:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Passwortsicherheit in der Praxis Sind Passphrasen sicherer als Passwörter?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
123456 – das weltweit nach wie vor beliebteste Passwort ist auch eines der unsichersten. Eine Alternative zu Passwörtern bieten sogenannte Passphrasen. Sie sind länger und trotzdem leicht zu merken. Doch bieten sie wirklich einen besseren Schutz?
Weniger als eine Sekunde brauchen Hacker, um einfache Passwörter zu knacken. Das Austauschen von Buchstaben gegen Zahlen oder Sonderzeichen bietet nicht unbedingt mehr Sicherheit. Denn mit sogenannten Brute-Force-Angriffen „erraten“ Angreifer über das automatische Ausprobieren von Zeichenkombinationen viele Passwörter. Dann können sie sich Zugang zu privaten Konten verschaffen. Je kürzer das Passwort und je geringer die Zeichenvielfalt, desto schneller wird es geknackt.
:quality(80)/p7i.vogel.de/wcms/a2/17/a217acb60bea6b43214cd7509dbc981d/0100127717.jpeg "Im Podcast haken wir nach: Wie schnell werden wir das Passwort wirklich los? (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 57
So ersetzt FIDO das Passwort per Passkey
Eine vielversprechende Alternative bilden Passphrasen. Dabei handelt es sich um eine möglichst zufällige Kombination aus Wörtern, die zu einer Phrase zusammengesetzt werden, aber sich trotzdem merken lassen. Ein Beispiel: „Meine Oma feiert am 49. Frankreich ihren 6-ten Geburtstag!“. Lässt sich nur eine begrenzte Zeichenzahl nutzen, kann man sich auf Anfangsbuchstaben und Sonderzeichen beschränken: „MOfa49.Fi6-G“.
So werden Passwörter geknackt
Passphrasen sollten theoretisch einen besseren Schutz bieten, da sie länger und komplexer als herkömmliche Passwörter sind. Aber ist das wirklich so? Dazu sollte man sich ansehen, wie Unternehmen Passwörter schützen und Hacker diese knacken.
Unternehmen schützen ihre Kennwörter, indem sie diese als „Hash“ speichern. Dabei werden Daten beliebiger Länge in eine Zeichenfolge fester Länge umgewandelt. Hashes können theoretisch nicht zurückverfolgt werden. Wenn also ein Angreifer ein gehashtes Kennwort stiehlt, muss er viele verschiedene Wörter ausprobieren, um zu ermitteln, ob er denselben Hash erhält. Damit hat er praktisch keinen Vorteil gegenüber einer reinen Brute-Force-Attacke.
Allerdings gibt es Tools zum Knacken von Passwörtern wie Hashcat. Diese können Milliarden von Hashes pro Sekunde auf einem einzigen Computer berechnen. Durch die Anmietung von Cloud-Diensten lässt sich dies sogar auf Dutzende von Milliarden Hashes pro Sekunde steigern.
Alternativ können Hacker über das Mitlesen von Tastatureingaben oder Formulareinträgen auf Websites Passwörter stehlen. Raffinierte Social-Engineering-Techniken wie Phishing mit Imitierung bekannter Unternehmensnamen oder nahestehender Personen dienen ebenso dazu, an das Passwort eines Benutzers zu gelangen. Sogar eine gründliche Suche auf der PC-Festplatte kann Hackern den Zugang zum Konto des Opfers verschaffen.
:quality(80)/p7i.vogel.de/wcms/70/56/70567b2c00f6b918072aacfd0d40f629/0106450499.jpeg "Die FIDO-Erweiterungen für „multi-device credentials“ und „roaming authenticator“ werden allgemein verfügbar. (Bild: fidoalliance.org (bearb.))")
Jetzt kommen die plattformübergreifenden Passkeys
Smartphone + Bluetooth = Authenticator
Passphrasen vs. Passwörter
Während das Mitlesen von Eingaben oder Phishing genauso gut bei Passwörtern und Passphrasen funktioniert, könnte es nur einen Unterschied bei Brute-Force-Angriffen geben. Bei Passphrasen lassen sich im ersten Schritt drei bis fünf Wörter auswählen, die einen Satz bilden, der zwar keinen Sinn ergibt, aber leicht zu merken ist. Zum Beispiel: „Korrekte Pferde Batterie Klammer“. Durch die größere Länge werden erfolgreiche Brute-Force-Attacken deutlich erschwert. Oder doch nicht...?
