Mythos 2 – Mein Passwort ist sicher..

Passwörter – einige von euch werden sich denken, schon wieder ein Artikel über Passwörter? – Ja! Denn das Thema «Passwort» ist wichtiger, als es den meisten bewusst ist! 

Denn um ein Firmennetzwerk zu kompromittieren, reicht meistens ein Passwort aus.  

Wie eine aktuelle Studie von Kaspersky zeigt, nutzen Cyberkriminelle in sechs von zehn fällen Brute-Force-Methoden und Schwachstellen aus, um die IT-Systeme von Unternehmen zu kompromittieren.  

Auch im privaten Leben reicht ein Passwort aus, um beträchtlichen Schaden oder einfach nur grosse Verzweiflung zu sähen. Bereits 2016 gab jeder dritte Deutsche (bei einer Umfrage von PwC) an, schon einmal Opfer von Identitätsdiebstahl geworden zu sein.  

Die Datenbank von haveibeenpwned zählt bereits mehr als 11 Milliarden geleakte Accounts!  

Sind Sie sicher, dass keiner Ihrer Accounts betroffen ist? Prüfen Sie es! Und falls ja, ändern Sie ihre Passwörter. Nicht nachher, nicht morgen, – jetzt! 

Warum also nutzen wir nicht stärkere Passwörter? Warum aktivieren wir nicht 2FA? Auch diese Antwort ist einfach:

Menschen sind bequem. Menschen sind Gewohnheitstiere.

Dies ist eine Tatsache und widerspiegelt sich darin, wie wir Passwörter erstellen und auch sonst mit IT-Mitteln umgehen. Cyberkriminelle sind sich dessen bewusst und nutzen das zu Ihrem Vorteil.   

Exkurs Brute-Force

Ein kurzer Einblick in die Welt des Passwortknackens;  

In der heutigen Zeit werden Passwörter nicht mehr nur mittels klassischem Brute-Force entschlüsselt. Was bedeutet, dass einfach solange verschiedene Zeichen zusammengewürfelt werden, bis es mit dem Passwort übereinstimmt.   

Die Passwörter werden vollautomatisch mittels Zeichenkombinationen, extra erstellten Wörterbüchern und persönlichen Informationen, versucht zu knacken.   

Ein Beispiel:  

Sie arbeiten bei einer Firma namens «Hans Muster AG» an der Bahnhofstrasse 10 in 9470 Buchs SG.    

Sie sind sich bewusst, dass ein Passwort eine gewisse Länge, Sonderzeichen sowie Klein- und Grossbuchstaben enthalten sollte.   

Also haben Sie sich folgendes Passwort kreiert: «PW4MusterAg!9470». 

Das Passwort ist 16 Zeichen lang und erfüllt alle Anforderungen. Wie kann es sein, dass dieses Passwort trotzdem nicht sicher ist? Ganz einfach:   

Eine gängige Methode von Cyberkriminellen ist es z.B. die Website ihrer Firma zu Scannen und daraus eine Liste mit verschiedenen Wörter zu erstellen.   

Wörter die bestimmt auf der Firmenwebsite vorkommen:  

  • Muster AG  
  • 9470   

Subtrahiert man nun diese Wörter von ihrem Passwort, hat es gerade mal noch 4 Zeichen (PW4!), welche noch zu entschlüsseln sind. Was mit der heutigen Rechenleistung schnell vollbracht ist.   

Woher wir das Wissen? Der Bestandteil einer Active-Directory Überprüfung (Welche wir anbieten), ist das Entschlüsseln von Passwörtern. Sie wären erstaunt, wie viele Passwörter sich innert wenigen Minuten entschlüsseln lassen!  

Fazit

  • Seien Sie nicht bequem – Brechen Sie mit veralteten Gewohnheiten! 
  • Wenn vorhanden, aktivieren Sie Zwei-Faktor-Authentifizierung!  
  • Nutzen Sie einen Passwortmanager ihres Vertrauens, mit welchem Sie starke Passwörter einfach generieren können.   
  • Nutzen Sie niemals das gleiche Passwort für verschiedene Dienste.  
  • Teilen Sie ihre Passwörter nicht mit Dritten.   
  • Prüfen Sie regelmässig, ob ihre E-Mail Adresse in irgendwelchen Data Leaks veröffentlicht wurde. 
  • Auf die Länge kommt es an (wirklich :)). Passwörter unter 12 Zeichen ist ein No-Go!  
  • Verwenden Sie Schweizer Ausdrücke/deutschsprachige Sonderzeichen (Kartoffel – Hörpfel / ä-ö-ü).  

Und Falls Sie denken, Sie haben nichts zu verbergen oder Cyberkriminelle können nichts mit ihren Daten anfangen – Haben Sie etwas Geduld. Mit diesem Mythos räumen wir auch noch auf.

Weitere Blog-Beiträge

Ein blaues Auge in Nahaufnahme, umgeben von digitalen Linien und Text „Beyond Prevention: Blue Team Operations“, das Security Monitoring symbolisiert. Unten rechts das Logo von T-Alpha IT Security.
Threat Detection and Analysis

Ransomware Insights: Erkennung und Abwehr von Angriffen

Ransomware bleibt eine der grössten Bedrohungen für Unternehmen, doch der wahre Schutz beginnt erst, wenn ein Angreifer bereits im Netzwerk ist. Klassische Sicherheitsmassnahmen wie Firewalls und Antivirus reichen nicht mehr aus, um heutige Angriffe zu erkennen und abzuwehren. In diesem Beitrag zeigen wir, wie Forensic Validation und spezialisierte Blue Team-Strategien helfen, Angreifer frühzeitig zu identifizieren und ihre Aktionen zu stoppen. Entdecken Sie, warum Erkennung und Reaktion unverzichtbare Bestandteile einer modernen Cybersicherheitsstrategie sind.

Ivan Stricker 13/11/2024
„Ransomware Insights 2024: Ausgenutzte Sicherheitslücken in populären Software-Produkten“ – Eine Grafik der T-Alpha GmbH zur Darstellung der häufigsten Angriffspunkte von Ransomware-Gruppen im Jahr 2024. Zu den betroffenen Anbietern gehören unter anderem Citrix, Fortinet, Veeam, Apache, Microsoft Exchange, Cisco, und VMware. Das T-Alpha-Logo ist oben rechts platziert, die Liste der Software-Anbieter in der unteren Hälfte.
Cyber Threat Intelligence

Ransomware Insights

Sicherheitssoftware im Visier der Cyberkriminellen Ransomware bleibt auch 2024 eine der grössten Bedrohungen für Unternehmen weltweit. Im Rahmen unseres Threat-Intelligence-Programms haben wir die aktivsten und

Ivan Stricker 05/11/2024
  • Home
  • Über Uns
  • Referenzen
  • Security Checks
  • Awareness Training
  • Security Assessment
  • Kontakt
  • Blog