im Unternehmen sowie im Privaten
  • Auslagerung von OTP (One Time Password – wechselnder Zahlencode) auf meinen Yubikey und in Zukunft müssen MFA geschützte Online-Accounts nicht mehr auf mein neues Mobile Device umgezogen werden, wenn ich ein neues Telefon verwende
  • Erhöhung der Sicherheit von Identitäten und gleichzeitiges minimieren von Risiken bei der Authentifizierung


cloudxs ist offizieller Yubico-Partner und wir freuen uns, wenn du auf uns zu kommst.

Zusammen besprechen wir gerne über deine optimale Authentifizierungs-Lösung oder möglichen Varianten in deinem Unternehmen, um die digitalen Identitäten optimal abzusichern und das Risiko für einen Phishing-Angriff zu minimieren.