Anlässlich des Monats der Cybersicherheit 2023 beklagt Dr. Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks, die lange Tradition schlechter Passworthygiene.

In honor of Cybersecurity Month, Dr. Klaus Gheri, Vice President & General Manager Network Security at Barracuda Networks, laments the long tradition of poor password hygiene.

Passwörter sind nach wie vor wichtig für die Sicherheit, werden aber oft vernachlässigt. In diesem Oktober findet zum zwanzigsten Mal der Europäische Monat der Cybersicherheit statt, der jedes Jahr dazu aufruft, Maßnahmen zur Verbesserung der Cybersicherheit zu ergreifen, wie z. B. sichere Passwörter zu erstellen, Software auf dem neuesten Stand zu halten und andere grundlegende Best Practices zu befolgen. Jeder weiß, dass dies gute Ratschläge sind.

Doch auch 20 Jahre später tun sich Millionen von Unternehmen und ihren Mitarbeitern schwer, sie zu befolgen. Dass es sehr menschlich ist, technische Ratschläge zu ignorieren, selbst wenn wir wissen, dass sie vernünftig sind, zeigt eine wissenschaftliche Studie von Forschern der Queensland University of Technology. Demnach lesen weniger als 25 Prozent der Befragten jemals das Handbuch oder die Bedienungsanleitung eines neuen Geräts oder einer neuen Anwendung.

Schlechte Passwort-Hygiene hat Tradition

Passwörter sind der Schlüssel zu sensiblen Daten und Online-Vermögenswerten – warum also nicht ein starkes, einzigartiges und schwer zu erratendes Passwort verwenden? Komplexe Passwörter sind sicher, aber schwer zu merken. Eine aktuelle Studie von LastPass zeigt, dass 62 Prozent der Internetnutzer immer noch dieselben Passwörter oder Varianten davon verwenden.

Zugleich sind laut dem Verizon Data Breach Investigations Report 2023 kompromittierte Passwörter für 81 Prozent der Sicherheitsverstöße verantwortlich. Darüber hinaus wird die Multi-Faktor-Authentifizierung (MFA), die zur Stärkung der Zugangskontrollen entwickelt wurde, nun mit einigem Erfolg von Angreifern ins Visier genommen, die Techniken wie MFA-Müdigkeit einsetzen, bei denen Opfer auf ihrem Smartphone solange mit MFA-Anfragen bombardiert werden, bis sie die Anfrage genehmigen.

Mehr Benutzerfreundlichkeit schaffen: Passwortlose Authentifizierung als Alternative

Trotz jahrzehntelangen Warnungen setzen Menschen immer noch nicht routinemäßig starke, einzigartige Passwörter ein. Außerdem reicht eine passwortbasierte Authentifizierung nicht mehr aus, um Identitäten zuverlässig zu schützen. Daher ist es notwendig, Alternativen in Betracht zu ziehen.

Die passwortlose Authentifizierung ist eine Möglichkeit, die Identität einer Person mit alternativen Methoden wie Biometrie über Fingerabdrücke oder Gesichtserkennung, Hardware-Tokens oder Einmalpasswörtern (OTP), die per E-Mail oder SMS gesendet werden, zu überprüfen. Viele Consumer-Anwendungen und -geräte basieren bereits auf biometrischen Daten, darunter einige Mobiltelefone, Bank- und Zahlungsanwendungen.

Im geschäftlichen Umfeld kann die Entwicklung hin zum passwortlosen Zugang etwas länger dauern – Lösungen sind noch im Entstehen, und nicht jedes Unternehmen ist bereit, diesen Ansatz zu übernehmen. Jedoch kann die Migration zu einem passwortlosen Ansatz mit zentralisiertem Berechtigungsmanagement und Self-Service-Zugriffsberechtigungen zu deutlich mehr Sicherheit und Benutzerfreundlichkeit beitragen. Risiken, die mit traditionellen Passwörtern einhergehen, können dadurch im Keim erstickt werden.

Passwords are still important for security, but they are often neglected. This October marks the twentieth annual European Cyber Security Month, which encourages people to take steps to improve their cyber security, such as creating strong passwords, keeping software up-to-date and following other basic best practices. Everyone knows this is good advice. But 20 years later, millions of companies and their employees still struggle to follow it. A scientific study by researchers at the Queensland University of Technology shows that it’s very human to ignore technical advice, even when we know it’s sound. According to the study, less than 25 percent of respondents ever read the manual or user guide for a new device or application.

 

A tradition of poor password hygiene

 

Passwords are the key to sensitive data and online assets, so why not use a strong, unique, and hard-to-guess password? Complex passwords are secure, but hard to remember. A recent study by LastPass shows that 62 percent of Internet users still use the same passwords or variations of them.

At the same time, compromised passwords account for 81 percent of security breaches, according to the Verizon Data Breach Investigations Report 2023. In addition, multi-factor authentication (MFA), which was designed to strengthen access controls, is now being targeted with some success by attackers using techniques such as MFA fatigue, in which victims are bombarded with MFA requests on their smartphones until they approve the request.

Creating more user experience: Passwordless authentication as an alternative

 

Despite decades of warnings, people still don’t routinely use strong, unique passwords. Moreover, password-based authentication is no longer sufficient to reliably protect identities. Therefore, it is necessary to consider alternatives.

Passwordless authentication is a way to verify a person’s identity using alternative methods such as biometrics via fingerprints or facial recognition, hardware tokens, or one-time passwords (OTP) sent via email or SMS. Many consumer applications and devices already rely on biometrics, including some cell phones, banking and payment applications.

In the business environment, the move toward passwordless access may take a little longer – solutions are still emerging, and not every organization is ready to adopt this approach. However, migrating to a passwordless approach with centralized credential management and self-service access permissions can help significantly improve security and ease of use. Risks associated with traditional passwords can be nipped in the bud.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner