Wie sicher sind Passwörter wirklich? Twilio

Verheerend für Geschäft und Ruf: Cyber-Attacken

Hacker-Angriffe bei Twitter, Dropbox und LinkedIn. Diese Vorfälle bilden nur die Spitze des Eisbergs der Sicherheitslücken, die in den letzten Jahren an die Öffentlichkeit gelangten. Bei den Attacken wurden Mengen an persönlichen Informationen erbeutet, die teilweise im Netz veröffentlicht und verkauft wurden.

Obwohl deutsche Unternehmen verstärkt in ihre IT-Security investieren, gelingt es Cyber-Kriminellen immer wieder, Sicherheitsvorkehrungen zu umgehen. Die Folgen sind fatal: Außer hohen finanziellen Kosten führen solche Attacken zu Image-Schäden, die schnell das Aus für Gründer bedeuten können.

Denn welcher Kunde möchte seine Daten einem Unternehmen anvertrauen, das nicht in der Lage ist, diese zu schützen?

Was macht Anwendungen so unsicher?

Auch Startups rüsten in Sachen Sicherheit massiv auf. Doch selbst das beste System ist nicht sicher genug. Mit einem Risikofaktor rechnen nämlich die wenigsten: ihre Nutzer. Die meisten Kunden verwenden Passwörter, die nicht komplex genug und daher einfach zu erraten sind – ein Fehler, der aber nicht nur Laien unterläuft.

So enthielt eine erbeutete Liste an LinkedIn-Zugangsdaten, die 2012 im Dark Web zum Verkauf angeboten wurde, die Daten zu Mark Zuckerbergs Profil. Sein Passwort lautete lediglich „dadada“ und wäre daher in kurzer Zeit zu erraten gewesen. Das eigentliche Problem war hier aber nicht unbedingt die fehlende Komplexität des Passworts, sondern die Tatsache, dass der Facebook-Gründer dasselbe Kennwort für unterschiedliche Anwendungen verwendete. Mit diesen Daten konnten die Hacker daher Zuckerbergs Profile auf anderen Plattformen wie Twitter und Pinterest übernehmen.

Da fast immer die Email-Adresse als Benutzername funktioniert und die meisten Nutzer dasselbe Passwort für verschiedene Dienste nutzen, können Hacker mit einem einmal erbeuteten Passwort ganz einfach in mehrere Systeme gleichzeitig eindringen – und innerhalb kürzester Zeit das gesamte digitale Leben übernehmen.

Ein Alptraum für jeden Nutzer – und schreckliche Realität für jedes Startup.

Passwort-Nachlässigkeit: Kleine Fehler mit großen Folgen

Mittlerweile sind mehr als die Hälfte aller Verletzungen der Datensicherheit auf den Missbrauch und Diebstahl von Benutzeranmeldeinformationen zurückzuführen. Die Folgen? Wird ein Fall publik, können die Reputationsschäden so gravierend sein, dass sie zum Geschäftskollaps führen.

Besonders für Startups aus dem B2B-Bereich sind Lücken in der Passwortsicherheit folgenschwer: Denn außer den eigenen Daten lagern sie häufig auch sensible Daten anderer Unternehmen auf ihren Servern. Wird die Sicherheit durch ein nachlässig gewähltes Passwort des Kunden kompromittiert, kann es im schlimmsten Fall zu Schadensersatzforderungen kommen – zu beweisen, dass man sich als Anbieter nichts hat zuschulden kommen lassen, ist oft schwierig.

Und selbst die eigenen Mitarbeiter sind vor Fehlern nicht sicher. Wird bei der Passwortsicherheit geschlampt, können sich Hacker ganz schnell Zugang zum Backend verschaffen und Nutzerdaten und weitere vertrauliche Informationen erbeuten.

Erfolgreiche Startup-Angebote haben oft berühmte Befürworter und Nutzer. Aus PR-Sicht ein toller Erfolg, aus IT-Sicht ein Risikoherd, denn Prominente stellen ein besonders attraktives Angriffsziel für Hacker dar. Deswegen hat sich das Live-Streaming-Videoportal Twitch dazu entschieden, seinen Nutzern optional eine zusätzliche Absicherung zu bieten.

