Von Dana Tamir, VP Market Strategy, Silverfort
Der 2 ist nationaler passworttag – eine gute Gelegenheit, über unsere Hassliebe zu Passwörtern zu diskutieren. Es gibt viele Gründe, warum wir uns nicht auf rein passwortbasierte Authentifizierungsmechanismen verlassen können. Aber wirklich loswerden können wir sie auch nicht. Lassen Sie mich erklären:
Das Problem mit Passwörtern
Wenn Benutzer aufgefordert werden, Passwörter zu erstellen – ob sie neue Konten eröffnen oder Passwörter bestehender Konten ändern – tun sie es Wahrscheinlich wählen sie Passwörter, an die sie sich erinnern können. Das Problem ist, dass viele Benutzer wählen schwache Passwörter, das lässt sich leicht erraten. Eine kürzlich erschienene Liste der am häufigsten verwendeten Passwörter im Jahr 2018 zeigt ein düsteres Bild. Es behauptet, das am häufigsten verwendete Passwort sei '123456', und der 2. Platz ist die offensichtliche Wahl, 'Passwort'.
Es stimmt, manche Leute verwenden stärkere Passwörter. Wie viele auch immer dasselbe Passwort über mehrere s hinweg wiederverwendenSysteme und Webseiten. Das zeigt die Forschung 52 % verwenden dasselbe Passwort erneut für mehrere, aber nicht alle Konten, während weitere 13 % dasselbe Passwort für alle ihre Konten wiederverwenden. Einige verwenden sogar dieselben Passwörter für arbeitsbezogene Systeme und persönliche Anwendungen. Dies macht ein gestohlenes oder kompromittiertes Benutzerpasswort wertvoller denn je.
Und wenn Sie der Meinung sind, dass es hilfreich sein kann, von Benutzern zu verlangen, dass sie ihre Passwörter regelmäßig ändern, dann muss ich Ihnen leider sagen, dass dies nicht der Fall ist. Das liegt daran, dass diejenigen, die ihre Passwörter regelmäßig ändern, zu oft nur kleine und vorhersehbare Änderungen an ihren bestehenden Passwörtern vornehmen. Ein Grund für diese Schwäche könnte durchaus ihre emotionale Bindung an ihre Passwort-Auswahl-Routine sein.
Dies ist der Grund für die jüngste Ankündigung von Microsoft, dass dies der Fall sein wird dLöschen der Kennwortablaufrichtlinien"Der regelmäßige Ablauf von Passwörtern ist eine alte und veraltete Risikominderung von sehr geringem Wert, und wir glauben nicht, dass es sich für unsere Baseline lohnt, einen bestimmten Wert durchzusetzen. Indem sie es von unserer Baseline entfernen, anstatt einen bestimmten Wert oder kein Ablaufdatum zu empfehlen, können Unternehmen wählen, was ihren wahrgenommenen Bedürfnissen am besten entspricht, ohne unseren Richtlinien zu widersprechen“, erklärt Aaron Margosis.
Kein Wunder, dass Brute-Force-Angriffe, bei denen eine Trial-and-Error-Methode verwendet wird, um an das Passwort eines Benutzers zu gelangen, und Phishing-Angriffe, bei denen in betrügerischer Absicht versucht wird, an Benutzerpasswörter zu gelangen, indem sie sich als Mitteilungen von vertrauenswürdigen Personen oder Organisationen tarnen, auf dem Vormarsch sind.
Datenverletzungen mit kompromittierten Zugangsdaten nehmen zu
Wenn man alles bedenkt, was wir bisher besprochen haben, ist das nicht verwunderlich kompromittierte Zugangsdaten werden bei immer mehr Verstößen ausgenutzt. Tatsächlich waren heute bei vier von fünf Verstößen kompromittierte Zugangsdaten im Spiel. Das Problem besteht darin, dass es bei Diebstahl von Passwörtern oder den entsprechenden Hashes schwierig ist, deren unbefugte Verwendung zu erkennen oder einzuschränken. Oder ist es?
Warum können wir nicht ohne sie leben?
