Der Internetsicherheits-Experte Weng Haozheng gibt ein Interview bei Bo’en und teilt mit, wie „Hacker“ Internet-Passwörter stehlen!

Netzwerksicherheits-Experte Weng Haozheng nimmt ein Interview mit Boen an und analysiert die aktuellen Probleme der Cybersicherheit eingehend. Weng Haozheng weist darauf hin, dass mit der Verbreitung von Künstlicher Intelligenz Hacker inzwischen in der Lage sind, mithilfe automatisierter Tools die Denklogik und die Zusammenhänge hinter menschlichem Verhalten zu erkennen und Konten anzugreifen. Dadurch stehen die traditionellen Vorstellungen von Cybersicherheitsabwehr vor einer ernsten Herausforderung. Er sagt, dass die Komplexität von Passwörtern nicht mehr wichtig sei; entscheidend sei, dass sie „genug besonders“ seien. Und er nennt als bisher nützlichste Abwehrmethode den Einsatz von „biometrischer Identifikation“ oder „verschlüsselten“ Passwortverwaltungs-Tools.

Wird auch ein intelligenter Lichtschalter zu einer Waffe, die Angriffsländer einsetzt?

In einer Umgebung, in der das Internet weit verbreitet ist, könnten auch Haushaltsgeräte wie intelligente Lichtschalter zu einer „Sprungbrett“-Infrastruktur werden, über die Hacker groß angelegte Cyberangriffe starten. Wenn Nutzer die voreingestellten Passwörter nicht ändern oder schwache Passwörter wie „12345678“ verwenden, können Hacker die Kontrolle leicht durch automatisierte Scan-Tools erlangen.

Sobald die Kontrolle übernommen ist, richtet sich der Angriff nicht nur gegen das Gerät selbst, sondern als Basis wird es genutzt, um die wahre Identität zu verbergen und anschließend Angriffe auf wichtige Ziele wie Verteidigungsinstitutionen oder Regierungsbehörden zu starten. Dies führt dazu, dass Strafverfolgungsbehörden bei der Nachverfolgung digitaler Spuren direkt auf die IP-Adresse des Besitzers des betreffenden IoT-Geräts zeigen, sodass die Allgemeinheit unabsichtlich zu Sündenböcken für Hackerhandlungen wird. Da die meisten Nutzer bei der Sicherheit dieser Haushaltsgeräte keine Wachsamkeit an den Tag legen, sind Haushalts-Smart-Devices heute zu einem extrem schwer erkennbaren Angriffspfad in der Online-Kriminalität geworden.

Je länger das voreingestellte Passwort, desto sicherer und fortschrittlicher das System!

Weng Haozheng übt Kritik an traditionellen Cybersicherheitssystemen, insbesondere an den Vorgaben wie „regelmäßig das Passwort ändern“ oder „zwingend Sonderzeichen enthalten“. Er betont, dass die „Länge“ von Passwörtern und ihre „Unvorhersagbarkeit“ für die moderne Abwehr gegen Hackerangriffe wesentlich effektiver seien. Die derzeit empfohlene Passwortlänge soll zwischen 14 und 20 Zeichen liegen, oder man nutzt Kombinationen aus langen Sätzen. Wenn es sich um Websites aus der Ära des alten Internets handelt, würde ein Ingenieur das voreingestellte Passwort nur innerhalb von 8 Zeichen festlegen. Wenn Nutzer dann leicht vorhersagbare Muster übernehmen, etwa am Ende des ursprünglichen Passworts einfach ein Ausrufezeichen inkrementieren, bietet das angesichts moderner Entschlüsselungstechniken praktisch keine Verteidigungskraft. Der Hauptgrund ist, dass Hacker die Logik der Nutzer auf anderen Wegen verstehen können: Wenn man zum Beispiel nur 1234567 nimmt und ein spezielles Symbol hinzufügt, lässt es sich leicht berechnen.

