Bei der Kreativität, die Anwender bei der Vergabe ihrer Passwörter aufbringen, ist es kein Wunder, dass die Übernahme von Mitarbeiterkonten nach wie vor ein Kernproblem der IT-Sicherheit darstellt. Das in Deutschland am häufigsten geleakte Passwort lautet noch immer 123456 - gefolgt von 123456789 und "passwort" auf Platz drei. Wer gerade an einen schlechten Scherz glaubt, muss nur einen Blick in die Statistiken zu erfassten veröffentlichten Leaks des Hasso-Plattner-Instituts (HPI) werfen. "Noch nie haben Sicherheitsforscher des Hasso-Plattner-Instituts so viele Leaks bei deutschen Webseiten erfasst, wie im Jahr 2021. Zeitgleich ist der Diebstahl digitaler Identitäten erneut angestiegen", sagt HPI-Direktor Christoph Meinel.
Das HPI gibt zur Passwortwahl folgende Empfehlungen:
Lange Passwörter (> 15 Zeichen)
Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
Keine Wörter aus dem Wörterbuch
Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
Verwendung von Passwortmanagern
Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Account Takeover
Unter den Begriff "Account Takeover" fallen alle Prozesse, mit denen sich Angreifer Zugang auf das Konto eines Nutzers verschaffen. In den meisten Fällen geschieht dies über kompromittierte Login-Daten. Auch die Mehrfachnutzung von Passwörtern für verschiedene Online-Konten trägt dazu bei. Standen anfangs vor allem E-Commerce-Webseiten und Finanzdienstleister im Visier krimineller Hacker, beherbergt mittlerweile so gut wie jede Onlineplattform, die eine Registrierung erfordert, das Risiko von Identitätsdiebstahl und Finanzbetrug.
Lesetipp: Wie sicher ist Ihre Login-Technologie?
Die Eingabe von Benutzername und Passwort auf einer Anmeldeseite läuft dabei in der Regel überall gleich ab. Single-Faktor-Authentifizierung, also die Anmeldung über ein einziges Passwort, stellt jedoch ein hohes Risiko dar.
Anwender sind notorisch schlecht bei der Wahl von Passwörtern, wie die obigen Ausführungen eindrücklich zeigen. Damit ist es ein Leichtes für Angreifer, das Passwort schlichtweg zu erraten.
Die automatisierte Variante dieses Ratespiels sind Brute-Force-Angriffe. Tools wie Medusa, Hydra, ncrack oder Metasploit ermöglichen es, lange Listen an Passwörtern systematisch auf Anmeldeseiten im Internet oder Remote-Desktop-Protokollen anzuwenden.
Wird ein Webdienst oder ein Unternehmen erfolgreich gehackt, gelangen in der Regel sogenannte Passwort-Hashes ins Netz. Hash-Funktionen verschlüsseln Passwörter in eine kompakte Zeichenkette. Tools wie HashCat oder John the Ripper erlauben es, diese Hash-Werte in Plaintext-Passwörter zurück zu "verwandeln".
Sind Geräte und Systeme einmal kompromittiert, lassen sich mit Tools wie Mimikatz Windows-Passwörter aus dem Speicher extrahieren. Keylogger zeichnen Eingaben auf der Tastatur auf, um an Logindaten zu gelangen.
2FA - doppelt hält nicht zwingend besser
Mehr Sicherheit verspricht an dieser Stelle der Einsatz einer Lösung zur Zwei-Faktor-Authentifizierung (2FA). Hierbei wird ein weiterer Faktor in den Authentifizierungsprozess mit aufgenommen, was eine zusätzliche Barriere bei Angriffen schafft und Angreifer ausbremsen soll. Hierzu werden am häufigsten "Besitz-Komponenten" genutzt - aber nicht nur. Zwei-Faktor-Authentifizierung ist nicht Zwei-Faktor-Authentifizierung - auch in diesem Bereich kommen verschiedene Technologien zum Einsatz, die sich teils stark voneinander unterscheiden und unterschiedliche Vor- und Nachteile mit sich bringen, was die Sicherheit im Allgemeinen, aber auch das Angriffsrisiko angeht:
Zwei-Faktor-Authentifizierung mit SMS Token
Die bekannteste Art der Zwei-Faktor-Authentifizierung läuft über SMS Token. Hierbei wird bei jeder Anmeldung ein Zufallscode generiert, der per SMS an das Smartphone des Anwenders geschickt wird. Laut einem Blogpost von Google lassen sich automatisierte Bot-Attacken auf diese Weise vollständig blockieren. Bei großangelegten Phishing-Kampagnen liegt dieser Wert bei 96 Prozent, bei gezielten Hackerangriffen immerhin noch 76 Prozent. Trotzdem gelten SMS Token zu Recht als die unsicherste 2FA-Variante. Gelingt es Angreifern, den Mobilfunkanbieter zu überlisten und die Telefonnummer des Opfers auf eine SIM-Karte zu portieren, können die Token über Swap-Angriffe abgefangen werden. Ein SIM-Token kann zudem wiederverwendet werden ("Replay-Attacke"), wenn er im Rahmen einer Social-Engineering-Kampagne an einen maliziösen Server gesendet wird.
