Passwort-Psychologie: Menschen schützen sich nicht, obwohl sie es besser wissen

Laut einer aktuellen Studie (von LogMeIn zum Thema: Passwortpsychologie aus 2020) schützen sich Menschen nicht so gut vor Cybersicherheitsrikisken, wie Sie es eigentlich könnten.

Das Bewusstsein zum Thema Cybersecurity:

Zwar  steigt im Mainstream das Bewusstsein zu den Themen Hacking und Datenschutz täglich an, doch das Verhalten von Verbrauchern zum Thema Passwörter bleibt weitgehend unverändert.

Verwendung desselben Passworts:

Daten aus der Umfrage zeigen, dass 91 Prozent der Menschen zwar wissen, dass die Verwendung desgleichen Passworts für mehrere Konten ein erhebliches Sicherheitsrisiko darstellt, 66 Prozent verwenden es jedoch weiterhin. Da die Menschen jedoch immer mehr Zeit online verbringen, sorgen die neusten Entwicklungen in Bezug auf die eigene Passwortsicherheit für erhöhte Besorgnis in Bezug auf die komplette Online-Sicherheit. Im Vergleich zum Jahr 2018 konnte sogar ein Plus von 8 Prozent verzeichnet werden.

Anzahl globaler Cyber-Bedrohungen steigt massiv an:

Während die großflächigen Angriffe auf große Online-Strukturen immer weiter ansteigen. Geben sogar 53 Prozent an in den letzten 12 Monaten trotz eines Verstosses in den Nachrichten keine der eigenen Passwörter geändert zu haben.

Details zur Umfrage:

Für die globale Umfrage wurden gesamt 3.250 Personen befragt. Um ein schönes Gesamtbild zu bekommen wurden Menschen aus folgenden Ländern befragt: USA, Australien, Singapur, Deutschland, Brasilien und aus den Vereinigten Königreich. Dadurch kam man eben zu dem Ergebnis das fundierteres Wissen über bewährte Sicherheitsmethoden nicht auch zur bessernen Kennwortverwaltung führt.

Unsichere Passwörter und Brute Forcing:

Was bedeutet unsicher, in Form von Passwortlisten? Mit unsicher meine ich, Passwörter die beim sogenannten Brute Forcing durchprobiert werden und quasi am schnellsten geknackt werden.

Selbstverständlich umfassen umfangreiche Listen für das Brute Forcing - Millionen von unterschiedlichen Datensätzen. Diese Datensätze werden je nach Affinität auf den jeweiligen Case aufbereitet, sodass ein Angreifer viele Passwörter oder Passphrasen übermittelt, in der Hoffnung, irgendwann richtig zu liegen und somit Zugang zu den Accounts erhaltet. Die generierten Passwort-Listen sind meistens aus vergangenen Daten-Diebstählen zusammengetragen worden und werden in Hacking-Foren und im Dark Web gehandelt.

Auch gibt es bereits vorgefertigte Tools (bspw. THC Hydra, Cain&Abel) für die Brute Forcing Methode.

Top 25 der unsichersten Passwörter 2020

  •  123456
  • 123456789
  • qwerty
  • password
  • 1234567
  • 12345678
  • 12345
  • iloveyou
  • 111111
  • 123123
  • abc123
  • qwerty123
  • 1q2w3e4r
  • admin
  • qwertyuiop
  • 654321
  • 555555
  • lovely
  • 7777777
  • welcome
  • 888888
  • princess
  • dragon
  • password1
  • 123qwe

Methoden die zum Passwort knacken angewendet werden:

  • Schwacher Algorithmus: Die Verschlüsselung selbst ist schwach es ein mathematisches Verfahren, das Passwort zu ermitteln beziehungsweise das Dokument zu entschlüsseln (ältere Office-Dokumente oder Datenbanken mit RC4).
  • Fehlerhafte Implementierung: Das Verfahren ist derzeit zwar sicher, aber eine real programmierte Komponente hat Schwächen, beispielsweise der Zufallszahlengenerator.
  • Seitenkanäle: Angreifer kommt auf Umwegen an den Code, indem er beispielsweise die Spannung am Prozessor misst und daran erkennt, was dieser gerade ausrechnet. Als Seitenkanal könnte man auch bezeichnen, Linux im Singel-User-Mode zu booten.
  • Sniffen: Mit Tools wie Wireshark lassen sich Login-Daten aus dem Netzwerkverkehr belauschen.
  • Social Engeneering: Professionelle Angreifer versuchen oft menschliche Schwächen im direkten Kontakt auszunutzen: "Hier ist Meier von der EDV. Geben Sie mir mal schnell Ihr Serverpasswort ..."
  • Passwort neu setzen: Manchmal kann über vorhandene Daten ein neues Passwort angefordert werden ohne das alte Kennwort zu kennen.
  • Schwachstelle Passwörter: Das komplette Verfahren ist immer nur so stark, wie das schwächste Glied. Wählt der Anwender hansi7, so nutzt ihm das sicherste AES nichts.
  • Brute Force: Wenn Alles davor nichts hilft wird mit roher Passwort-Listen-Gewalt gearbeitet.

don't be shy, say hi.

Please do not fill this field!