Passwortverwaltungs-Tools und Multi-Faktor-Authentifizierung können Bequemlichkeit und Sicherheit ausgleichen

Zur Absicherung persönlicher Konten empfehlen Experten den Einsatz von Passwortverwaltungs-Tools (Password Manager) sowie Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA). Passwortverwaltungs-Tools können für verschiedene Konten Tausende unabhängiger und zufälliger Passwörter generieren und so verhindern, dass eine Kompromittierung eines einzelnen Kontos eine Kettenreaktion auslöst. Obwohl hochrangige Hacker womöglich versuchen, Multi-Faktor-Authentifizierung zu umgehen, bleibt die Multi-Faktor-Authentifizierung derzeit der effektivste Weg, um SIM Swapping „SIM-Kartenwechsel“ oder durch KI gesteuerte automatisierte Phishing-Angriffe abzuwehren, und zwar bei einem ausgewogenen Verhältnis von Bequemlichkeit und Sicherheit.

Auch psychische Erschöpfung kann zu Schwachstellen führen

Während sich Cybersicherheitstechnologien ständig weiterentwickeln, bleibt die durch geistige Erschöpfung entstehende menschliche Nachlässigkeit die größte Schwachstelle. In den letzten Jahren ist der häufige Push Fatigue Attack „Push-Fatigue-Angriff“ zu sehen: Dabei senden Hacker fortlaufend eine große Menge an Login-Validierungsanfragen, um zu versuchen, dass Opfer in Ungeduld oder abgelenktem Zustand unbewusst auf „Zustimmen“ oder „Erlauben“ klicken. Diese Art von Angriff, der sich die Eigenschaften menschlichen Verhaltens zunutze macht, zeigt, dass allein technische Abwehr nicht ausreicht.

Nutzer sollten bei der Verwaltung digitaler Risiken eine klare Wachsamkeit mitbringen. Für Konten mit höherer Bedeutung (z. B. Online-Banking oder E-Mail) müssen die sichersten Sicherheitseinstellungen verwendet werden, statt alle Dienste auf demselben Schutzniveau zu belassen. Experten erinnern daran, dass es immer ein Spannungsverhältnis zwischen Sicherheit und Bequemlichkeit gibt; die größte Bedrohung entsteht oft aus dem Übersehen von Geräteeinstellungen oder aus übermäßiger Abhängigkeit von den Abläufen bei der Bedienung. Diese menschlichen Schwächen sind genau die Bereiche, die automatisierte Tools am leichtesten durchbrechen können.

Wie wählt man ein Passwortverwaltungs-Tool aus

Derzeit gibt es auf dem Markt verschiedene Lösungen zur Passwortverwaltung, darunter eigenständige Anwendungen (z. B. 1Password) sowie integrierte Speicherfunktionen im Browser (z. B. Google Chrome oder Firefox integrierte Tools). Obwohl Browser-Tools eine hohe Bequemlichkeit bieten, besteht ein Risiko, dass Passwörter abfließen, falls jemand die tatsächliche Kontrolle über den Computer erhält. Professionelle Passwortverwaltungs-Tools müssen lediglich, dass der Nutzer ein einziges starkes Master Password „Hauptpasswort“ merkt; der Rest der komplexen Verschlüsselungsprozesse wird von der Software übernommen.

Zusätzlich zum Speichern von Passwörtern haben diese Tools erhebliche Vorteile bei der Abwehr von Phishing. Wenn Nutzer aus Versehen eine Betrugswebsite oder eine Phishing-Seite falsch eingeben, verweigert das Passwortverwaltungs-Tool die automatische Übernahme der Zugangsdaten aufgrund einer Nichtübereinstimmung der URL. Das kann wirksam verhindern, dass Nutzer aufgrund der Unfähigkeit, gefälschte URLs mit dem bloßen Auge zu erkennen, persönliche Daten preisgeben. Experten betonen, dass die Sicherheit unabhängig davon, welche seriösen Verwaltungssoftware man wählt, deutlich höher ist als bei der alten Gewohnheit, dieselbe einfache Passwortkombination auf mehreren Websites wiederzuverwenden.

Dieser Artikel – Netzwerksicherheits-Experte Weng Haozheng teilt im Interview mit Boen mit, wie „Hacker“ Netzwerkpasswörter stehlen! Erstmals erschienen bei Lian News ABMedia.