Passwörter – einige von euch werden sich denken, schon wieder ein Artikel über Passwörter? – Ja! Denn das Thema «Passwort» ist wichtiger, als es den meisten bewusst ist!
Denn um ein Firmennetzwerk zu kompromittieren, reicht meistens ein Passwort aus.
Wie eine aktuelle Studie von Kaspersky zeigt, nutzen Cyberkriminelle in sechs von zehn fällen Brute-Force-Methoden und Schwachstellen aus, um die IT-Systeme von Unternehmen zu kompromittieren.
Auch im privaten Leben reicht ein Passwort aus, um beträchtlichen Schaden oder einfach nur grosse Verzweiflung zu sähen. Bereits 2016 gab jeder dritte Deutsche (bei einer Umfrage von PwC) an, schon einmal Opfer von Identitätsdiebstahl geworden zu sein.
Die Datenbank von haveibeenpwned zählt bereits mehr als 11 Milliarden geleakte Accounts!
Sind Sie sicher, dass keiner Ihrer Accounts betroffen ist? Prüfen Sie es! Und falls ja, ändern Sie ihre Passwörter. Nicht nachher, nicht morgen, – jetzt!
Warum also nutzen wir nicht stärkere Passwörter? Warum aktivieren wir nicht 2FA? Auch diese Antwort ist einfach:
Menschen sind bequem. Menschen sind Gewohnheitstiere.
Dies ist eine Tatsache und widerspiegelt sich darin, wie wir Passwörter erstellen und auch sonst mit IT-Mitteln umgehen. Cyberkriminelle sind sich dessen bewusst und nutzen das zu Ihrem Vorteil.
Exkurs Brute-Force
Ein kurzer Einblick in die Welt des Passwortknackens;
In der heutigen Zeit werden Passwörter nicht mehr nur mittels klassischem Brute-Force entschlüsselt. Was bedeutet, dass einfach solange verschiedene Zeichen zusammengewürfelt werden, bis es mit dem Passwort übereinstimmt.
Die Passwörter werden vollautomatisch mittels Zeichenkombinationen, extra erstellten Wörterbüchern und persönlichen Informationen, versucht zu knacken.
Ein Beispiel:
Sie arbeiten bei einer Firma namens «Hans Muster AG» an der Bahnhofstrasse 10 in 9470 Buchs SG.
Sie sind sich bewusst, dass ein Passwort eine gewisse Länge, Sonderzeichen sowie Klein- und Grossbuchstaben enthalten sollte.
Also haben Sie sich folgendes Passwort kreiert: «PW4MusterAg!9470».
Das Passwort ist 16 Zeichen lang und erfüllt alle Anforderungen. Wie kann es sein, dass dieses Passwort trotzdem nicht sicher ist? Ganz einfach:
Eine gängige Methode von Cyberkriminellen ist es z.B. die Website ihrer Firma zu Scannen und daraus eine Liste mit verschiedenen Wörter zu erstellen.
Wörter die bestimmt auf der Firmenwebsite vorkommen:
- Muster AG
- 9470
Subtrahiert man nun diese Wörter von ihrem Passwort, hat es gerade mal noch 4 Zeichen (PW4!), welche noch zu entschlüsseln sind. Was mit der heutigen Rechenleistung schnell vollbracht ist.
Woher wir das Wissen? Der Bestandteil einer Active-Directory Überprüfung (Welche wir anbieten), ist das Entschlüsseln von Passwörtern. Sie wären erstaunt, wie viele Passwörter sich innert wenigen Minuten entschlüsseln lassen!
Fazit
- Seien Sie nicht bequem – Brechen Sie mit veralteten Gewohnheiten!
- Wenn vorhanden, aktivieren Sie Zwei-Faktor-Authentifizierung!
- Nutzen Sie einen Passwortmanager ihres Vertrauens, mit welchem Sie starke Passwörter einfach generieren können.
- Nutzen Sie niemals das gleiche Passwort für verschiedene Dienste.
- Teilen Sie ihre Passwörter nicht mit Dritten.
- Prüfen Sie regelmässig, ob ihre E-Mail Adresse in irgendwelchen Data Leaks veröffentlicht wurde.
- Auf die Länge kommt es an (wirklich :)). Passwörter unter 12 Zeichen ist ein No-Go!
- Verwenden Sie Schweizer Ausdrücke/deutschsprachige Sonderzeichen (Kartoffel – Hörpfel / ä-ö-ü).
Und Falls Sie denken, Sie haben nichts zu verbergen oder Cyberkriminelle können nichts mit ihren Daten anfangen – Haben Sie etwas Geduld. Mit diesem Mythos räumen wir auch noch auf.
