Check Point Software Technologies sieht Kennwörter als veraltet an und rät zu modernen Methoden, um die eigenen Daten zu schützen.
Jedes Jahr am ersten Donnerstag im Mai rufen Cybersicherheitsfachleute die Öffentlichkeit dazu auf, ihre Passwortsicherheit zu verbessern. Doch im Jahr 2025 könnte diese Tradition ausgedient haben, meinen die Sicherheitsforscher von Check Point, weil die übermäßige Abhängigkeit von Passwörtern zu genau dem Risiko führt, das man vermeiden will.
Laut dem „Verizon Data Breach Investigations Report (2024)“ sind 81 Prozent aller Sicherheitsverletzungen immer noch auf schwache oder gestohlene Passwörter zurückzuführen. Da die Hacker ihre Taktik stetig anpassen und künstliche Intelligenz Teil ihrer Ausrüstung geworden ist, können selbst die stärksten Passwörter innerhalb von Minuten statt Monaten geknackt werden.
Laut Nordpass wird das schwache Passwort „123456“ immer noch verwendet und kann von Hackern innerhalb einer Sekunde geknackt werden. Außerdem verwenden viele Menschen das gleiche Passwort auf mehreren oder sogar allen Websites.
Brute-Force-Angriffe wurden von langsamen CPUs auf Hochgeschwindigkeits-GPUs verlagert, von denen einige in der Lage sind, mehr als eine Million Passwortkombinationen pro Sekunde zu versuchen.
Schätzungen zufolge kursieren derzeit über 24,6 Milliarden Kombinationen aus Benutzernamen und Passwörtern auf Schwarzmärkten im Internet – wobei das wahre Ausmaß aufgrund des wiederholten Weiterverkaufs gestohlener Daten nur schwer zu verifizieren ist. In großen Mengen sind diese Zugangsdaten sogar noch billiger, wie der Betrug bei Booking.com gezeigt hat, wo Tausende von Zugangsdaten für nur 2000 US-Dollar verkauft worden waren und jeden Monat neue Zugangsdaten angeboten wurden. Zu den wertvollsten Zugangsdaten gehören Bank-, E-Mail-, Cloud-, Krypto-, Unternehmens-VPN- und Social-Media-Konten, die häufig für Phishing, Identitätsdiebstahl, Malware-Kampagnen und die Kompromittierung von Unternehmens-E-Mails verwendet werden.
Hinter diesen Diebstählen stehen einige der raffiniertesten Bedrohungsgruppen der Welt, darunter Kimsuky (Nordkorea), MuddyWater (Iran) und APT28/29 (Russland) – häufig unter Verwendung von Malware wie Lumma und Malware-as-a-Service-Plattformen (MaaS), die auf MFA-Token und Krypto-Geldbörsen zielen und sich über Telegram-Bots verbreiten lassen, die wiederum den Datendiebstahl skalierbar und profitabel machen. Allein im Jahr 2024 wurden 3,9 Milliarden Zugangsdaten auf 4,3 Millionen Geräten durch Malware-Infektionen kompromittiert.
Sogar die Multi-Faktor-Authentifizierung (MFA), die von entscheidender Bedeutung ist, wird als alleiniger Mechanismus durch Tools wie EvilProxy, die MFA-Token abfangen können, in Frage gestellt. Diese wachsende Cyber-Kriminalität ist nicht nur eine technische Bedrohung, sondern auch ein geopolitisches und wirtschaftliches Ökosystem, da diese Bedrohungen wegen MaaS und Phishing-as-a-Service-Plattformen (PhaaS) auch von Laien-Hackern benutzt werden können. Zusammen mit Infostealer-as-a-Service und Phishing-Kits zum Mieten sind diese Angriffe nicht mehr auf staatliche Akteure beschränkt, sondern sie sind für jeden mit einer Bitcoin-Brieftasche verfügbar.
Authentifizierung ohne Passwort
Sicherheit ohne Passwort wurde nicht nur möglich, sondern ist auch praktisch. Google, Microsoft und Shopify als Beispiel führten Passkeys ein. Das sind verschlüsselte kryptografische Schlüssel in Verbindung mit biometrischer oder gerätebasierter Authentifizierung.
Microsoft möchte, dass seine mehr als eine Milliarde Nutzer keine Passwörter mehr verwenden, um sich bei ihren Microsoft-Konten anzumelden, und das Analysten-Haus Gartner prognostiziert, dass 60 Prozent der Unternehmen bis 2025 Passwörter für die meisten Anwendungen abschaffen werden.
