So schützen Sie Ihre Datenbank vor Passwortlecks
Cyberkriminelle wollen, dass die Unternehmen, auf die sie es abgesehen haben, Passwörter preisgeben. Diese Strategien und Taktiken helfen dabei, Kennwortdatenbanklecks zu verhindern.
Wichtige Punkte
- Passwörter sind immer noch ein Schlüsselfaktor bei 80 % der Cyberangriffe und ein wachsendes Problem für Sicherheitsexperten.
- Cyberkriminelle haben viele Möglichkeiten, sich Zugang zu Passwörtern zu verschaffen, und können ein durchgesickertes Passwort oft dazu nutzen, in Datenbanken mit anderen Zugangsdaten einzudringen.
- Es gibt verschiedene Möglichkeiten, Ihre Datenbank vor Passwortlecks zu schützen, z. B. durch die Forderung nach stärkeren Passwörtern, die Hinzufügung einer mehrstufigen Authentifizierung und die Einschränkung von Anmeldeversuchen.
- Bewährte Verfahren erfordern ständige Aufmerksamkeit. Tools zur Sicherheitsüberwachung können einige dieser Funktionen automatisieren.
Passwörter sind die Schlüssel, die alles, was wir online besitzen, sichern. Nach der Analyse der jüngsten Datenschutzverletzungen sieht es jedoch so aus, als würden die meisten Menschen Passwörter wie Hausschlüssel behandeln: Sie denken nicht darüber nach, bis sie sie verlieren - oder sie ausgeraubt werden. Leider wissen das auch die Bösewichte.
Der Diebstahl von Passwörtern ist die beliebteste Methode, mit der Cyberkriminelle in Systeme eindringen und in Datenbanken eindringen. Laut der jährlichen Umfrage von Verizon zum Thema Datenschutzverletzungen waren acht von zehn Sicherheitsverletzungen im Jahr 2020 entweder auf gestohlene Zugangsdaten oder auf einen Brute-Force-Einbruch mit mehreren Passwörtern zurückzuführen.[1]
Bedrohungsakteure können durchgesickerte Kennwörter leicht finden, und ein Satz von Anmeldedaten kann manchmal die Tür zu Hunderten von anderen öffnen. Und so geht's: Wenn ein Benutzer ein Kennwort erstellt, wird der Text "gehasht" oder in Zahlen verschlüsselt und als Code in einer Datenbank gesichert. Selbst wenn Cyberkriminelle in die Passwortdatenbank eindringen, ist sie theoretisch ohne den Algorithmus, der die Passwörter gehasht hat, nutzlos. Wenn sie jedoch ein gültiges Kennwort in der Hand haben, können sie den Algorithmus zurückentwickeln - was einem Generalschlüssel für all diese Kennwörter gleichkommt. Aus diesem Grund wurden beispielsweise Anfang 2021 2,3 Millionen Datensätze, die in der Benutzerdatenbank der Dating-Website MeetMindful gespeichert waren, für jeden Bedrohungsakteur kostenlos im Dark Web veröffentlicht - darunter alles von verschlüsselten Passwörtern und Facebook-IDs bis hin zu Dating-Vorlieben.[2]
Wie gute Unternehmen von schlechten Passwort-Datenverletzungen betroffen sind
Bei einem Großteil der Einbrüche in Datenbanken spaziert ein Cyberkrimineller einfach durch die Eingangstür und verwendet ein legitimes Passwort. Dies ist besonders gefährlich, da ein böser Akteur mit gültigen Anmeldedaten den Anschein erweckt, ein echter Benutzer zu sein, während er die Passwörter anderer Benutzer ausspäht.
Hier sind einige der häufigsten Methoden, mit denen Cyberkriminelle Passwörter knacken:
- E-Mail-Phishing mit Social Engineering: Bei diesen Angriffen - die fast immer mit einer Phishing-E-Mail eingeleitet werden - bringen Cyberkriminelle die Benutzer dazu, ihre Anmeldedaten bereitwillig preiszugeben, indem sie sich zum Beispiel auf einer gefälschten Website anmelden. Dazu recherchieren sie zunächst ausreichend, um Wissen über den Benutzer und sein Unternehmen zu erlangen, das die Phishing-E-Mail legitim erscheinen lässt (das ist der Social Engineering-Teil).
