Blog

Du betrachtest gerade Besitzen sie gehackte Accounts? Benutzen Sie sichere Passwörter?

Besitzen sie gehackte Accounts? Benutzen Sie sichere Passwörter?

  • Beitrags-Autor:
  • Beitrags-Kategorie:Technik-Informatik
  • Lesedauer:7 min Lesezeit

Sie wissen nicht, ob Ihre Account noch sicher sind oder sich ein oder mehrere Hacker schon Zugriff darauf verschafft haben?

Via Ihre Emailadressen können Sie auf verschiedenen Seiten überprüfen ob Sie ein Datenleck haben. Folgende Seiten bieten diesen Service kostenlos an:

Firefox Monitor 
Hier können Sie sich einen Account erstellen und sich auch über zukünftige Datenlecks informieren lassen. Es funktioniert auch mit dem Konto bei Firefox.
 
Hasso-Plattner-Institut
Deutschsprachige Seite einer privaten Fakultät die zu der Universität Potsdam gehört und von einer gemeinnützigen Stiftung finanziert wird. Aus Datenschutzgründen werden hier die Resultate nicht direkt auf die Seite ausgegeben, sondern auf das gesuchte Emailkonto geschickt. Damit kann ausgeschlossen werden, das jeder über jede Emailadresse Konten auspionieren kann.
 
Have I been pwned?
Einfache Seite des Sicherheitsexperten Troy Hunt, leider müssen Sie immer aufpassen wo Sie klicken um keine ungewollte Dienstleistung (Passwortdienst) aufgedrängt zu bekommen.
 
Einfache Seite des Sicherheitsexperten Troy Hunt, leider müssen Sie immer aufpassen wo Sie klicken um keine ungewollte Dienstleistung (Passwortdienst) aufgedrängt zu bekommen.
 
Testen Sie am besten alle 3 durch und mit Glück wurden Ihre Konten nicht gehackt. Falls doch ist es am besten wenn Sie sich in dem gehackten Konto anmelden und unmittelbar das Kennwort durch ein neues und sicheres Kennwort ersetzen.
 
Wie sieht ein sicheres Kennwort aus? >  
Es enthält 16 Zeichen, Grossbuchstaben, Kleinbuchstaben, Nummern und Sonderzeichen. Leider sind solche Kennwörter nicht leicht merkbar und notiert auf einen Zettel oder im Smartphone wären sie auch nicht mehr so sicher.
 
Die Wahl eines Kennwortes ist meistens ein Kompromiss zwichen leicht zu merken und genügender Komplexität für seine Sicherheit. Bevor wir ein neues Kennwort kreieren schauen wir uns erst an wie ein Kennwort geknackt wird. Hauptsächlich werden zum knacken die Wörterbuch- und Brute-Force-Attacken verwendet. Eine weitere Möglichkeit besteht über „Social Engineering“ (soziale Manipulation), bei der Personen über Verhaltensweisen zur Angabe von vertraulichen Informationen gebracht werden. 
 
Bei der Wörterbuchattacke benutzt der Angreifer Passwörter die aus Worten bestehen und in Nachschlagewerken (Duden, Enzyklopdien) gelistet werden. Dank grossen Datendiebstählen bei Sony (2011), Yahoo (2013) und Adobe (2013) können die Angreifer ihre Datenbanken mit Millionen von realen Passwörtern ergänzen. Mit diesen Datenbanken und Software probieren die Angreifer solange bis es klappt, der Account gesperrt wird, der Angreifer entdeckt wird oder der Angriff erfolglos abgebrochen wird. Viele Onlinekonten werden sooft angegriffen, das der Anbieter die Konten nicht sperren kann. Dies weil dann die richtigen Kontoinhaber bei den ständig gesperrten Konten auch nicht mehr anmelden könnten! Leider sind immernoch viele Konten mit sehr einfachen Kennwörtern (z.B. 12345678) geschützt, bei denen nicht mal eine Datenbank benötigt würde.
 