Hardware-Token, Multi-Faktor-Anmeldung und biometrische Identifizierung übernehmen dann und setzen sich schon in verschiedenen Bereichen durch, wie Finanzen, Gesundheit und Verwaltung. Manche Staaten, wie Singapur und Indien, beschleunigen durch staatlich geförderte digitale Identitätssysteme den passwortlosen Zugang zu Bank-, Versicherungs- und Gesundheitsdienstleistungen. Dahinter steht der Wunsch, die Sicherheit zu erhöhen, die Benutzerfreundlichkeit zu verbessern und digitale Interaktionen zu rationalisieren.
In Singapur beispielsweise verbindet das auf Singpass basierende National Digital Identity (NDI) System über 700 Regierungsbehörden und Privatunternehmen. Gesichtserkennung, digitale ID-Karten und QR-Codes bestätigen die Identität der Nutzer schnell und sind sicherer als herkömmliche Passwörter. Indiens Aadhaar, das weltweit größte biometrische System, unterstützt die sichere digitale Identitätsüberprüfung durch OTPs und Biometrie, während Australiens Roadmap zur digitalen Identität die Investition in föderierte, passwortlose Frameworks vorsieht.
Check Points Sicherheitsforscher stellten bereits fest, dass schlechte Passworthandhabe, wie die Wiederverwendung von Passwörtern, das Aufschreiben von Passwörtern oder die Verwendung personenbezogener Informationen, nach wie vor eine große Schwachstelle in der Sicherheit von Unternehmen und Privatpersonen darstellt.
Schlimmer noch: Phishing-Angriffe – viele davon KI-gestützt – stehlen trotz Zwei-Faktor-Authentifizierung (2FA) weiterhin in großem Umfang Zugangsdaten. Die Zunahme von KI-gestützten Phishing- und Deepfake-Angriffen macht Passwort-Systeme noch anfälliger.
Die rasante Weiterentwicklung künstlicher Intelligenz allen voran macht Passwort-Authentifizierung obsolet:
- Deep-Learning-Modelle werden mit Milliarden von geknackten Passwörtern trainiert und können gängige Muster schneller als je zuvor vorhersagen.
- Sprach- und Video-Imitationsangriffe mit Deepfakes können sogar Multi-Faktor-Authentifizierung umgehen, wenn diese auf schwachen Identitätsschichten basiert.
- Cloud-GPUs verbreiten die Möglichkeit, Passwörter in großem Maßstab zu knacken, und ermöglichen es Ransomware-Gruppen sowie Skript-Laien gleichermaßen, Systeme schnell zu knacken.
Aus diesem Grund rät Check Point sowohl Unternehmen als auch Privatleuten dazu, auf andere, moderne Methoden setzen, wenn sie ihre Benutzerkonten den Umständen der Zeit gemäß schützen wollen:
- Die Wiederverwendung von Passwörtern aufgeben und existierende sowie neue Passwörter lang, komplex und möglichst einzigartig wählen.
- Kennwörter abschaffen, wenn technisch möglich, und biometrische Merkmale, Token oder Passkeys einführen.
- Sicherheitslösungen gegen Phishing einbauen, Mitarbeiter gegen Phishing schulen und die eigene Aufmerksamkeit bezüglich der Merkmale von Phishing-Angriffen schärfen.
- Privileged-Access-Management (PAM) und Zero-Trust-Architekturen einsetzen, um den Zugriff auf Netzwerkteile und Daten streng zu kontrollieren und zu beschränken.
- Netzwerke segmentieren, bis hin zu Mikro-Segmentierung, um seitliche Bewegungen eines Hackers, beispielsweise mittels geknacktem Benutzerkonto, zu verhindern.
- Mitarbeiter in den neuen Modellen schulen, um sie mit den Vorteilen passwortfreier Systeme vertraut zu machen.
Somit sollte der Welt-Passwort-Tag nicht nur ein jährlich grüßendes Murmeltier sein, um bessere Passwörter zu fordern. In diesem Jahr sollte er als eine Aufforderung verstanden werden, um sich eine Zukunft ohne Kennwörter vorzustellen. Die Werkzeuge sind längst vorhanden und die neuartigen Bedrohungen machen das sogar notwendig. Was fehlt, ist die Bereitschaft der Leute die Passwörter zum alten Eisen zu legen.
#CheckPoint
powered by Borlabs Cookie 