GlobalSign Blog

12 Nov 2014

3 Gründe, warum Sie sich nicht mehr auf Passwörter verlassen sollten

Viele Unternehmen verlassen sich immer noch auf Ein-Faktor-Authentifizierung (d.h. Passwörter) wenn es um den Zugang zu Cloud-Diensten, VPNs und anderen Unternehmensressourcen geht. Mit der steigenden Zahl von Datenschutzverletzungen ist allerdings klar geworden: Passwörter alleine reichen einfach nicht mehr aus.

Werfen wir einen Blick auf einige der wichtigsten Risiken bei der Verwendung eines Standard-Passwortsystems.

1) Wiederverwenden von Passwörtern

Es ist schwer genug, sich ein zufälliges, alphanumerisches Passwort mit zusätzlichen Sonderzeichen zu merken, geschweige denn eins für jede Plattform, die man im Web benutzt. Allzu oft greifen Benutzer (nämlich 61% laut einer Studie) auf das gleiche Passwort zurück. Das wird zu einem Problem, wenn eine dieser Plattformen (z.B. AdobeTwitterLivingSocialEvernote) kompromittiert wurde. Ist das gleiche Passwort dann sogar noch verwendet worden, um auf Unternehmensressourcen zuzugreifen, wie E-Mail oder VPN, kann auch das jeweilige Unternehmen angreifbar sein.

2) Social Engineering

Für Hacker, die sich auf Social-Engineering-Methoden verlassen, ist die Menge an persönlichen, im Internet frei zugänglichen Informationen eine wahre Fundgrube. Auf dieser Basis verschaffen sich Angreifer Zugang zu Passwörtern oder Konten, die diese eigentlich schützen sollten. Dabei spionieren Hacker ihr Ziel zunächst aus und verwenden ihr Wissen dann, um einen individualisierten Angriff zu starten. Das kann in Form einer Phishing-Mail erfolgen, die so aufgebaut ist, dass sie dem Empfänger als legitim erscheint (wie im Fall des Associated Press Twitter-Missbrauchs im letzten Jahr), oder es werden vorab so umfangreiche Informationen gesammelt, dass der technische Support getäuscht und Sicherheitsabfragen umgangen werden können. Social Engineering steht zunehmend mehr in den Schlagzeilen und bedroht gerade Nutzer, die sich nur auf ein Passwort verlassen.

3) Form-grabbing Malware

Wie bereits an anderer Stelle erläutert, werden Hackerangriffe professioneller und raffinierter. Vor einer Weile haben wir einen Fall geschildert, bei dem ein ungenannter Flughafen einer Man-in-the-Middle-Attacke zum Opfer fiel. Ein Citadel-Trojaner hatte sich erfolgreich in das VPN des Flughafens gehackt. Wie? Eine Form-grabbing Malware hatte Benutzernamen und Passwort eines Flughafenmitarbeiters gestohlen und damit Zugang zum VPN erhalten.

Wie die Beispiele zeigen, reicht es nicht, sich auf Passwörter zu verlassen, um Missbrauch zu verhindern. Eine weitere Sicherheitsebene in Form einer Zwei-Faktor-Authentifizierung kann dazu beitragen, etliche der oben beschriebenen Hacker-Techniken zu durchkreuzen. Wie der Name schon sagt benötigt man bei der Zwei-Faktor-Authentifizierung neben Benutzername und Passwort noch eine zweite notwendige Zugangsinformation.

kostenloses

Artikel teilen