Wenn Sie in der Sicherheit über das Risiko durch Anmeldeinformationen sprechen, konzentriert sich das Gespräch in der Regel auf markante Techniken wie Phishing, Malware oder Ransomware. Sie sind reale und ständig wachsende Bedrohungen, aber es gibt eine viel mehr tägliche Gefahr, die durch die politischen Schlitze gestoppt wird: die Passwörter, die neu erscheinen, aber nicht wesentlich sind. Diese Praxis, minimale Variationen zu machen - Hinzufügen einer Ziffer, Änderung eines Symbols, Erhöhung des Jahres - reduziert sehr wenig Belichtung und geht jedoch für viele Kontrollen unbemerkt.
Die minimale Änderung eines Passworts entspricht nicht einer echten Sicherheitsverbesserung. Umwandeln Sie für einen Benutzer "Verano2023!" in "Verano2024!" oder fügen Sie am Ende eines Geheimnisses eine "1" hinzu, die den Komplexitätsanforderungen und Geschichtsregeln entspricht, die viele Systeme auferlegen. Aber für einen Angreifer mit engagierten Anmeldeinformationen sind diese kleinen Variationen vorhersehbar und leicht mit automatisierten Werkzeugen abzuleiten.
Der Ursprung des Problems ist in hohem Maße der Mensch. Die meisten Menschen verwalten Dutzende von Zugang zwischen persönlichen und Arbeitskonten, mit unterschiedlichen Anforderungen je nach Plattform. Diese kognitive Last führt zur Wahl einfacher und unvergesslicher Lösungen: ein bekanntes Passwort neu zu entwerfen, anstatt ein neues zu erfinden. Darüber hinaus, wenn Organisationen standardisierte anfängliche Passwörter liefern, ist es üblich, dass Mitarbeiter sie allmählich ändern, anstatt sie vollständig zu ersetzen, wodurch leicht ausnutzbare Muster.
Die Angreifer kennen dieses Verhalten und nutzen es. Anstatt Passwörter zufällig zu versuchen, beginnen sie mit Listen von Geheimnissen, die in Datenverletzungen - Basen, die Dienste wie Habe ich gesungen? stellen Sie zur Verfügung - und verwenden Sie gemeinsame Transformationen: erhöhen Zahlen, ersetzen vorhersehbare Symbole oder add suffix. So kann ein kompromittiertes Konto der Schlüssel sein, andere zu lokalisieren, dank Editing-Regeln, die kleine menschliche Variationen replizieren.
Obwohl viele Organisationen sich auf Richtlinien verlassen, die Mindestlänge und Charakter-Mix erfordern, erkennen diese Standards nicht die strukturelle Ähnlichkeit zwischen Versionen des gleichen Passworts. Zum Beispiel ein Schlüssel im Stil "Finance EquipoFinance! 2023" gefolgt von "Finance EquipoFinance! 2024" wird ohne Probleme jeden Filter von Komplexität und Geschichte passieren, aber stellt keine echte Barriere für jemanden dar, der bereits die vorherige Variante kennt. Darüber hinaus erhalten Nutzer in heterogenen Umgebungen, in denen unterschiedliche Systeme unterschiedliche Regeln anwenden, widersprüchliche Signale, die diese vorhersehbaren Verknüpfungen fördern.
Die gute Nachricht ist, dass es effektivere Ansätze gibt, die die Art und Weise verändern, wie wir Anmeldeinformationen bewerten und verwalten. Anstatt ausschließlich auf statischen Regeln zu basieren, ist es angebracht, Kontrollen zu integrieren, die die Ähnlichkeit zwischen Passwörtern analysieren, fortlaufend die Tasten mit gefilterten Passwort-Basen überprüfen und die Sichtbarkeit auf das reale Risiko im Benutzerverzeichnis bieten. Referenzagenturen wie NIST empfehlen bereits moderne Maßnahmen im Authentifizierungsmanagement und vermeiden veralte Praktiken wie periodische Zwangsdrehungen ohne vernünftige Ursache ( SP 800-63B)
Auf der operativen Seite reduziert die Förderung der Verwendung von Passwort-Managern die Notwendigkeit, Geheimnisse zu recyceln und erleichtert die Erzeugung von robusten und einzigartigen Passwörtern für jeden Service; Agenturen wie CISA empfehlen ihre Annahme als gute Praxis ( CISA Anleitung) Die Implementierung, dass mit Multifaktor-Authentifizierung fügt eine andere Schicht, die viele Angriffe frustriert, die nur vom Wissen des Geheimnisses abhängt. Um praktische Empfehlungen zu veranschaulichen und sie auf einer Skala umzusetzen, Ressourcen wie OWASP Stunt Sheet über Authentifizierung sind eine gute Referenz.
Auf technologischer Ebene gibt es Lösungen, die verschiedene Fähigkeiten vereinen: schwarze Listen von kompromittierten Passwörtern anwenden, Ähnlichkeiten mit früheren Versionen erkennen, Richtlinien im Unternehmensverzeichnis zentralisieren und handlungsfähige Berichte für das Sicherheitsteam erstellen. Einige kommerzielle Lieferanten haben spezielle Werkzeuge für diese Bedürfnisse entwickelt, die auch die Prüfung und Nachweis der Compliance in Umgebungen wie Active Directory ermöglichen ( Speeren Passwort-Richtlinie ist ein Beispiel für diese Angebote).
Schließlich ist ein Wandel der organisatorischen Kultur ebenso wichtig wie Werkzeuge. Erklären Sie, warum die Mindestvariationen nicht schützen, reduzieren Sie die Reibung im Zusammenhang mit der Verwaltung von Anmeldeinformationen und priorisieren Lösungen, die die Benutzererfahrung vereinfachen (SSO, Manager und MFA) wird die Neigung, auf unvergessliche, aber unsichere Tricks zurückgreifen. Sicherheitsteams müssen kontinuierlich die Exposition von Anmeldeinformationen messen, schnell auf Lecks reagieren und Richtlinien anpassen, um praktische Lücken im täglichen Management zu schließen.
Kurz gesagt, die anspruchsvolle Komplexität reicht nicht aus: vorhersehbare Muster müssen verhindert und sichere Alternativen zur Verfügung gestellt werden. Nur auf diese Weise besteht das Risiko kleiner Variationen, die, obwohl nach den Regeln legitim, weiterhin Türen für die Angreifer zu öffnen tatsächlich reduzieren. Wenn Sie konkrete Lösungen für die Prüfung und Minderung dieses Risikos in Windows- und Active Directory-Umgebungen erkunden möchten, bieten viele Unternehmen Demos und technische Ressourcen, um ihre Passform mit Ihrer Organisation zu bewerten, zum Beispiel auf der Seite der Seite Spacups.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...