Seiten

Posts mit dem Label Passwort werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Passwort werden angezeigt. Alle Posts anzeigen

Freitag, 15. März 2019

Einmal-Passwörter per SMS: Sind sie wirklich sicher?

Ein Passwort allein reicht als Schutz vor unberechtigtem Zugang zu IT-Systemen oftmals nicht aus. Deshalb nutzen viele Online-Dienste zusätzlich Einmal- oder auch One-Time-Passwörter (OTP), die sie per SMS an den Nutzer schicken und die als zweiter Sicherheitsfaktor dienen. Doch wie sicher ist das?


Zugangsdaten werden gestohlen oder geknackt


Stellen Sie sich vor, ein Freund teilt Ihnen mit, dass er eine Spam-Mail von Ihnen bekommen hat. Entweder jemand benutzt Ihren Namen für Spam, oder Ihr Web-Mail-Konto wurde missbraucht. Sie versuchen, sich bei Ihrem Web-Mail-Zugang anzumelden, doch Ihr Passwort wird nicht mehr akzeptiert. Der Grund: Ihr Mail-Provider hat den Spam-Versand von Ihrem Web-Mail-Konto festgestellt und Ihr Konto deshalb sicherheitshalber deaktiviert.

Wie konnte das geschehen?


Einmal-Passwörter per SMS: Sind sie wirklich sicher?

Freitag, 4. Juli 2014

Passwortsicherheit: Schutz vor Cyberkriminalität

In Zeiten der Cyberkriminalität ist die Passwortsicherheit eine der größten Herausforderungen, um sich und seine Technik vor entsprechenden Angriffen zu schützen. Nach Erkenntnissen des Bundeskriminalamtes nimmt der Computerbetrug als ein Teil der Cyberkriminalität kontinuierlich zu. Pro Jahr werden knapp 70.000 Delikte registriert - diese Zahl hat sich damit seit 2008 verdoppelt. Nachdem jüngst bekannt wurde, dass in Deutschland 18 Millionen Zugangsdaten von Internet-nutzern gestohlen wurden, war die Empörung, aber auch die Sorge groß. Klar ist: Es gibt verschiedene Möglich-keiten, sich vor Cyberkriminalität zu schützen.


Schutz vor Cyberkriminalität

 

Die wichtigste Möglichkeit besteht in einer umfassenden Passwortsicherheit. Je komplexer ein Passwort ist, desto sicherer sind auch Rechner und E-Mail-Account. Sinnvoll ist es, ein Passwort alphanumerisch anzulegen, also Zahlen und Buchstaben zu kombinieren. Wer darüber hinaus noch die Groß- und Kleinschreibung innerhalb des Passwortes berücksichtigt, der wird jeden Kriminellen eher abschrecken. Darüber hinaus sollte der Kreis derer, die zum Passwort Zugang haben, kleinstmöglich gehalten werden.

Kriminelle versuchen, über den Zugang zu den individuellen Kommunikationsdaten sich einen Vorteil zu verschaffen - beispielsweise über den bargeldlosen Zahlungsverkehr. Im geschäftlichen Umfeld wird versucht, Zugang auf E-Mail- Konten und komplette Rechnersysteme zu erlangen. Internet-kriminelle versuchen an Benutzerdaten zu gelangen um dort beispielsweise E-Mail-Inhalte oder Kreditkartendaten abzurufen. Notwendig ist deshalb ein Schutz der Systeme nach innen und außen.

Passwortsicherheit: So einfach geht es

 

Nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik sollten Passwörter mindestens zwölf Zeichen lang sein. Sie sollten aus Groß- und Kleinbuchstaben bestehen und Zahlen und Buchstaben sowie Sonderzeichen bestehen. Namen von Angehörigen gelten als Tabu. Passwörter sollten möglichst so erstellt werden, dass sie keinen Bezug zur eigenen Verwandtschaft haben und in Wörterbüchern nicht vorkommen. Es sollten außerdem keinerlei aneinandergereihte fortlaufende Buchstaben oder Zahlen genutzt werden. Auch die mehrfache Verwendung von Passwörtern sollte vermieden werden. Schließlich sollten Passwörter regelmäßig geändert werden.

Software hilft in Sachen Sicherheit

 

Eine besondere Möglichkeit, Passwörter zu verwalten, sind spezielle Programme. So ist es möglich, dank dieser Software-Programme die Vielzahl verschiedener Passwörter gerade im gewerblichen Bereich regelmäßig zu ändern und damit ein Maximum an Sicherheit zu gewährleisten. Wer das tut, der kann seine verschiedenen Accounts sicher nutzen und ist vor kriminellen Attacken geschützt. Sprechen Sie Ihr IT-Systemhaus darauf an.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Montag, 30. Juni 2014

IT im Unternehmen: Ein bisschen sicher ist nicht sicher genug

Nicht erst seit den Enthüllungen über die Datensammelwut der amerikanischen NSA steht das Thema Datensicherheit im Fokus des öffentlichen Interesses. Dabei drohen insbesondere Unternehmen auch ohne spektakuläre Überwachungsmaßnahmen ausländischer Dienste in der ganz alltäglichen Nutzung ihrer IT mannigfache Sicherheitsgefahren von innen und außen, die häufig noch immer grob fahrlässig unterschätzt werden.


