US-Behörde nimmt IT-Branche bei riskanten Standardpasswörtern in die Pflicht

Standardpasswörter sind bei vielen IT-Produkten nach wie vor gang und gäbe. Damit soll Schluss sein, fordert die Cybersecurity & Infrastructure Security Agency.

20. Dezember 2023

"1234", "default", "password": Viele IT-Hersteller setzen bei Produktauslieferung an ihre Kunden auf Standardpasswörter. Doch diese werden von Cyberkriminellen und staatlichen Akteuren ebenfalls gerne genutzt, um sich Zugang zum Unternehmensnetzwerk zu verschaffen, wie die Cybersecurity & Infrastructure Security Agency warnt. Die US-Behörde ruft Technologieanbieter daher dazu auf, Standardpasswörter bei der Entwicklung, Freigabe und Aktualisierung von Produkten abzuschaffen. "Jahrelang hat sich gezeigt, dass es nicht ausreicht, sich darauf zu verlassen, dass Tausende von Kunden ihre Passwörter ändern, und dass nur eine konzertierte Aktion der Technologiehersteller den schwerwiegenden Risiken, denen kritische Infrastrukturorganisationen ausgesetzt sind, angemessen begegnen kann."

In einem Schreiben mahnt die Behörde, stets dem Secure-by-Design-Ansatz zu folgen, und gibt verschiedene Tipps, wie gemeinsam eine grösstmögliche Sicherheit erzielt werden kann. So sei es wichtig, dass die IT-Branche auch die Verantwortung für die Sicherheitsresultate auf Kundenseite übernimmt. Konkret nennt die Behörde das Beispiel, statt einem Standardpasswort für jedes Produkt instanzspezifische oder zeitlich begrenzte Einrichtungskennwörter bereitzustellen.

Hersteller müssen gewährleisten, dass Kunden nicht die Hauptsicherheitslast tragen. Ziel ist es laut dem Schreiben stattdessen, dauerhafte Sicherheit für die langfristige Verwaltung von Produkten zu schaffen – und das bereits während des Installationsprozesses. "Hersteller sollten nicht davon ausgehen, dass die Benutzer wissen, dass sie unsichere Standardkonfigurationen deaktivieren müssen." Zudem können sie laut der Behörde Feldtests durchführen, um zu verstehen, wie Kunden die Produkte genau in ihren Umgebungen einsetzen, um eine mögliche Lücke zwischen Entwicklerannahmen und der tatsächlichen Praxis zu schliessen.

Zwar konzentriert sich der aktuelle Aufruf vor allem auf Standardpasswörter. Die Cybersecurity & Infrastructure Security Agency weist jedoch darauf hin, dass entsprechende Massnahmen nur Bausteine in einem viel breiter angelegten Secure-by-Design-Ansatz sein können.

Übrigens: "123456" ist nach wie häufigstes Passwort der Welt, dicht gefolgt von "admin" und anderen unsicheren Kombinationen wie "barcelona" oder "Supermario12" ("Swiss IT Magazine" berichtete). (sta)

Dokumenten-Safe mit Passwortmanager für Teams

9. Dezember 2023 - Dswiss bietet mit Securesafe seit Jahren einen sicheren Datei- und Passwortmanager an. Neu ist der Teamsafe, mit dem alle Teammitglieder auf gemeinsam genutzte Dokumente und Passwörter zugreifen können. «Swiss IT Magazine» hat die Teamfunktionen ausgiebig getestet.

123456 ist häufigstes Passwort der Welt

16. November 2023 - Gemäss einer Studie des Passwortmanagers Nordpass sind einfache Zahlenfolgen sowie vorkonfigurierte Passwörter erschreckend oft vorzufinden. Solche Passwörter können in Windeseile geknackt werden.

Whatsapp führt Passkeys für Android ein

18. Oktober 2023 - Whatsapp führt vorerst für die Android-Version Passkeys für die sichere Authentifizierung ein. Die biometrischen Informationen werden verschlüsselt im Google Passwort Manager gespeichert.

Artikel kommentieren