Während Passwortangriffe weitaus häufiger sind, gibt es auch eine Reihe von Tools, die Passphrasen ermitteln können. Die einfachste Möglichkeit besteht darin, dem Passwort-Knacker „Hashcat“ eine Liste mit vordefinierten Passphrasen zur Verfügung zu stellen. Eine solche Liste, die fast 22 Millionen bekannte Phrasen enthält, ist in englischer Sprache etwa auf Github verfügbar.
Die Passphrase „besser zu spät als nie“ besteht aus 22 Zeichen. Das entspricht laut herkömmlichen Empfehlungen aufgrund der Länge einem starken Passwort. Allerdings ist „better late than never“ eine der häufigsten Redewendungen in der englischen Sprache und steht in Zeile 18.636.796 der Passphrasenliste. Das aus dem Online-Comic XKCD bekannte „correct horse battery staple“ steht sogar in Zeile 1.976.239.
Natürlich lassen sich Reihenfolge und Anzahl der Wörter ändern. Doch nach dem Zipfschen Gesetz folgen alle menschlichen Sprachen in etwa der „80/20-Regel“. Das bedeutet, rund 80 Prozent aller Texte bestehen aus etwa 20 Prozent der möglichen Wörter. Die häufigsten 100 Wörter machen sogar oft die Hälfte der Texte aus. Wenn also die 1.000 wichtigsten Wörter einer Sprache in ein Tool zum Knacken von Passwörtern eingegeben werden, kann es neben jeder möglichen Zeichenkombination auch alle Kombinationen der drei bis fünf Top-1000-Wörter ausprobieren. Damit ist die Verwendung von Passphrasen nicht wirklich besser als komplexe Passwörter, zum Teil sogar schlechter.
Praktische Tipps
Die Stärke eines bestimmten Passworts oder einer Passphrase ist damit nicht nur proportional zu seiner Länge, sondern auch zu seiner Zufälligkeit. Daher sind folgende allgemeine Richtlinien zu beachten, die bei der Wahl eines sicheren Passworts unterstützen:
Das Passwort nicht selbst wählen
Der Einsatz eines Passwort-Managers dient dazu, wirklich zufällige Zeichenketten für Passwörter zu erstellen. Für Passphrasen gibt es auch Websites, die völlig zufällige Wörter vorschlagen.
Passwörter nicht wiederverwenden
Der Diebstahl von Zugangsdaten bei einem Anbieter sollte nicht die Sicherheit weiterer Online-Konten gefährden. Daher ist für jede Website und jeden Dienst ein eigenes Passwort zu nutzen. Passwort-Manager sind die einzige realistische Möglichkeit, diese zu behalten.
Lange und zufällige Passwörter oder Passphrasen erstellen
Passwörter sollten aus mehr als 16 Zeichen bestehen, die nach dem Zufallsprinzip ausgewählt werden (idealerweise mit einem Passwort-Manager), Passphrasen aus vier bis fünf Wörtern. In jedem Fall sind einige Buchstaben durch Ziffern und Zeichen zu tauschen (Ko88ekte P1erde Ba??erie Kla%&er) oder Leerzeichen an ungewöhnlichen Stellen zu setzen, z. B. bes serz usp äta lsnie
Multi-Faktor-Authentifizierung (MFA) verwenden
Selbst die komplexesten Passwörter und Passphrasen können gestohlen oder per Brute-Force erraten werden. Dann hilft nur ein zweiter Authentifizierungsfaktor, etwa ein zeitbasierter Code in einer Handy-App, damit Angreifer keinen Zugang zum Konto erhalten.
Über den Autor: David Warburton ist Threat Research Lead bei F5 Labs.
(ID:48538387)
:quality(80)/p7i.vogel.de/wcms/13/06/13064f565825d0dba349f0798ba9d3c2/0109839962.jpeg "Ein Brute-Force-Angriff ist der Versuch, ein Passwort im Wesentlichen per Versuch und Irrtum zu knacken. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/ae/a6ae8e52c1cf1d13a26c1cba6672d996/0111212707.jpeg "Passwörter werden uns auch in näherer Zukunft noch begleiten, obwohl es längst viele gute Alternativen gibt. (Bild: ArtemisDiana - stock.adobe.com)")