Sicherheit: Konzept Passwort muss überdacht werden

Veracode empfiehlt sich bei Anwendungen auf die Authentifizierungsprozesse zu fokussieren

Ein Kommentar von Julian Totzek-Hallhuber, Solution Architect bei Veracode

[datensicherheit.de, 05.05.2020] Cyber-Kriminelle können ein Passwort mit 7 Zeichen heutzutage in nur 0,29 Millisekunden knacken. Deshalb ist es höchste Zeit das Konzept ‚Passwort‘ zu überdenken und sich bei Anwendungen auf die Authentifizierungsprozesse zu fokussieren. Die meisten Unternehmen kennen die Herausforderungen rund um Passwortsicherheit, aber sind sich nicht darüber im Klaren, dass Sicherheit auch im Software-Entwicklungs-Prozess eine zentrale Rolle spielt. So ist einer der wichtigsten Aspekte von Web-Applikationen der Authentifizierungsmechanismus, der weit über ein Passwort hinausgeht um die Anwendungen abzusichern und gleichzeitig auch bestimmte Nutzerrechte definiert.

Simples Passwort nicht ausreichend

Ein simples, statisches Passwort reicht in unserem datengetriebenen Jahrzehnt einfach nicht mehr aus. Die meisten Unternehmen haben bereits ein Bewusstsein dafür entwickelt, wie wichtig Software-Sicherheit für Datenschutz ist. Aber leider übernehmen Banken und andere Industrien noch nicht genug Eigenverantwortung für die Authentifizierungsprozesse der eigenen Anwendungen, um beispielsweise betrügerische Kontozugriffe aufdecken zu können. Der diesjährige Welt-Passwort-Tag am 07. Mai 2020 ist also die perfekte Gelegenheit Entwicklern die nötigen Trainings und Sicherheits-Tools an die Hand zu geben. So können Entwickler beispielsweise durch Best Practices sicheres Coden lernen. Hacker werden jenseits der Passwörter weitere Sicherheitslücken im Anwendungs-Layer suchen und durch das richtige Training können Entwickler Nutzer vor entsprechenden Datenverlusten bestmöglich schützen.

Bild: Veracode

Julian Totzek-Hallhuber, Solution Architect bei Veracode

Dennoch sollten Nutzer auch selbst Verantwortung übernehmen und bestimmte Sicherheitsmaßnahmen in Bezug auf Passwörter und Authentifizierung befolgen:

1. Zwei-Faktor-Authentifizierung
   Dass die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) die Sicherheit von Accounts und Konten stark verbessert ist heute kein Geheimnis mehr. Nichtsdestotrotz versäumen viele Nutzer, insofern sie nicht vorgeschrieben ist, eine 2FA einzusetzen – oftmals womöglich aus Bequemlichkeit. Dabei gibt es viele simple und schnelle Möglichkeiten eine 2FA zu benutzen. Am verbreiteten sind einmalig-generierte Codes, die nach der Eingabe von Nutzername und Passwort per SMS an eine hinterlegte Mobilnummer geschickt werden. Erst nach erfolgreicher Eingabe des Codes kann sich der Nutzer einloggen. Selbstverständlich garantiert eine 2FA auch keine absolute Sicherheit. Um sich noch mehr schützen, können Nutzer einen Schritt weitergehen und eine Multi-Faktor-Authentifizierung einsetzen, bei der eine Kombination vielzähliger Identifizierungsmerkmale eingesetzt wird.
2. Komplexe Passwörter einsetzen
   Hier gilt natürlich: je länger und komplexer das Passwort, desto besser. So empfiehlt sich der Einsatz von Ziffern, Sonderzeichen und Groß- und Kleinbuchstaben. Noch besser ist es ganze Sätze in bestimmte Phrasen umzuwandeln und damit zufällige Wortfolgen zu generieren. Besonders ratsam ist auch sein Passwort selbstständig in Abschnitten von mindestens 60-90 Tagen zu ändern. Für Personen, die mit besonders sensiblen Daten und Informationen arbeiten, empfiehlt es sich einen Passwort-Manager einzusetzen.
3. Recycling ist gut – aber nicht bei Passwörtern
   So verlockend es auch sein mag – es ist stark davon abzuraten das gleiche Passwort für mehrere Konten und Accounts zu nutzen. Sollten Hacker das Passwort geknackt haben, so können sie sich danach kinderleicht Zugang zu allen Accounts und Daten verschaffen. Auch eine Abwandlung des gleichen Passworts ist für Cyber-Kriminelle relativ leicht zu knacken und im Falle eines Lecks können Hacker dadurch prompt auf alle Daten zugreifen. Deshalb sollten Nutzer Passwörter niemals recyceln, sondern für jedes Konto ein eigenes Passwort einsetzen.

Weitere Informationen zum Thema:

Veracode
Use Veracode to secure the applications you build, buy & manage

datensicherheit.de, 18.12.2019
HPI veröffentlicht beliebteste deutsche Passwörter 2019

datensicherheit.de, 28.02.2019
Anwendungssicherheit: Finanzsektor auf dem vorletzten Platz

datensicherheit.de, 16.12.2018
IT-Sicherheit: Die Top Ten der deutschen Passwörter