Häufig greifen Mitarbeiter auf schwache oder bereits verwendete Passwörter zurück. Tatsächlich gaben in einer Umfrage von CyberArk 84 Prozent der Mitarbeiter an, ein identisches Passwort in mehreren Applikationen zu verwenden. Hinzu kommt, dass Passwörter oft die einzige Methode für die Verifizierung sind. IT-Profis betrachten deshalb Passwörter auch als einen der Schwachpunkte in der Unternehmenssicherheit.
Der Welt-Passwort-Tag 2021 bietet IT-Sicherheitsteams eine gute Gelegenheit, Best Practices zu etablieren und Passwort-bezogene Risiken zu reduzieren:
- Starke Passwörter verwenden
Starke Passwörter enthalten verschiedene Arten von Zeichen. Angreifer benötigen einen höheren Aufwand und mehr Zeit, um sie zu hacken. Passwörter sollten mindestens 10 Zeichen umfassen und zum Beispiel eine Kombination aus Prozentzeichen, Klammern, Groß- und Kleinbuchstaben sowie Zahlen beinhalten.
- Individuelle Passwörter für jedes Konto vorschreiben
Unternehmen sollten auf die Verwendung individueller Passwörter für alle Services und Konten bestehen. Wenn Mitarbeiter die gleichen Passwörter für mehrere Websites oder Konten nutzen, reicht es aus, wenn eines der Konten kompromittiert wird, um die anderen Konten zu gefährden.
- Multi-Faktor-Authentifizierung nutzen
Um sich sicher anzumelden, sind mehrere Arten der Authentifizierung erforderlich; dabei reicht es nicht aus, nur ein Passwort einzugeben. Im ersten Teil des Authentifizierungsprozesses gibt der Benutzer beispielsweise ein Passwort ein. Anschließend bekommt der Benutzer in einem zweiten Schritt einen Code von einer Authentifizierungssoftware auf das Mobiltelefon gesendet oder ein Code wird von einer bestimmten Anwendung auf dem Telefon generiert. Selbst wenn Angreifer an das Passwort gelangen, haben sie dann ohne den zweiten Teil der Authentifizierung keinen Zugriff auf das Konto.
- Risiko lokaler Admin-Konten auf Workstations vermeiden
Schwache Passwörter und Enduser mit lokalen Admin-Rechten auf ihren Workstations stellen ein erhebliches Sicherheitsrisiko für Unternehmen dar. Zahlreiche Angriffe beginnen zunächst auf Endpunkten, etwa wenn sich Angreifer durch eine Phishing-Attacke Zugang verschaffen oder wenn Mitarbeiter versehentlich eine schädliche Anwendung herunterladen und ausführen. In vielen Fällen zielen Angreifer gerade darauf ab, privilegierte Zugangsdaten auf den Workstations zu entwenden.