- Brute-Force: Genau wie es sich anhört, verwenden Cyberkriminelle automatisierte Tools, um so viele Zeichenkombinationen auszuprobieren, wie nötig sind, um das Schloss zu "knacken". Sie beginnen in der Regel mit schwachen Standardpasswörtern wie "0000" oder "pasw0rd" und gehen von dort aus weiter - falls nötig.
- Wörterbuchangriffe: Mit ein wenig Nachdenken und roher Gewalt findet ein Cyberkrimineller die Benutzernamen einer Organisation heraus (oft haben Unternehmen eine Standardstruktur) und verwendet dann einen Bot, der gängige Wort- und Zahlenkombinationen durchläuft, bis er das Passwort knackt.
- Key Loggers: Dies geschieht, wenn ein Benutzerkonto mit Malware infiziert ist, die die Online-Aktivitäten des Benutzers verfolgt. Die Malware sammelt nicht nur Passwörter, sondern auch die Websites, auf die sie verweisen, um später in diese Websites einzudringen.
- "Man in the middle" (MITM)-Angriffe: Bei MITM-Angriffen fangen Bedrohungsakteure die Kommunikation zwischen zwei Parteien ab, verändern sie möglicherweise und leiten sie dann weiter, wobei sie glauben, dass sie direkt miteinander kommunizieren. Auf diese Weise kann ein Bedrohungsakteur alle möglichen potenziell nützlichen Informationen sammeln, einschließlich Passwörter.
- Traffic Interceptors: Mit Hilfe von Technologien wie Packet Sniffers - Programmen, die online fließende Informationspakete analysieren - können Cyberkriminelle unverschlüsselte oder sogar schwach verschlüsselte Passwörter abfangen. Öffentliche Wi-Fi-Netzwerke bieten schlechten Akteuren eine gute Gelegenheit für diese Art von Angriffen.
Die Verizon-Studie ergab, dass Passwort-Dumper" - Malware, die Systeme durchsucht, um Anmeldedaten zu erbeuten - die beliebteste Malware-Variante unter Cyberkriminellen geworden ist. Der Diebstahl von - wie es in der Verizon-Studie heißt - "süßen, süßen Anmeldedaten" ist ein großes Geschäft. Durchgesickerte Passwort-Datenbanken sind im Dark Web verfügbar und können von Cyberkriminellen für ihre Angriffe genutzt werden.
Die Kosten von Passwort-Datenbanklecks
Der Schaden, der durch diese Passwortlecks entsteht, kann erschreckend sein. Laut dem jährlichen Bericht des Ponemon Institute ( Cost of a Data Breach ) belaufen sich die durchschnittlichen Kosten einer einzelnen Datenschutzverletzung für ein Unternehmen auf 3,86 Millionen US-Dollar.[3]
Und das sind nur die Kosten für die Behebung und die Verluste durch Betriebsunterbrechungen. Eine Sicherheitsverletzung kann auch zu einem Verlust des Ansehens bei Kunden und Anbietern führen. Eine Studie über börsennotierte Unternehmen ergab, dass deren Aktienkurse in den Monaten nach einer Datenschutzverletzung sanken.[4]
Frühzeitige Erkennung und schnelle Reaktion sind entscheidend, um den Schaden zu minimieren. Laut der Umfrage des Ponemon Institute benötigen Unternehmen durchschnittlich 280 Tage, um eine Datenschutzverletzung zu erkennen und einzudämmen - viel Zeit für Bedrohungsakteure, um mit den entwendeten Passwörtern großen Schaden anzurichten. In der Zwischenzeit verlangen neue Vorschriften wie die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union und das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher (CCPA) eine schnelle Benachrichtigung der Nutzer, wenn eine Datenschutzverletzung vorliegt, und legen Strafen für die Nichteinhaltung fest. Nach der GDPR haben Unternehmen 72 Stunden Zeit, um die betroffenen Nutzer zu benachrichtigen, nachdem sie eine Datenschutzverletzung bemerkt haben.
