Erfolgreiche Cyberangriffe können in ihrer Gänze oft komplex werden, in der Regel sind die Ursprünge jedoch sehr simple oder gar triviale Schwachstellen. Für Cyberkriminelle bilden Passwörter als schwächstes Glied in der Sicherheitskette längst das Lieblingswerkzeug: sie lassen sich leicht erraten, knacken oder sonst durch Social-Engineering-Taktiken ergattern.
Der Verizon Data Breach Investigations Report und in jüngerer Zeit der Crowdstrike Global Threat Report machen deutlich, dass Kriminelle nach wie vor bei mehr als 75 Prozent aller Angriffe kompromittierte Anmeldeinformationen für den Ersteinstieg nutzen.
Tatsache ist, dass ein „starkes“ Passwort Wunschdenken ist. Komplexe Passwörter wären dann relevant, wenn der Angreifer versuchen müsste, sie zu entschlüsseln. Auf diese Weise werden Angriffe aber kaum verübt. Cyberkriminelle greifen Passwörter lieber gleich in lesbarer Form ab – aus dem Arbeitsspeicher, von der Tastatureingabe, unverschlüsselt aus Datenbanken, über Phishing-Seiten – überall dort, wo sie verwendet werden und unabhängig davon, ob das Passwort vier oder 4.000 Zeichen besitzt, drei Zahlen oder jedes Sonderzeichen enthält. Bedenkt man, wie mühsam es für Mitarbeiter ist, sich Passwörter zu merken und sie regelmäßig zu ändern, ist es erstaunlich, dass so viele Unternehmen versuchen, ihre Daten immer noch mit dieser veralteten, unsicheren Legitimation zu schützen.
Jedes Jahr zelebrieren wir den Welt-Passwort-Tag, während Cyberkriminelle fröhlich die Schwachstellen des Passworts ausnutzen. Stattdessen sollten Organisationen diesen Tag als “Welt-kein-Passwort-Tag” betrachten und zum Anlass nehmen, eines der größten Einfallstore in der Unternehmenssicherheit zu schließen. Mit der Einführung von passwortlosen, Phishing-resistenten MFA-Technologien können Unternehmen es Angreifern deutlich erschweren, in ihre Netzwerke einzudringen – sogar mit erhöhter Benutzerfreundlichkeit. Moderne passwortlose, Phishing-resistente Multi-Faktor-Authentifizierung, die Biometrie und Passkeys auf der Grundlage der Fast Identity Online (FIDO)-Standards kombiniert, reduziert die mit Passwörtern verbundenen Risiken erheblich und macht es Kriminellen praktisch unmöglich, sich mit ihrem Lieblingswerkzeug Zugang zu wertvollen Unternehmensassets und sensiblen Daten zu verschaffen.
Chris Meidinger, Technical Director, EMEA, Beyond Identity, www.beyondidentity.com