Wie sicher sind Passwörter wirklich? Twilio

Mehr Informationen, mehr Sicherheit: Die Zwei-Faktor-Authentifizierung

Denn selbst ein regelmäßiges Ändern von Passwörtern ist im Zeitalter von Phishing, Passwortknacken oder Screen-Scraping nur ein Tropfen auf den heißen Stein. Wie können Gründer also ihre Anwendungen, ihre Kundendaten und damit auch ihren guten Ruf schützen?

Indem sie ihre Sicherheitsmaßnahmen verstärken – durch eine Zwei-Faktor-Authentifizierung (2FA). Diese ergänzt die herkömmliche Sicherheitsmethode der Abfrage von Benutzername und Kennwort durch die Abfrage einer zusätzlichen Information, in der Sicherheitsbranche „Faktor“ genannt. Dieser Faktor kann etwa das Merkmal einer Person sein, wie z.B. ein Fingerabdruck, oder ein Gegenstand, den man bei sich trägt, z.B. ein Smartphone.

Solche Vorgehensweisen sind im Banking bereits gang und gäbe; so müssen Nutzer bei einer Transaktion außer Benutzername und Passwort auch eine einmalig gültige TAN als dritten Faktor eingeben. Und wer Geld abhebt, weist sich mit dem Gegenstand „Bankkarte“ und der dazugehörigen geheimen Information „PIN“ aus. Genau dieser Standard sollte auch in Sachen Passwortsicherheit vorherrschen – und kann mit 2FA erreicht werden.

Do it yourself? Das ist bei Sicherheitssoftware zu beachten

Da Sicherheitssoftware sehr komplex ist, kann sie schnell zum Schwachpunkt werden: Fehler bei der Entwicklung und Implementierung können im schlimmsten Fall die Anmeldung zum Einfallstor für Hacker machen.

Doch die Alternative – eine fertige Lösung für die Zwei-Faktor-Authentifizierung zu kaufen – kann dazu führen, dass Startups die Kontrolle über das Nutzungserlebnis rund um die Anmeldungen verlieren. Außerdem scheuen viele Gründer die damit verbundenen Kosten.

So behalten Gründer die Kontrolle über ihre Anwendungen

Diese Befürchtungen sind berechtigt – ist es doch gerade in puncto Sicherheit essentiell, den Überblick und die Kontrolle zu behalten. Genau hier kommt Authy ins Spiel. Das Unternehmen hilft Webdiensten dabei, ihre Login-Prozesse abzusichern, indem es über eine cloudbasierte API Services mit allen wichtigen Sicherheitsfunktionen bereitstellt. Damit können Käufer die komplette Kontrolle darüber behalten, wie und an welcher Stelle die 2FA in ihre Anwendung implementiert wird. Diese kann nämlich auch lediglich in kritischen Bereichen einer Anwendung oder als optionales Feature eingesetzt werden. So können Gründer die Sicherheit ihrer Anwendungen und Kundendaten individuell stärken – dadurch, dass der Dienst nutzungsbasiert abgerechnet wird, ganz ohne Basiskosten.

Authy bietet nicht nur ein Höchstmaß an Sicherheit, sondern verringert gleichzeitig die Komplexität bei der Einführung einer 2FA-Lösung radikal: Auch ohne spezielles Security Know-how und mit lediglich einem Mindestmaß an Coding können Startups ihren Kunden verschiedene Möglichkeiten zur sicheren Authentifizierung bieten.

Starke Partner dank jahrelanger Expertise

Als Teil des Cloud-Communication-Experten Twilio konnte Authy bereits mehr als 10.000 Webseiten und mobile Apps von seiner Expertise überzeugen – darunter Unternehmen wie zum Beispiel Dell, Twitch und SendGrid.

Da die gesamte Sicherheitsarchitektur von der Zwei-Faktor-Authentifizierung abhängt, führt Authy regelmäßige Tests auf Schwachstellen durch und bietet seinen Kunden außerdem Unterstützung durch eigene Spezialisten.

Welche verschiedenen Möglichkeiten Authy für die 2-Faktor-Authentifizierung bietet und worauf es bei der Implementierung wirklich ankommt, zeigt dieses Whitepaper!

 

Artikelbild: Stocksnap.io
Bild in Text: Authy