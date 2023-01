Multi-Faktor-Authentifizierung kommt in nur elf Prozent der Abteilungen im US-Innenministerium vor.

Eine vom US-Innenministerium in Auftrag gegebene Sicherheitsüberprüfung stellt die eigenen Abteilungen bloß: 13.000 geknackte Passwörter in nur 90 Minuten.

Es ist längst bewiesen: Sein Passwort oft zu wechseln, erhöht die Sicherheit nicht. Es schwächt sie sogar. Weil die Kombinationen ähnlicher werden, um sie sich leichter zu merken. In vielen Fällen werden sie sogar aufgeschrieben. Das betrifft auch jenen Personenkreis, der mit besonders heiklen Daten arbeitet. Eine Sicherheitsprüfung im US-Innenministerium zeigte, wie schnell die Konten gesamter Abteilen geknackt werden können; binnen weniger Minuten.

Innerhalb von 90 Minuten waren 13.000 Passwörter geknackt, wie die vom US-Innenministerium beauftragte Sicherheitsfirma in einem Bericht offenlegt. Auch hier finden sich die altbekannten Klassiker, die alljährlich tausendfach von Sicherheitsfirmen im Darknet gefunden werden. Doch jegliche Warnung scheint zu verhallen.

Die Liste der meistgenutzten Passwörter im US-Innenministerium:

1. Password-1234

2. Br0nc0$2012

3. Password123$

4. Password1234

5. Summ3rSun2020!

6. 0rlando_0000

7. Password1234!

8. ChangeIt123

9. 1234password$

10. ChangeItN0w!

Die von der Sicherheitsfirma eingesetzte Technologie hält sich in einem überschaubaren Rahmen. Sie setzte auf zwei Rechner mit insgesamt 16 Gigabyte starken Grafikkarten. Die Software wurde mit einer 1,5 Millionen Wörter umfassenden Liste gespeist, die auch öffentlich zugängliche Passwort-Listen umfasst. Sie wurde ergänzt um Fachjargon des US-Innenministeriums - wobei dies nicht notwendig gewesen wäre - und Wörterbucheinträge und gängige Tastaturmuster.

Ausweg: Multi-Faktor-Authentifizierung

Passwörter sind in puncto Sicherheit so löchrig wie ein Schweizer Käse. Viele Unternehmen, Banken und Anbieter setzen bereits auf Multi-Faktor-Authentifizierung. Das bedeutet, dass Passwort und eine weitere Methode (Einmal-Code per SMS, Token, Gesichtserkennung, Fingerabdruck) kombiniert werden. Dieses Zusammenspiel macht geschlossene Systeme deutlich sicherer. Im US-Innenministerium ist man offenbar noch nicht zu dieser Ansicht gelangt: nur elf Prozent der Systeme setzen aktuell darauf.

>>> Bericht für das US-Innenministerium

(bagre)