2FA mit Smartcards
Smartcards oder Integrated Circuit Chip (ICC)-Karten kommen zur Zwei-Faktor-Authentifizierung typischerweise in hochsicheren Windows-Umgebungen zur Anwendung - etwa beim US-Verteidigungsministerium. Die Smartcard hat die Größe einer normalen Kreditkarte, ist aber mit einem integrierten Chip ausgestattet, der ein digitales X509-Zertifikat speichert, das zur eindeutigen Identifizierung des Benutzers verwendet wird. Dieses Zertifikat ist verschlüsselt und muss mit einer PIN freigeschaltet werden. Damit verfügt das Hardware-gestützte Zertifikat zwar über starke Sicherheitseigenschaften. Für größere Unternehmen ist die Verwaltung einer Public-Key-Infrastruktur jedoch enorm aufwändig - vor allem wenn die Smartcards über verschiedene Standorte auf internationaler Ebene bereitgestellt werden müssen.
Zwei-Faktor-Authentifizierung via TOTPs
Time Based One Time Passwords (TOTPs) werden kryptographisch über eine Software erstellt. Die App wird dabei einmalig mit dem Server synchronisiert (einschließlich der Uhren) und kann anschließend jede Minute eine neue kryptographische Zufallszahl generieren, die als zweiter Authentifizierungs-Faktor eingesetzt wird. Einmal eingerichtet, erfordert ein TOTP keine weitere Kommunikation zwischen der App und dem Server, so dass der Code nicht (wie bei einem SMS Token) abgefangen werden kann. Der Nachteil: Es gibt keine Authentifizierung der Server-Komponente. Über Social Engineering kann der Code also ebenfalls in die falschen Hände geraten.
Lesetipp: So funktioniert Social Engineering
Statt via Software können solche Einmalpasswörter auch über Hardware Token erstellt werden. Doch auch hier bleibt ein Sicherheitsrisiko, denn die Hardware-basierten TOTP Token können verloren werden oder kaputtgehen und müssen dann ersetzt und registriert werden, was ebenfalls nicht unaufwändig ist.
2FA per Universal Second Factor
Wem das Abfangen von 2FA-Token zu riskant erscheint, der setzt auf Universal Second Factor (U2F). Dabei handelt es sich um einen von der FIDO (Fast IDentity Online) Alliance entwickelten Standard. Universal Second Factor wird in der Regel über Hardware Token implementiert und authentifiziert den Server, mit dem der Client kommuniziert, über den öffentlichen Schlüssel des Dienstes. Ein kryptographisch geschützter Speicherbereich wird dabei als Sicherheitselement auf dem Hardware Token hinterlegt. Der Austausch von Anmeldeinformationen ist nicht nötig. Das Klonen oder Imitieren von Webseiten zum Abfangen von Login-Daten funktioniert damit nicht länger, da die gespeicherte Signatur nicht mit der abgefragten Signatur übereinstimmt.
Zwei-Faktor-Authentifizierung oder Account Hack!
Die Effektivität der einzelnen 2FA-Technologien stellt ein wichtiges Auswahlkriterium dar. Für Unternehmen stellt sich zudem die Frage nach der Praktikabilität einer unternehmensweiten Implementierung. Viele Nutzer empfinden es im Arbeitsalltag als umständlich, für den Zugang zu internen Systemen ein zusätzliches Gerät einsetzen zu müssen. Hier gilt es, zwischen IT-Sicherheit und einer schnellen und zentralen Implementierung sowie einem möglichst einfachen Management abzuwägen. Muss die 2FA-Lösung auf Smartphones, Tablets und Geräten installiert werden, kann das einen enormen Zeitaufwand bedeuten. Spezielle Hardware wie Security Tokens wiederum können verlorengehen oder einem Defekt erliegen. Unternehmen, die über einen Einsatz von Zwei-Faktor-Authentifizierung nachdenken, müssen also zwangsläufig Kompromisse eingehen.
Lesetipp: Im Kopf des Bösen - So denken und handeln Hacker
Vor dem Hintergrund der aktuellen Bedrohungslage und dem Umstand, dass kriminelle Hacker nicht müde werden, ständig neue Angriffsmethoden zu entwickeln, ist es insbesondere für Unternehmen allerhöchste Zeit, strengere Authentifizierungs-Prozesse durchzusetzen. Das könnte der einzige Weg sein, um das "123456"-Problem endgültig aus der Welt zu schaffen und Account-Takeover-Attacken zielgerichtet zu bekämpfen. (fm/bw)