In letzter Zeit gab es viele Diskussionen über die Sicherheit (oder deren Fehlen) bei der Verwendung von Passwörtern in der IT-Sicherheit. Wir werden mit Schlagzeilen wie „ Wir sind schlecht darin, Passwörter zu knacken “ oder „ Ein Grund mehr, warum Passwörter verdammt schlecht sind “ überschwemmt.
Viele Leute im Lager „Passwörter sind nicht sicher“ weisen darauf hin, dass die meisten Benutzer dazu neigen, sich leicht zu merkende und oft leicht zu knackende Passwörter zu stützen. „12345“, „password“ und „iloveyou“ sind nur einige der am häufigsten verwendeten Passwörter.
Ein weiteres Problem bei der Verwendung von Passwörtern: das Knacken von Passwörtern. Selbst ein komplexes Passwort, das aus Buchstaben, Zahlen und Symbolen besteht, kann bei ausreichender Zeit und Rechenleistung einem Brute-Force-, Wörterbuch- oder Musterangriff zum Opfer fallen.
Und dann gibt es noch das Keylogging, bei dem jeder von Ihnen getätigte Tastendruck aufgezeichnet wird, sodass die Wahl Ihres Passworts keine Rolle spielt.
Die Wahrheit ist, dass es nichts Schlimmes gibt, Passwörter für die IT-Sicherheit zu verwenden. Es geht darum, WIE sie umgesetzt werden.
Schwache Passwörter
Wie schützen wir als Infosec-Experten die Benutzer vor sich selbst? Beginnen Sie mit der Bildung. Informieren und schulen Sie Ihre Benutzer mit Tipps und Tricks. Einige einfache: Bringen Sie ihnen bei, „o“ gegen „0“ und „a“ gegen „@“ auszutauschen. Plötzlich wird aus „Passwort“ „p@ssw0rd“. (Nicht besonders sicher, aber zumindest ein Schritt in die richtige Richtung.)
Als nächstes erzwingen Sie die Verwendung sicherer Passwörter. Erlauben Sie Benutzern nicht, schwache Passwörter auszuwählen, sondern verlangen Sie stattdessen, dass sie Buchstaben, Zahlen und Symbole in ihrem Passwort verwenden. Wenn das von Ihnen verwendete oder verwaltete Gerät über eine sichere Passwortoption verfügt, verwenden Sie diese. Bei einigen Geräten ist es sogar möglich, Parameter so einzustellen, dass das Passwort regelmäßig geändert werden muss. Benutzer könnten sich beschweren, aber Richtlinien wie diese dienen ihrem eigenen Wohl und dem Wohl der Organisation als Ganzes.
Passwort knacken
Es gibt verschiedene Techniken zum Knacken von Passwörtern. Brute Force, Wörterbuch, Musterangriffe, Wortlistenersetzung usw.
Brute-Force-Angriffe erfordern die systematische Prüfung aller möglichen Passwörter. Daher sind sie eine zeit- und ressourcenintensive Methode zum Knacken von Passwörtern. Oftmals versuchen Hacker Wörterbuchangriffe oder Musterprüfungen, bevor sie zu einem Brute-Force-Angriff greifen.
Allen dieser Methoden zum Knacken von Passwörtern kann durch den Einsatz von Systemen oder Geräten entgegengewirkt werden, die die Anzahl ungültiger Anmeldeversuche begrenzen können. Beispielsweise wird das Gerät nach fünf oder sechs ungültigen Versuchen für 15 bis 30 Minuten gesperrt. Diese einfache Lösung kann alle Versuche zum Knacken von Passwörtern erheblich vereiteln und die zum Knacken eines Passworts erforderliche Zeit erheblich verkürzen. (Solange das Passwort komplex ist… siehe oben.)
Keylogging
Keylogging oder Tastenanschlagprotokollierung verfolgt, was auf einer Tastatur eingegeben wird, und hinterlässt Ihre Passwörter, Kontoinformationen und mehr sichtbar. Wenn Sie die Antiviren-Definitionen auf dem neuesten Stand halten, können Sie das Vorhandensein einiger Keylogging-Software erkennen. Da Keylogging-Software jedoch oft legitim ist, kann es sein, dass sie von Standard-Antivirenprogrammen unentdeckt bleibt. Es können spezielle Anti-Keylogger verwendet werden; Allerdings erkennen sie möglicherweise immer noch keine hardwarebasierten Keylogging-Methoden.
Für den Fall, dass ein Keylogger unentdeckt bleibt, kann die Verwendung einer virtuellen Tastatur verhindern, dass der Keylogger Ihre Eingaben/Tastenanschläge aufzeichnet. Eine weitere Methode zum Einschränken der Protokollierung von Tastenanschlägen: Verwalten von Berechtigungen, mit denen Benutzer Software in Ihrem Netzwerk installieren können. Beschränken Sie die Softwareinstallation nur auf vertrauenswürdige Administratoren und Hauptbenutzer, um zu verhindern, dass schädliche Software und Apps in Ihr Netzwerk eindringen.
Abschluss
Als Infosec-Experten ist es unsere Aufgabe, das Bewusstsein für die Gefahren zu schärfen und Benutzer darüber aufzuklären, wie sie Passwörter, Verschlüsselung und andere Sicherheitssysteme richtig einrichten und verwenden.
Insgesamt stehen Kriminellen und Black-Hat-Hackern zahlreiche Tools zur Verfügung, um Passwörter und Verschlüsselung zu umgehen. Dies bedeutet jedoch nicht, dass Passwörter veraltet sind. Im Gegenteil: Bei richtiger Anwendung schützen sie unsere Daten immer noch äußerst effektiv.