Die Sicherheit von Passwörtern ist durch Datenlecks gefährdet. 2FA ist die Antwort, meint Satnam Narang, Senior Research Engineer, Tenable. | Password security is at risk from data breaches. 2FA is the answer, says Satnam Narang, senior staff research engineer at Tenable. |
Für Hacker sind solche Sicherheitslücken unbezahlbar, da Nutzer leider dazu neigen, dieselben Passwörter für eine Reihe von Diensten zu verwenden. Diese weit verbreitete Mehrfachnutzung ermöglicht es Angreifern, Techniken wie ‚Credential Stuffing‘ einzusetzen und die entsprechenden Zugangsdaten einfach auf verschiedenen Websites auszuprobieren – in der Hoffnung, dass zumindest einer der Logins erfolgreich ist.
Tatsächlich sind die häufigen Datenpannen eine gute Erinnerung daran, wie wichtig eine solide Passwort-Hygiene ist. Die Passwortsammlung „RockYou2024“ ist nur das jüngste von vielen Beispielen, bei denen Hacker die in den unterschiedlichsten Datenlecks erbeuteten Daten zu einer einzigen Liste von Zugangsdaten (sprich: Benutzername-Passwort-Kombinationen) zusammengefügt haben. Die Schuld dafür sollten wir aber nicht bei den Nutzern suchen. Denn diese müssen heute so viele Zugänge zu Apps und Diensten verwalten, dass die Mehrfachverwendung von Passwörtern einfach bequemer ist. Das ist auch der Grund, warum Dienste wie Passwortmanager so eine große Hilfe für die Nutzer sind. Diese Tools wurden entwickelt, um starke und einzigartige Passwörter zu erstellen – und ermöglichen es den Nutzern, sich auf Webseiten anzumelden, ohne sich das Passwort merken zu müssen. Auf diese Weise müssen sich die Nutzer nur noch ein einziges Passwort merken: das ihres Passwort-Manager-Kontos. Zusätzlich sollten Nutzer für kritische Dienste wie E-Mail oder Online-Banking nach Möglichkeit eine starke Zwei-Faktor-Authentifizierung (2FA) verwenden. Auch die App-basierte Zwei-Faktor-Authentifizierung, bei der alle 60 Sekunden ein neuer One-Time-Pass-Code (OTP) generiert wird, ist ein wirksames Mittel, um Hackern den Zugriff auf ein Konto zu verwehren. Das liegt daran, dass Hacker zwar leicht an Passwörter gelangen, die bei anderen Angriffen gestohlen wurden, aber nur selten physischen Zugang zum Smartphone eines Nutzers haben. Daher können sie auch nicht das richtige OTP eingeben. Datenpannen werden nicht aufhören. Deshalb ist es wichtig, dass die Nutzer an ihrer Passwort-Hygiene arbeiten. Das kann zum Beispiel bedeuten, dass sie Passwortmanager integrieren oder sich überlegen, die Account-Sicherheit durch eine Zwei-Faktor-Authentifizierung – am besten eine App-basierte Zwei-Faktor-Authentifizierung – zu stärken. |
Such vulnerabilities are invaluable to hackers because, unfortunately, users tend to use the same passwords for a number of services. This widespread reuse allows attackers to use techniques such as credential stuffing, simply trying the same credentials on different sites in the hope that at least one of the logins will be successful.
In fact, frequent data breaches are a good reminder of the importance of good password hygiene. The „RockYou2024“ password dump is just the latest of many examples of hackers compiling data from various data leaks into a single list of credentials (i.e., username/password combinations). However, we should not blame users for this. Today, they have to manage so many accesses to applications and services that it is simply more convenient to use multiple passwords. This is also why services like password managers are such a great help for users. These tools are designed to create strong and unique passwords – and allow users to log in to sites without having to remember the password. This way, users only need to remember one password: that of their password manager account. In addition, users should use strong two-factor authentication (2FA) wherever possible for critical services such as email or online banking. App-based two-factor authentication, which generates a new one-time passcode (OTP) every 60 seconds, is also an effective way to prevent hackers from accessing an account. While hackers can easily obtain passwords stolen in other attacks, they rarely have physical access to a user’s smartphone. They cannot enter the correct OTP. Data breaches are here to stay. That’s why it’s important for users to work on their password hygiene. This may mean integrating password managers or considering strengthening account security with two-factor authentication – preferably app-based two-factor authentication. |
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de