Faktenbasiertes Awareness-Training für Passwörter
Nach Angaben des Ponemon-Instituts werden Angriffe im Durchschnitt 209 Tage nach der ersten Infiltration erkannt. In dieser Zeit ist das Hauptziel von Hackern, genügend Anmeldeinformationen zu sammeln, um bereits ein beträchtliches Maß an Kontrolle in der Umgebung ihres Opfers gewonnen zu haben. Kurz gesagt, ist eine belastbare Passwortposition durch die Qualitätssicherung bestehender Prozesse eine der effektivsten Möglichkeiten, um sich gegen die gefährlichsten Cyberangriffe zu wehren.
Warum sind Hacker so erfolgreich beim Hacken von Passwörtern?
Viele Jahre lang wurde davon ausgegangen, dass eine Kombination aus mathematischer Komplexität, 8-stelliger Länge und Frequenzänderungen zu sicheren Passwörtern führen würde. Dies diente nur dazu, die kognitive Belastung der End-User zu erhöhen, die dann Passwörter wählen, die leicht zu erraten sind.
Wie werden Passwörter gehackt?
Es gibt viele Hacking-Methoden. Der TO-Partner Detack, Experte auf dem Gebiet der Passwort-Penetrationstests, hat kürzlich einen Artikel erstellt, der auf der Analyse von 1,3 Millionen zuvor kompromittierten Konten basiert. Die überwiegende Mehrheit der Passwörter wird mit Hilfe der sogenannten „Ableitungsalgorithmen“ wiederhergestellt. Vereinfacht ausgedrückt bedeutet dies die Kombination von Wörtern mit bekannten Mustern (sog. Leak-Sprache), um Passwörter zu erraten, diese zu hashen und diese Hashes mit den derzeit verwendeten zu vergleichen. Die Grafik bietet eine übersichtliche Darstellung der Ergebnisse.
Unternehmen müssen ihr Personal schulen und Anreize schaffen, Passwörter zu erstellen, die nicht vorhersehbar sind, in Passwort-Hacking-Repositorien nicht existieren und nicht berechnet werden können.
Passwort-Security-Awareness
Wir haben eine Methodik für die Gestaltung maßgeschneiderter Trainingsprogramme entwickelt, die auf harten Fakten über die Passwörter der Organisationen basieren. Die regelmäßige Analyse von Passwörtern ermöglicht die Messung der Auswirkungen des Trainings und die regelmäßige Feinabstimmung.
Schritt 1: Identifizieren von Bedrohungen
Wie bei allem im Leben ist es wichtig, den Status quo zu verstehen. Welche Anomalien gibt es? Wer hat schwache Passwörter? Warum sind diese Passwörter schwach? Wie ist das typische Verhalten der Nutzer? Wer verwendet Passwörter wieder? Wer verwendet dieselben Passwörter wie andere User?
Schritt 2: Gestalten eines Kurses
Anhand der gewonnenen Daten über den Passwortzustand bietet es nicht nur eine Grundlage, an der die Behebung gemessen werden kann, sondern ermöglicht es den Trainern auch, ihre Inhalte auf granulare Zielgruppen innerhalb von Unternehmen zu konzentrieren.
Schritt 3: Implementierung des Kurses
Veranschaulichen Sie den Benutzern genau, wie Passwörter wiederhergestellt werden können, und dass die Hauptursachen auf Vorhersagbarkeit, bereits vorhandenen Passwörtern und eine Kombination aus beidem zurückzuführen sind. Zeigen Sie Benutzern, wie man Passwörter erstellt, die leicht zu merken, aber schwer zu erraten sind. Motivieren Sie Ihre Benutzer, gute Passwörter zu verwenden. Dies ist möglich, indem die Intervalle für Passwortänderungen auf z.B. 12 Monate verlängert werden, in dem Wissen, dass laufende Informationen über Identy Threat davor warnen, wenn ein aktives Passwort in einem Hacker-Repository erscheint.
Schritt 4: Messen und Verfeinern des Fortschritts
Mit der Plattform, die für solche Awareness Schulungen verwendet wird, kann eine numerische Resilienz von Passwörtern gegenüber Vorhersagbarkeit und referenzbasierten Angriffsmethoden ermittelt werden. Diese Metrik ermöglicht die Messung der Auswirkung des Awareness Trainings.
Schritt 5: Verwalten und Erhalten
Die Qualitätssicherung von Passwörtern ist ein sich abzeichnendes Paradigma für die Erkennung von Passwortanomalien und die Durchsetzung sicherer Passwörter.
Bereitstellung ausgezeichneter KPI- und Auditberichte, die die wahre Widerstandsfähigkeit auf der häufigsten und größten Angriffsfläche verdeutlichen, eine Widerstandsfähigkeit, die mit minimalen finanziellen Investitionen und Ressourcenverbrauch erreicht wurde.