+43 699 / 18199463
office@itexperst.at
Passwortsicherheit: wie Konten bei Google nicht mehr gehackt werden können

Passwortsicherheit: wie Konten bei Google nicht mehr gehackt werden können

Mitte Mai 2019 berichtete Google in ihrem Google Security Blog von dem Ergebnis einer einjährigen Studie zur Konto-Hygiene gegen Hacking-Angriffe. Google hatte sich mit Forschern der New York University und der University of California zusammengetan, um zu erforschen, wie effektiv eine grundlegende Kontohygiene sein sollte, um Kontoübernahmen durch Kriminelle zu verhindern. Die Studie betrachtet breitgefächerte und gezielte Angriffsszenarien. Unter 1,2 Millionen Nutzern, die 14 verschiedenen Log-in-Möglichkeiten für Google-Konten verwendeten, untersuchten die Forscher 350.000 Kaperversuche. Die Ergebnisse der Studie wurde im Mai 2019 auf The Web Conference vorgestellt.

Google erläuterte zunächst, was unter zielgerichteten Hacking-Angriffen zu verstehen ist. Es handelt sich dabei um Attacken, für die Kriminelle von Auftraggebern bezahlt werden, sogenanntes Hack for Hire. Kostenpunkt je Auftrag: ca. 750 US-Dollar. Ihr Auftrag ist, bestimmte Einzelpersonen gezielt zur Kompromittierung ihres Accounts zu verleiten mithilfe von exakt personalisiertem Phishing. Solche Phishing-E-Mails werden solange in den unterschiedlichsten Formen gesendet, bis das Opfer darauf hereinfällt. Laut Google stehen die Chancen für dieses Angriffsszenario allerdings bei 0,0001 % oder 1:1 Million.

Die große Masse der Angriffe wird durch automatisierte Bots durchgeführt. Sie greifen meistens auf Passwörter zurück, die in anderen Angriffen gestohlen wurden und zum freien Verkauf angeboten werden. In einem zunehmend digitaleren Leben müssten Nutzer daher nicht nur individuelle Passwörter für jeden Online-Dienst nutzen, sondern auch weitere Sicherungsmaßnahmen ergreifen. Die Google-Forscher fanden heraus, dass zur Account-Absicherung schon einfache Maßnahmen einen großen Unterschied machen:

„Wir haben festgestellt, dass ein an eine Recovery-Telefonnummer gesendeter SMS-Code 100 % automatisierte Bots, 96 % der Sammel-Phishing-Attacken und 76 % zielgerichteter Angriffe abwehrt. Anmelde-Aufforderungen auf dem Gerät […] verhinderten 100 % der Bot-Attacken, 99 % Phishing-Attacken und 90 % zielgerichtete Angriffe.“

Das heißt, fast alle Angriffe können abgewehrt werden, wenn dazu eine Anmeldung auf einem registrierten, vertrauenswürdigen Gerät bestätigt werden muss. Auch SMS-Codes oder per App generierte Sicherheitsschlüssel sind sehr sicher. App-Sicherheitsschlüssel sind dabei am sichersten. Die Studie konnte nachweisen, dass sie alle Angriffsversuche abblocken konnten. Die Absicherung durch eine zweite E-Mail-Adresse war in der Lage, noch mehr als zwei Drittel aller Angriffe abzuwehren. So gut wie keine Sicherheit bietet das einfache Eintragen der Sicherungs-Telefonnummer oder des letzten Log-in-Orts.

Die Zwei-Faktor-Authentifizierung hat sich als Sicherungsmaßnahme mittlerweile gut etabliert. Dabei wird für ein Konto-Log-in neben dem Passwort (etwas, der nur Anmelder kennt) ein zweiter Faktor (etwas, das nur der Anmelder besitzt) verwendet. Der zweite Faktor kann eine per SMS oder E-Mail versandte PIN-Nummer sein oder eine, die eine Generator-App auf dem Smartphone des Anmelders erstellt hat.

SANS IT-Sicherheits-Experte William Murray sieht die das kritisch. Man habe gesehen, wie betrügerische Versuche diese SMS oder E-Mail-Pins Nummern abändern konnten. Daher ist die Verwendung von Token für Einmalpasswörter etwas sicherer als die SMS-Variante. Er
appelliert auch an die Nutzer, sie sollten regelmäßig überprüfen, dass die Nummer, die Google in den Datensätzen gespeichert hat, wirklich ihre eigene ist.

Die Google Studie offenbarte auch noch andere interessante Fakten. Demnach hatten 38 % der untersuchten Fälle keinen Zugriff auf ihr Smartphone und 34 % konnten sich nicht an ihre zweite E-Mail-Adresse erinnern. Unabhängig davon, konnten über 94 % der Teilnehmer innerhalb einer Woche wieder auf ihr Konto zugreifen. Optimal ist das natürlich nicht. Für die eigene Daten-Sicherheit ist heute eine anwendbare und funktionierende Zwei-Faktor-Authentifizierung eigentlich unumgänglich. Und nur so kann Google seinen Nutzern letztendlich auch in Sachen Sicherheit helfen.

Google will in der nahen Zukunft noch einen Schritt weiter gehen was die Datensicherheit angeht. Besonders für Nutzer mit hohem Risiko wird eine Anmeldung zu Googles Advanced Protection Program empfohlen. Versuche zeigten hier 100 % Schutz gegen Angriffe. In diesem Programm ist das Einloggen auf Google-Accounts nur mit einem physischen Schlüssel möglich.

SANS Experte Lee Neely wies auf den Google Blogpost vom Februar hin wo Google für Otto-Normalverbraucher damals 5 Tipps zur Kontosicherung empfohlen hatte. Sie betreffen meistens die Auswahl an Google-Anwendungen und machen sie sofort sicherer. Die Installation der Chrome-Erweiterung Password Checkup kann dazu beitragen, Nicht-Google-Konten zu schützen.

Auf der Google Cloud Next Konferenz im Mai 2019 gab Google einen Einblick in seine Ideen zur Zukunft der Datensicherheit. Man wolle in Zukunft Android-Telefone als Sicherheitsschlüssel nutzen. Rob Sadowski, Marketingleiter von Google Trust und Security sagte:

„Betrachten Sie es als einen Sicherheitsschlüssel integriert in fast jedem modernen Android-Handy, ein sehr einfach zu bedienender Authorisierungsfaktor für über eine Milliarde Benutzer. Viele Menschen möchten vielleicht auch gar nicht für ein zusätzliches Sicherheitsgerät Geld ausgeben, wenn Sie bereits ein Handy haben. Davon abgesehen, könnte sie ein extra Gerät irgendwo vergessen.“

Googles Ansatz ist es also, diese Authentifizierungsmethode zugänglicher zu machen. Dafür möchte es jedem Telefon mit Android 7+ ermöglichen, ein Sicherheitsschlüssel zum Schutz persönlicher Google-Konten und professioneller Google Cloud-Konten zu sein.

Siehe auch:

Artikel von security.googleblog.com, 05.2019: New research: How effective is basic account hygiene at preventing hijacking
Artikel von zdnet.com, 20.05.2019: Add a recovery phone number to block automated hijack attempts: Google

Urheberrecht Beitragsbild: shutterstock.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen