Sichere Passwörter allein reichen nicht
Das britische National Cyber Security Centre hat herausgefunden, dass weltweit 23 Millionen Menschen das Passwort "123456" verwenden. Der diesjährige Welt-Passwort-Tag am 5.5. hat also seine Berechtigung und Sicherheitsexperten überschlagen sich wie an jedem ersten Donnerstag im Mai mit nützlichen Tipps und Hinweisen. Je nach eigenem Produktportfolio unterschieden sich die Ratschläge zum Teil aber deutlich. Ein gemeinsamer Tenor ist aber zu vernehmen: Ein sicheres Passwort kann nur der erste Schritt sein.
Fünf Tipps für sichere Passwörter
Checkpoint geht die Sache eher konventionell an und gibt fünf Tipps, wie sich ein Kennwort besonders sicher gestalten lässt. Zunächst sollte es immer aus einer zufälligen Folge aus einer Kombination verschiedener Zahlen, Buchstaben und Symbole bestehen. Außerdem sei es wichtig, für jede App und jeden Dienst ein unterschiedliches Kennwort zu verwenden. Der Grundsatz "je länger, desto stärker" sowie das regelmäßige Ändern des Zugangsworts gehören laut Checkpoint ebenso zum Passwortmanagement. Und auch wenn die Credentials sicher gewählt sind, empfiehlt der Anbieter für einen umfassenden Schutz die die Implementierung einer Zweifaktor-Authentifizierung.
Zero Trust sorgt für mehr Sicherheit
Ins gleiche Horn stößt Skyhigh Security Es reiche heute nicht mehr aus, nur einen Benutzernamen und ein Passwort zu haben. Unternehmen müssen darüber hinausgehen und sicherere Verfahren anbieten, zum Beispiel durch Einführung von Multifaktor-Authentifizierung. Der zweite Schritt ist laut dem Anbieter die Umsetzung von "Zero Trust" im gesamten Unternehmensnetz. Das bedeutet, dass den Benutzern nicht automatisch Vertrauen geschenkt wird, sondern, dass sie es sich durch ihre Anmeldemuster und ihr Verhalten "verdienen" müssen.
Segmentierung durch Secure Access Service Edge
Wie sich Zero Trust in der Praxis umsetzen lässt, damit beschäftigen sich die Experten von Versa Networks. Technologien wie Secure Access Service Edge (SASE) sollen dafür sorgen, dass Benutzer erst dann Zugang zum Netzwerk erhalten, wenn sie ordnungsgemäß identifiziert sind und bestätigt wurde, dass sie über die richtigen Anmeldedaten verfügen. Zudem sollten Nutzer immer nur auf das zugreifen können, was sie für die Ausübung ihrer jeweiligen Tätigkeit auch tatsächlich benötigen: Durch diese Segmentierung des Netzwerks wird die Bewegung von Malware eingeschränkt.
Passwortlose Authentifizierung mittels FIDO
Thales stellt sich die grundsätzliche Frage, ob gewöhnliche Passwörter überhaupt noch ausreichend Sicherheit für die Authentifizierungsprozesse der Unternehmen bieten können. Organisationen sollten stattdessen zuverlässigere Zugriffsmanagementlösungen, wie passwortlose Authentifizierung auf der Grundlage von FIDO einsetzen. Eine weitere Möglichkeit stellen zertifikatsbasierte PKI-Authentifizierung und richtlinienbasierte Zugriffs- und Cloud-Zugriffsmanagementlösungen dar. Nur so ließen sich die inhärenten Schwachstellen von textbasierten Passwörtern überwinden.
Clood-Root-Zugriff nur mit MFA
Explizit auf die Risiken der Cloudnutzung weist Orca Security hin: Angesichts einer sich ständig erweiternden Bedrohungslandschaft müssen Unternehmen in der Lage sein, alle Passwörter und geheimen Schlüssel zu finden, die fälschlicherweise in ihren Cloudbeständen gespeichert wurden und bei Diebstahl ein ernstes Sicherheitsrisiko darstellen. Das Forschungsteam des Anbieters hat kürzlich herausgefunden, dass eins von drei Unternehmen Root-Admin-Zugriff auf Cloudkonten ohne MFA bereitgestellt hat – was zeige, welchen Schaden ein Passwort anrichten kann.
Automatisierung auch bei der Passwortverwaltung
Delinea wiederum betont, dass Automatisierung auch bei der Kennwortverwaltung wichtig ist, Für Unternehmen sollte ein Passwortmanager mittlerweile eine Standardimplementierung sein, ebenso wie spezielle Kontrollen von privilegierten Zugängen. Diese ermöglichen es, Passwörter zu automatisieren, zu rotieren und abzusichern. Um noch einen Schritt weiter zu gehen, sollten Firmen nicht nur auf ihre interne Passworthygiene achten, sondern auch ihre Zulieferer und Auftragnehmer unter die Lupe nehmen.
Auch Bots Angriffsziel von Passwortdieben
Von CyberArk kommt schließlich der Hinweis, dass nicht nur Menschen für Angreifer interessant sind, sondern auch Software-Bots – kleine Codeteile, die sich wiederholende Aufgaben erledigen. Cyberkriminelle haben es besonders auf diese Bots abgesehen, weil sie wissen, dass ihre Passwörter in vielen Fällen unregelmäßig geändert werden. Außerdem haben Bots in der Regel zu viele Berechtigungen und mehr Zugriffsmöglichkeiten als nötig. Zudem sei es wichtig, hart kodierte Kennwörter zu eliminieren und Secrets zu schützen, die über die gesamte Umgebung verteilt sind.