Vor kurzem wurde in einem Hackerforum die Passwortsammlung RockYou2024 veröffentlicht, die fast 10 Milliarden Passwörter aus alten und neuen Data Breaches enthält. Satnam Narang, Senior Staff Research Engineer bei Tenable, äussert sich zu den Risiken bei der Passwortnutzung und beleuchtet, welche Massnahmen Nutzer ergreifen können, um ihre Daten zu schützen.
«Für Hacker sind solche Breaches unbezahlbar, weil Anwender leider dazu neigen, für eine Reihe von Diensten die gleichen Passwörter zu verwenden», sagt Satnam Narang, Senior Staff Research Engineer bei Tenable. «Diese weit verbreitete Mehrfachnutzung ermöglicht es Angreifern, Techniken wie das ‚Credential Stuffing‘ zu verwenden und die entsprechenden Zugangsdaten einfach auf unterschiedlichsten Websites durchzuprobieren – in der Hoffnung, dass zumindest einer der Logins glückt.»
RockYou2024 ist nur jüngstes von vielen Beispielen
Tatsächlich seien die häufigen Data Breaches eine gute Erinnerung daran, wie wichtig eine robuste Passwort-Hygiene ist. Die Passwortsammlung RockYou2024 sei nur das jüngste von vielen Beispielen, bei denen Hacker die in unterschiedlichsten Breaches erbeuteten Daten zu einer einzigen Liste von Zugangsdaten (sprich: Benutzername-Passwort-Kombinationen) zusammengefügt hätten.
«Die Schuld dafür sollten wir aber nicht bei den Anwendern suchen», sagt Narang. «Denn die müssen heute so viele Zugänge zu Apps und Services managen, dass die Mehrfachverwendung von Passwörtern einfach praktikabler ist. Das ist auch der Grund, warum Services wie Passwort-Manager für die User so eine enorme Hilfe sind. Diese Tools wurden entwickelt, um starke und einzigartige Passwörter zu erstellen – und gestatten es den Anwendern, sich auf Webseiten anzumelden, ohne sich das entsprechende Passwort merken zu müssen. So müssen die Benutzer nur noch ein einziges Passwort im Kopf behalten: das zu ihrem Passwort-Manager-Account.»
Zusätzlich sollten die Anwender für kritische Dienste wie E-Mail oder Online-Banking wenn möglich starke Zwei-Faktor-Authentisierung verwenden. «Auch mit App-basierter Zwei-Faktor-Authentisierung, bei der alle 60 Sekunden ein neuer One-Time-Passcode (OTP) generiert wird, lässt sich wirkungsvoll unterbinden, dass Hacker auf einen Account zugreifen können», sagt Narang. «Das liegt daran, dass die Hacker zwar leicht an Passwörter kommen, die bei anderen Breaches gestohlen wurden – aber nur selten physikalischen Zugang zum Smartphone eines Anwenders haben. Also können sie auch nicht das richtige OTP eingeben.»
Die Data Breaches werden nicht aufhören. Daher ist es von entscheidender Bedeutung, dass die Anwender an ihrer Passwort-Hygiene arbeiten. «Das kann zum Beispiel bedeuten, dass sie Passwort-Manager integrieren, oder dass sie erwägen, die Account-Security durch Zwei-Faktor-Authentisierung – bevorzugt App-basierte Zwei-Faktor-Authentisierung – zu stärken», sagt Narang.