Warum können wir Passwörter nicht loswerden? Sicherlich kann jemand eine bessere Lösung finden, um Benutzer zu authentifizieren? Ja, das stimmt – es gibt bessere Möglichkeiten, Benutzer zu authentifizieren und ihre Identität zu validieren. Passwörter werden jedoch nicht so schnell verschwinden. Sie sehen, unsere Unternehmensnetzwerke basieren auf passwortbasierten Authentifizierungsprotokollen, und diese Protokolle werden uns viele Jahre lang erhalten bleiben. Viele unserer selbstentwickelten und Legacy-Systeme sind für die Nur-Kennwort-Authentifizierung ausgelegt. Es ist nicht praktikabel, unsere Netzwerkprotokolle zu ändern und die Authentifizierungsmethoden bestehender Systeme und Server zu ändern, nur um Passwörter zu vermeiden. Also nein, Passwörter werden in absehbarer Zeit nicht verschwinden.
Wenn Sie Passwörter nicht loswerden können – fügen Sie ihnen eine weitere Ebene hinzu
Die Realität ist, dass reine Passwort-Authentifizierungsmechanismen nicht sicher genug sind. Was kann also getan werden, um Authentifizierungsprozesse sicherer zu machen? Die Antwort ist seit einiger Zeit bekannt: sie mit einem zusätzlichen Authentifizierungsmechanismus überlagern.
Multi-Faktor-Authentifizierung (MFA)-Lösungen, manchmal auch 2FA genannt, sind seit Jahrzehnten verfügbar. Sie bieten diese zusätzliche Authentifizierungsebene, indem sie von Benutzern eine Authentifizierung mit einem zusätzlichen Faktor verlangen, bevor ihnen Zugriff auf sensible Systeme gewährt wird. Im Laufe der Jahre haben sie sich als wirksame und wichtige Sicherheitsmaßnahme erwiesen, um die Ausnutzung gestohlener/kompromittierter Zugangsdaten zu verhindern.
Warum verwenden wir sie also nicht, um alle unsere empfindlichen Systeme zu schützen?
Während viele Unternehmen viele proprietäre, selbst entwickelte und veraltete Systeme mit MFA schützen möchten, fällt es ihnen sehr schwer, dies zu tun. Das liegt am Mainstream MFA-Lösungen erfordern entweder die Implementierung von Software-Agenten auf jedem geschützten System oder die Implementierung von Proxys oder lokale Konfigurationen und Integrationen. Diese Anforderungen machen es schwierig und manchmal sogar unmöglich, sie auf solchen Systemen bereitzustellen.
Wie kann Silverfort Hilfe?
Silverfort bietet die erste agentenlose, Proxy-lose Authentifizierungsplattform, die MFA nahtlos für jedes sensible System ermöglicht, einschließlich derjenigen, die bis heute nicht geschützt werden konnten. Dazu gehören: proprietäre, selbst entwickelte und Legacy-Systeme, kritische IT-Infrastruktur, Dateifreigaben und Datenbanken, IoT-Geräte, SCADA-Server, medizinische Systeme wie PACS und EHR und viele mehr.
Wenn Sie mehr erfahren möchten, bitte kontaktieren Sie uns.
Schlussbemerkung:
Als ich diesen Blog schrieb, wurde ich an eine brillante Kampagne erinnert, die vor ein paar Jahren gestartet wurde (ich kenne die Quelle nicht):
Behandeln Sie Ihre Passwörter wie Ihre Unterwäsche:
- Teilen Sie sie niemals mit jemandem
- Wechseln Sie sie regelmäßig
- Halten Sie sie von Ihrem Schreibtisch fern
Ich möchte eine vierte Empfehlung vorschlagen:
- Legen Sie etwas über sie ...
Dana Tamir, VP Marktstrategie, Silverfort
Dana ist ein Veteran der Cybersicherheitsbranche mit über 15 Jahren praktischer Erfahrung und Führungspositionen in führenden Sicherheitsunternehmen. Vor Silverfort, war Dana VP Marketing bei Indegy. Davor war sie Director of Enterprise Security bei Trusteer (2012 von IBM übernommen). Außerdem hatte sie verschiedene Positionen bei Imperva, Symantec, Bindview und Amdocs inne. Dana hat einen Ingenieurabschluss vom Technion – Israel Institute of Technology, zusätzlich zu einer Reihe von Industrie- und Lieferantenzertifizierungen.
Um darüber zu erfahren, lesen Sie unbedingt unseren Leitfaden: Silverfort und sehen Sie sich eine Demo an, kontaktieren Sie uns
Ich wünsche allen einen schönen Nationalen Passworttag!