Faktenbasiertes Awareness-Training für Passwörter

Verizon erklärte 2017, dass 81% der Cyber-Angriffe auf die Wiederherstellung von schwachen, vorhersehbaren und zuvor kompromittierten Passwörtern zurückzuführen sind. Das bedeutet, dass der Kern der meisten Angriffe tatsächlich die Fähigkeit ist, Anmeldeinformationen zu sammeln, Zugriffsrechte zu erhöhen, damit Hacker die Kontrolle über Systeme und Informationen erlangen können.

Nach Angaben des Ponemon-Instituts werden Angriffe im Durchschnitt 209 Tage nach der ersten Infiltration erkannt. In dieser Zeit ist das Hauptziel von Hackern, genügend Anmeldeinformationen zu sammeln, um bereits ein beträchtliches Maß an Kontrolle in der Umgebung ihres Opfers gewonnen zu haben. Kurz gesagt, ist eine belastbare Passwortposition durch die Qualitätssicherung bestehender Prozesse eine der effektivsten Möglichkeiten, um sich gegen die gefährlichsten Cyberangriffe zu wehren.

Warum sind Hacker so erfolgreich beim Hacken von Passwörtern? 

Viele Jahre lang wurde davon ausgegangen, dass eine Kombination aus mathematischer Komplexität, 8-stelliger Länge und Frequenzänderungen zu sicheren Passwörtern führen würde.   Dies diente nur dazu, die kognitive Belastung der End-User zu erhöhen, die dann Passwörter wählen, die leicht zu erraten sind.

Wie werden Passwörter gehackt?

Es gibt viele Hacking-Methoden. Der TO-Partner Detack, Experte auf dem Gebiet der Passwort-Penetrationstests, hat kürzlich einen Artikel erstellt, der auf der Analyse von 1,3 Millionen zuvor kompromittierten Konten basiert. Die überwiegende Mehrheit der Passwörter wird mit Hilfe der sogenannten „Ableitungsalgorithmen“ wiederhergestellt. Vereinfacht ausgedrückt bedeutet dies die Kombination von Wörtern mit bekannten Mustern (sog. Leak-Sprache), um Passwörter zu erraten, diese zu hashen und diese Hashes mit den derzeit verwendeten zu vergleichen. Die Grafik bietet eine übersichtliche Darstellung der Ergebnisse.

Unternehmen müssen ihr Personal schulen und Anreize schaffen, Passwörter zu erstellen, die nicht vorhersehbar sind, in Passwort-Hacking-Repositorien nicht existieren und nicht berechnet werden können.

Passwort-Security-Awareness

Wir haben eine Methodik für die Gestaltung maßgeschneiderter Trainingsprogramme entwickelt, die auf harten Fakten über die Passwörter der Organisationen basieren. Die regelmäßige Analyse von Passwörtern ermöglicht die Messung der Auswirkungen des Trainings und die regelmäßige Feinabstimmung.

Schritt 1: Identifizieren von Bedrohungen

Wie bei allem im Leben ist es wichtig, den Status quo zu verstehen. Welche Anomalien gibt es? Wer hat schwache Passwörter? Warum sind diese Passwörter schwach? Wie ist das typische Verhalten der Nutzer? Wer verwendet Passwörter wieder? Wer verwendet dieselben Passwörter wie andere User?

Schritt 2: Gestalten eines Kurses

Anhand der gewonnenen Daten über den Passwortzustand bietet es nicht nur eine Grundlage, an der die Behebung gemessen werden kann, sondern ermöglicht es den Trainern auch, ihre Inhalte auf granulare Zielgruppen innerhalb von Unternehmen zu konzentrieren.

Schritt 3: Implementierung des Kurses 

Veranschaulichen Sie den Benutzern genau, wie Passwörter wiederhergestellt werden können, und dass die Hauptursachen auf Vorhersagbarkeit, bereits vorhandenen Passwörtern und eine Kombination aus beidem zurückzuführen sind. Zeigen Sie Benutzern, wie man Passwörter erstellt, die leicht zu merken, aber schwer zu erraten sind. Motivieren Sie Ihre Benutzer, gute Passwörter zu verwenden. Dies ist möglich, indem die Intervalle für Passwortänderungen auf z.B. 12 Monate verlängert werden, in dem Wissen, dass laufende Informationen über Identy Threat davor warnen, wenn ein aktives Passwort in einem Hacker-Repository erscheint.

Schritt 4: Messen und Verfeinern des Fortschritts

Mit der Plattform, die für solche Awareness Schulungen verwendet wird, kann eine numerische Resilienz von Passwörtern gegenüber Vorhersagbarkeit und referenzbasierten Angriffsmethoden ermittelt werden. Diese Metrik ermöglicht die Messung der Auswirkung des Awareness Trainings.

Schritt 5: Verwalten und Erhalten

Die Qualitätssicherung von Passwörtern ist ein sich abzeichnendes Paradigma für die Erkennung von Passwortanomalien und die Durchsetzung sicherer Passwörter.

Bereitstellung ausgezeichneter KPI- und Auditberichte, die die wahre Widerstandsfähigkeit auf der häufigsten und größten Angriffsfläche verdeutlichen, eine Widerstandsfähigkeit, die mit minimalen finanziellen Investitionen und Ressourcenverbrauch erreicht wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *