Es ist an der Zeit, Passwörter durch Passkeys zu ersetzen

Ein Fundus von fast zehn Milliarden gestohlenen Passwörtern, die von Forschern bei Cybernews entdeckt wurden, könnte dazu beitragen, den Übergang zu Passkeys zu beschleunigen.

Es handelt sich um den größten jemals entdeckten Fundus an Passwörtern. In der Datei „rockyou2024.txt“ wurden insgesamt 9.948.575.739 Passwörter gefunden. Die Datei diente zur Zusammenstellung von Passwörtern, mit denen Cyberkriminelle offenbar Brute-Force-Angriffe in großem Maßstab durchführen. Das Ziel besteht darin, eine Angriffswelle zu starten, in der Hoffnung, dass ein gewisser Prozentsatz der gestohlenen Passwörter zwischenzeitlich nicht geändert wurde.

Selbstverständlich erstellen Cyberkriminelle schon seit Jahrzehnten Datenbanken mit gestohlenen Passwörtern. Wie viele dieser Depots erstellt wurden, ist unbekannt, aber in den letzten Jahren hat sich gezeigt, dass mehr Sicherheitsverletzungen durch gestohlene Zugangsdaten als durch Malware ermöglicht werden. Tatsächlich sehen viele Cyberkriminelle keine Notwendigkeit, Schadsoftware zu entwickeln, um IT-Umgebungen zu kompromittieren, wenn gestohlene Anmeldeinformationen so leicht greifbar sind. Das heißt jedoch nicht, dass sie keine neuen Schadsoftwaretypen mehr entwickeln. Nachdem sich Cyberkriminelle zunächst mit gestohlenen Zugangsdaten Zugriff verschafft haben, installieren sie oft Schadsoftware, die sich dann in einer verteilten Computerumgebung ausbreitet.

Das Problem besteht darin, dass sich viel zu viele Organisationen weiterhin auf eigenständige Passwörter verlassen, die relativ einfach zu stehlen sind. Glücklicherweise gibt es seit Kurzem als Alternative Passkeys, die auf einer von der FIDO Alliance definierten Spezifikation basieren und eine Art biometrische Authentifizierung verwenden. Passkeys nutzen Verschlüsselungstechniken mit öffentlichen Schlüsseln, um eine gegen Phishing resistente Authentifizierung zu ermöglichen. Beim Zugriff auf eine Anwendung oder einen Dienst erstellt ein Client-Gerät ein neues kryptografisches Schlüsselpaar, das an die Webservice-Domäne gebunden ist. Das Gerät behält den privaten Schlüssel und registriert den öffentlichen Schlüssel bei dem dafür vorgesehenen Online-Dienst.

Nicht jedes Unternehmen wird in der Lage sein, Passwörter von heute auf morgen zu ersetzen, aber zumindest sollte jedes Passwort, das heute erstellt wird, vom System generiert werden, nur für ein Konto verwendet werden, in einem Passwort-Manager gesichert werden und in Kombination mit einer Multi-Faktor-Authentifizierung (MFA) verwendet werden, die eine Authentifizierungsanwendung umfasst.

Unternehmen, die sich weiterhin auf eigenständige Passwörter verlassen, gehen jetzt ein viel höheres Risiko ein als Unternehmen, die sich für Passkeys entschieden haben. Die vollkommene Sicherheit gibt es allerdings nicht. Cyberkriminelle können beispielsweise Cookies immer noch missbrauchen, um Passkeys zu umgehen, aber Passkeys reduzieren die Abhängigkeit von Passwörtern, die leicht zu stehlen sind.

Die Herausforderung besteht darin, dass die Implementierung von Passkeys Zeit und Ressourcen erfordert. Unternehmen, die zu Passkeys oder einer anderen Art von Authentifizierungsalternative übergehen, werden feststellen, dass sie auch weiterhin Passwörter verwalten müssen. Daher sollten Unternehmen zumindest ihre Passwörter routinemäßig wechseln, um ihre allgemeine Cybersecurity zu verbessern.

Cybersecurityteams sollten davon ausgehen, dass zuvor gestohlene Anmeldeinformationen dazu verwendet wurden, Schadsoftware in ihre IT-Umgebungen einzuschleusen. Sie sollten danach suchen, bevor diese unweigerlich aktiviert wird. Genauso wichtig ist es, dass die Teams sicherstellen, dass die Führungsebene des Unternehmens die Grenzen von Passwörtern klar erkennt.

Die Abkehr von Passwörtern ist natürlich eine ebenso große kulturelle wie technische Herausforderung. Passwörter in verschiedenen Formen sind in Gebrauch, seit der erste Wächter vor Jahrhunderten jemanden nach einem Losungswort fragte. Passwörter sind wohl oder übel in der menschlichen Psyche verankert. Der einzige Unterschied zwischen heute und der Zeit, als das erste Passwort erstellt wurde, ist –wie die Rockyou2024-Dateien zeigen – die Einfachheit, mit der sie sich heute herausfinden lassen.