Viele Firmen arbeiten noch immer ohne ausgearbeitetes Sicherheitskonzept. Schlampiger Umgang mit Passwörtern und Emails, zu demokratisches Verfahren bei Admin-Rechten, ungeschützte Server und ähnliche Fahrlässig-keiten öffnen Wirtschaftsspionage von Mitarbeitern und bösartigen Interessenten an sensiblen Daten Tür und Tor. So manchem Unternehmen ist das bereits teuer zu stehen bekommen.

yourIT empfiehlt: Klären Sie jetzt Ihre Mitarbeiter zum Thema Passwortsicherheit auf!

Gefahren und Verluste drohen durch Hacker, Social Engineering, Online- Betrüger, aber auch durch Spammer, Würmer, Viren und andere Schadprogramme. Dabei sind Sicherheitsmaßnahmen in diesem Bereich nicht nur persönlicher Umsicht der Firmeninhaber geschuldet. Im Bereich der Kapitalgesellschaften sehen einzelne Gesetze wie etwa das GmbH-Gesetz, das Gesetz zur Kontrolle und Transparenz oder auch Kreditvergaberegelungen verschärfte Haftungen von Organen bei Vernachlässigung der IT- Sicherheit vor.

Passwörter - eine unendliche Geschichte


Obwohl die Anforderungen an ein sicheres Passwort bekannt sind (Mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und anderen Zeichen), wird diesem wichtigen Thema zu wenig Aufmerksamkeit gewidmet. Immer noch vereinfacht der einzelne User das Passwort häufig so, dass es Hackern sehr leicht fällt, dass Passwort herauszufinden.

Bereits im Jahr 1987 veräppelt Mel Brooks im Film Spaceballs den zu laschen Umgang mit wichtigen Zugangs-Passwörtern. Lord Helmchen entführt Prinzessin Vespa und erpresst damit von deren Vater König Roland den Zugangscode zum Kraftfeld seines Planeten. Zögerlich nennt der König das wichtigste Passwort seiner Welt. Es lautet 1-2-3-4-5. Selbst Lord Helmchen ist baff und meint: "Also, so eine dämliche Kombination hab ich noch nie vernommen! Nur ein Idiot würde für seinen Koffer so"n Code verwenden!" Wenig später bestätigt sein eigener Präsident Skroob: ""Was der Code lautet 1-2-3-4-5? Das ist ja derselbe wie auf meinen Koffer. Ändern Sie den!" Mel Brook konnte damals ja nicht wissen, dass im Jahr 2012 - also 25 Jahre später - das Passwort des syrischen Präsident Assad von Hackern geknackt werden würde. Es lautete ebenfalls 1-2-3-4-5.

Nutzergenerierte Passwörter zeichnen sich heute leider immer noch sehr häufig dadurch aus, dass aus Gründen der besseren Merkbarkeit sinnvolle Begriffskombinationen, Geburtsdaten und ähnliches verwendet werden. Für mehrere Vorgänge wird häufig auch dasselbe Passwort hinterlegt - fatal, wenn z.B. das Facebook/Whatsapp-Passwort identisch ist mit dem Firmenzugangscode.

Dies erleichtert Hackern die Arbeit. Auch die Verwaltung von Passwörtern ist oft nicht zureichend gegen Zugriffe Dritter geschützt, wenn diese nicht verschlüsselt sind.

Ein ausgefeiltes Sicherheitskonzept wird daher zukünftig dem Schutz durch Passwörter noch weitere Instrumentarien wie Fingerabdruck, Iris-Scan oder zusätzliche persönliche Fragen beiordnen.

Daneben muss im Unternehmen immer wieder auf die Wichtigkeit der Passwörter hingewiesen und auf deren möglichst sichere Ausgestaltung eingewirkt werden.

Admin-Rechte für alle - Demokratie an der falschen Stelle


Administratoren Rechte ermöglichen dem Anwender den Zugriff auf Daten, Programme, erlauben Downloads aller möglichen Daten und Manipulationen an Daten. Deshalb ist es grob fahrlässig, wenn die Admin-Rechte im Unternehmen nicht besonderen IT-Mitarbeitern vorbehalten sind, sondern quasi jeder Mitarbeiter über diese Rechte verfügt. Hier wird eine Einladung ausgesprochen, nach Bedarf sensible Daten zu ziehen.

Maßgeschneidertes Konzept


Bereits diese kurzen Ausführungen lassen erkennen, dass jedes Unternehmen ein auf seine Bedürfnisse zugeschnittenes, professionelles Konzept im Bereich der IT- Sicherheit mit Daten- und Virenschutz benötigt. Wenden Sie sich hierzu vertrauensvoll an uns von yourIT.

Achtung Mittelständler: Nutzen Sie jetzt unser ESF-gefördertes Beratungspaket

Schaffen Sie Klarheit in Ihrem Unternehmen: Mit unserem Beratungspaket Sicherheitsaudit IT-Infrastruktur erstellen wir Ihnen unter anderem auch eine Liste der schwachen Passwörter in Ihrem Unternehmen. Wir bieten Ihnen persönliche Beratung zum Fixpreis - sponsored by ESF.

yourIT Sicherheitsaudit IT-Infrastruktur


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele