Jedes Jahr um diese Zeit muss ich den Cyber-Versicherungsantrag meines Unternehmens ausfüllen, und jedes Jahr werde ich gefragt, ob wir sichere Passwörter fördern und diese häufig ändern. Diese Frage beschäftigt mich wirklich, denn eigentlich sollten wir Passwörter nicht oft ändern. Vielmehr müssen wir Authentifizierungsprozesse wählen, die den Risiken der Website angemessen entsprechen. Die Verwendung eines Passworts sollte das Letzte sein, dem Sie vertrauen möchten.
Denken Sie zunächst über die Informationen und Daten nach, die eine Website über Sie speichert. Die Websites, denen wir den größten Schutz bieten möchten, sind oft auch am schwächsten. Fügen Sie nach Möglichkeit immer eine Zwei-Faktor-Authentifizierung hinzu, um auf eine Website zuzugreifen. (Nicht alle Multifaktor-Authentifizierungen sind gleich, aber eine Form der Multifaktor-Authentifizierung ist besser als keine. Wenn sie Angreifer dazu verleitet, woanders hinzugehen, haben Sie Ihre Arbeit erledigt.
Banken und Finanzorganisationen implementieren Authentifizierungssoftware oft nur langsam, sodass Sie sich mit einem Benutzernamen, einem Passwort und dann einem Zwei-Faktor-Authentifizierungstool begnügen müssen, normalerweise eine Textnachricht, die an Ihr Smartphone gesendet wird. Obwohl Smartphone-SIM-Chips geklont werden können (damit Angreifer Ihr Telefon manipulieren und Textnachrichten abfangen können), sind die meisten von uns mit diesem Verfahren immer noch besser dran. Wenn Sie sich für den Zugriff auf die Bank ausschließlich auf einen Benutzernamen und ein Passwort verlassen, ist Ihr Konto gefährdet.
Fairerweise muss man sagen, dass nicht alle Passwörter gleich sind. Wenn Sie ein Passwort auf einer anderen Website oder für ein anderes Bankkonto wiederverwendet haben, besteht für Sie ein höheres Risiko. Angreifer stehlen oder kaufen häufig eine Sammlung geknackter Passwörter oder Passwort-Hashes und versuchen dann, diese wiederzuverwenden, um Zugriff auf andere Websites zu erhalten. Wenn Sie bereits eine Benachrichtigung zum Zurücksetzen Ihres Passworts erhalten haben und nicht versucht haben, sich bei dem Konto anzumelden, versucht ein Angreifer wahrscheinlich einen Passwort-Stuffing-Angriff auf die Website. Verwenden Sie also nirgendwo dasselbe Passwort wieder.
Seit Jahren werden Online-Benutzer aufgefordert, ihren Benutzernamen zu ändern, um zu sehen, ob eine Website ihre Informationen an anderer Stelle verkauft. Jetzt sehe ich die gleiche Art von Empfehlung für die Wahl von Passwörtern oder Passphrasen. Es gibt online ein sehr lustiges Video, das den Prozess beschreibt, mit dem Menschen Passwörter auswählen. Sie haben zunächst ein Passwort gewählt und verwenden es dann überall. Wenn eine Website dann sagt, dass einer nicht gut genug ist, fügt sie einen weiteren Buchstaben hinzu. Sie benötigen also ein Sonderzeichen (wie das Ausrufezeichen). Die Wahrheit ist, dass unser Gehirn nur eine begrenzte Menge an Informationen speichern kann, weshalb wir dazu neigen, dasselbe Passwort oder eine Variation davon auf mehreren Websites wiederzuverwenden.
Microsoft empfiehlt häufig die Verwendung von PIN-Codes anstelle von Passwörtern. Es wird argumentiert, dass eine PIN gerätespezifisch ist. Wenn ein Angreifer also Ihre PIN stiehlt, muss er auch das Gerät stehlen. Es gibt ein Problem mit diesem Argument. Ich habe mehrere Geräte, die eine PIN erfordern, und ich muss zugeben, dass ich auf allen die gleiche PIN verwende, weil ich mir PINs nicht besser merken kann als Passwörter. Laut Microsoft besteht der Vorteil einer PIN darin, dass „bei der Erstellung der PIN eine Vertrauensbeziehung zum Identitätsanbieter aufgebaut und ein asymmetrisches Schlüsselpaar erstellt wird, das zur Authentifizierung verwendet wird.“ Der Trusted Platform Module (TPM)-Chip des Computers speichert einen PIN-Code. (Wenn Sie sich fragen, warum ein Windows 10-Computer Sie auffordert, eine PIN anstelle eines Kennworts zu verwenden, liegt das daran, dass das Betriebssystem registriert hat, dass es über die Hardware verfügt, um diesen Vorgang zu unterstützen.) Wenn Sie keine PIN benötigen oder haben möchten, können Sie diese löschen. Drücken Sie die Windows-Taste und die I-Taste, um die Einstellungen zu öffnen. Wählen Sie Konten aus und klicken Sie dann auf Weiter. Klicken Sie im linken Bereich auf Verbindungsoptionen. Wählen Sie im rechten Bereich im Abschnitt „PIN“ die Option „Löschen“ aus.
Die Bemühungen zur Verbesserung der Online-Sicherheit nehmen zu. Intuit verlangt seit Kurzem sogar für die Anmeldung bei der Desktop-Version von QuickBooks, seiner Buchhaltungs- und Buchhaltungssoftware, ein Online-Passwort. Wer über eine QuickBooks-Datei verfügt, die vertrauliche Informationen wie Gehaltsabrechnungen oder Kreditkarten enthält, muss sich ebenfalls zunächst mit einem Online-Konto anmelden. Desktop-Benutzer benötigten jahrelang nur einen Benutzernamen. Dennoch empfanden viele Benutzer die Änderung als umständlich, insbesondere in Kombination mit der Verpflichtung, die Passwörter alle 90 Tage zu ändern. (Auch hier gilt, dass es besser ist, Ihr Passwort zu ändern, als bessere Passwörter zu verwenden oder die Google Authenticator-App für den Zugriff auf Ihr Intuit-Konto zu verwenden.
Selbst wenn Sie ein kleines Unternehmen sind, können Sie Ihren eigenen Computerzugriff mit einer Zwei-Faktor-Authentifizierung versehen, um die Sicherheit zu erhöhen. Duo.com bietet beispielsweise DUO kostenlos für die Implementierung mit weniger als 10 Benutzern an. Es sendet eine Zwei-Faktor-Warnung an ein Smartphone oder sogar die Apple Watch. Ich verwende es in meinem Büro für den Fernzugriff, um sicherzustellen, dass jemand, der sich von außerhalb des Büros anmeldet, auf eine Nachricht auf seinem Telefon antworten muss, um Zugriff zu erhalten. Durch die Benutzerfreundlichkeit kann ich die Sicherheit des Fernzugriffs gewährleisten und übermäßige Passwortänderungen vermeiden.
Wenn Sie ein Anbieter oder eine Agentur für Cyberversicherungen sind, hören Sie mir zu! Bitten Sie mich nicht mehr, mein Passwort zu ändern. Fragen Sie mich stattdessen, was meine Lieblings-Multifaktor-App ist. Dies ist für die meisten Benutzer der schnellste Weg, die Sicherheit zu verbessern.
Copyright © 2022 IDG Communications, Inc.