Schützen Sie Ihre Datenbank vor Passwortlecks
Es gibt viele führende Praktiken, die helfen können, Passwortlecks zu verhindern. Das Open Web Application Security Project (OWASP) schlägt vor, unvorhersehbares Verhalten in Ihre Website einzubauen, um Cyberkriminelle abzuschrecken und ihre Bots zu blockieren.[5] Beispielsweise würde die Verwendung unterschiedlicher Meldungen bei jeder fehlgeschlagenen Anmeldung Bots ablenken, die nach der gleichen Meldung "falscher Benutzername oder falsches Passwort" als Auslöser für einen weiteren Versuch suchen. Das OWASP Testing Project, ein Open-Source-Projekt, verfügt über eine Reihe von Testleitfäden, die Cybersecurity-Experten bei der Bewertung von Schwachstellen helfen können, z. B. schwache Passwortrichtlinien oder Passwortänderungsfunktionen.[6]
Sicherheitsüberwachungs-Tools wie Passwort-Manager können dabei helfen, Benutzeranmeldungen bei mehreren Anwendungen und Cloud-Diensten zu ermöglichen und gleichzeitig Passwörter sicher zu halten. Sie können auch grundlegende Praktiken der Passworthygiene unter den Nutzern Ihres Systems operationalisieren.
Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM) können eine ungewöhnliche Anzahl von Anmeldungen melden, die auf einen laufenden Brute-Force-Angriff hindeuten könnten. Viele SIEM-Programme sperren den Benutzer auch nach einer bestimmten Anzahl von Anmeldeversuchen. Das Sperren von Benutzern nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche kann das "Ausfüllen von Anmeldeinformationen" verhindern, aber Vorsicht vor unbeabsichtigten Folgen, denn einige Denial-of-Service-Angriffe (DoS) können diese Taktik nutzen, um alle Benutzer zu sperren. Captchas können auch helfen, Wörterbuch- und Brute-Force-Angriffe und andere Versuche mit Bots zu verhindern.
Die Multifaktor-Authentifizierung kann die Sicherheit Ihrer Passwörter erhöhen, ebenso wie die biometrische Identifizierung, z. B. der Fingerabdruck-Scan oder die Gesichtserkennung auf Ihrem Mobiltelefon.
Zurück zu den Grundlagen
Eine Google-Umfrage ergab, dass 52 % der Benutzer immer noch Passwörter wiederverwenden und weitere 13 % dasselbe für alle ihre Konten verwenden.[7] Mit ein paar einfachen Maßnahmen können Sie verhindern, dass Ihre Benutzer zu Passwortlecks beitragen:
- Verlangen Sie starke Passwörter: Die Electronic Frontier Foundation empfiehlt die Verwendung von Würfeln und einer Liste von Wörtern, um wirklich zufällige "Passphrasen" zu erzeugen. [8]
- Passwörter ändern: IT-Experten sind sich nicht einig, ob Benutzer ihre Passwörter alle 30, 60 oder 90 Tage ändern sollten. Tatsächlich ergab eine Studie der Carnegie Mellon University, dass nur 33 % der untersuchten Benutzer ihre Passwörter nach einem Datenschutzverstoß ändern - und selbst dann änderten die meisten ihre Passwörter, die nicht stärker oder schwächer waren als zuvor.[9]
- Überwachen Sie Passwörter: Einige Browser, wie Chrome, warnen jetzt einzelne Benutzer, wenn ihre Passwörter kompromittiert wurden. Sie können auch auf der Website "Have I Been Pwned?" nachsehen, ob E-Mail-Adressen oder Passwörter kompromittiert wurden.[10]
Die Quintessenz
Abgesehen von der Rückkehr zu Aktenschränken gibt es keine Möglichkeit, Ihre Datenbank vollständig vor Angriffen zu schützen. Aber in Zusammenarbeit mit Ihren Benutzern können Sie eine starke Passwortpraxis einsetzen, die die Sicherheit erhöht, indem sie Ihre Datenbank vor Passwortlecks schützt und die Tür für böswillige Akteure schließt.
[1] 2020 Data Breach Investigations Report , Verizon
[2] "Hacker verrät Daten von 2,28 Millionen Dating-Seiten-Nutzern," ZDNet
[3] Bericht über die Kosten von Datenschutzverletzungen 2020 , Ponemon Institute
[4] "Wie hoch sind die Kosten einer Datenpanne?," CSO Online
[5] "Blocking Brute-Force Attacks," Open Web Application Security Project
[6] "Testing for Weak Password Policy" und "Testing for Weak Password Change or Reset Functionalities," OWASP
[7] "Online-Sicherheitsumfrage," Google/Harris Poll
[8] "Erstellen sicherer Passwörter," Electronic Frontier Foundation
[9] (Wie) ändern Menschen ihre Passwörter nach einer Sicherheitsverletzung? Bhagavatula, Bauer & Kapadia, Carnegie Mellon University
[10] "Have I Been Pwned?," Troy Hunt
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!