Die Brute-Force-Methode (Rohe-Gewalt-Methode) ist zeitaufwendiger und komplizierter. Hier kombiniert eine Software einfach alle möglichen Zeichenkombinationen (aaa, aab,aac usw.). Dabei sind viele Zeichen mögich, 26 Gross- und 26 Kleinbuchstaben, 10 Ziffern und auch noch alle Sonderzeichen. Das würde bei einem 8-stelligen Kennwort etwa 218 Billionen Möglichkeiten ergeben. Dies kann mehrere Stunden dauern und ist abhängig von der Rechenleistung des Angreifers. Wäre das Kennwort 8-stellig und bestünde nur aus Grossbuchstaben wäre es unter 1 Minute geknackt. Sie sehen nun wie Sie mit ein wenig Variabilität und einer Kennwortlänge von 16 Stellen einen grossen Gewinn an Sicherheit machen können. Bei 16-stelligen Kennwörtern aus Grossbuchstaben ginge das Knacken schon mehrere Jahre. 
 
Beide Methoden können und werden auch kombiniert eingesetzt. Deshalb hüten Sie sich vor beliebten Tricks bei der Kennworterstellung. Ersetzen Sie keine Buchstaben durch Ziffern (2iff3rn), schreiben Sie keine Worte hintereinander (untenobenrechtslinks) und fügen Sie keine Prä- oder Suffixe an Worte (123admin, Admin123). Die Kombinationen oder Tricks sind schon länger bei den Angreifern bekannt.
 
Nutzen Sie bewusst keine Dienste mehr die die Kennwortlänge begrenzen (<12). Damit können Angreifer die Software anpassen und so die benötigte Rechenzeit verkürzen.
 
Die Attacken werden häufig nicht über die Anmeldemaske des Anbieters ausgeführt, sondern es werden die Kennwortlisten geklaut und offline durchsucht. Diese Listen liegen zum Glück selten in Klartext vor. Normalerweise werden Kennwörter als Hash (Prüfsumme), diese Prüfsumme muss der Angreifer auch erst knacken/berechnen um an die Kennwörter zu kommen. Dieses Verfahren kann der Angreifer mit bestehenden und vorgefertigen Listen aus dem Internet (Rainbow-Tables) verkürzen. In diesen Listen stehen schon Kennwörter in ihrer Hashform. Betreiber können dem Kennwort einen generierten Wert voranstellen bevor sie den Hashwert speichern. Beim knacken wird nun zum Kennwort noch der generierte Wert gerechnet werden, was den Aufwand nur noch selten rechtfertigt.
 
Sie wissen jetzt warum Kennwörter nicht zu einfach sein dürfen um sicher zu sein. Wie kommen Sie denn nun zu sicheren Kennwörtern und wie managen Sie diese? Helfen können Ihnen dabei Passwortmanager (1Password, KeePass), diese können Kennwörter generieren und verwalten. Die so gespeicherten Kennwörter werden durch ein Masterkennwort geschützt, dieses müssen Sie jedesmal eingeben um auf Ihre Kennwörter zugreifen zu können. Wählen Sie deshalb ein merkbares und starkes Kennwort, da Sie es unter umständen mehrmals täglich eingeben müssen.
 
Welche Möglichkeiten für einfach merkbare und trotzdem sichere Kennwörter zu generieren gibt es? 
 
Variante 1 (XKCD-Methode):
Wählen Sie mehrere Wörter aus einem Wörterbuch aus – je mehr desto besser – und setzen sie hintereinander (CenterKaugummiBatteriesähenHundgelb). Achten Sie darauf das die Worte keinen Bezug zueinander haben und mindestens 16 oder besser 20 Zeichen lang sind.
 
Variante 2 (Schneler-Schema) 
Denken Sie sich einen langen Satz aus und stellen aus den Anfangsbuchstaben ein Kennwort her: (Viele Störche verderben die Geburt und fliegen anschliessend nach Afrika ins Zentrum für einfüssige Badeschlarpen! ergibt: VSVdGufanAiZfeB!)
 
Variante 3 (Anbieterspezifische Kennwörter)
Da ein Kennwort nur einmal und für jeden Anbieter anders sein sollte, können die 2 vorherigen Varianten noch ergänzt werden. Fügen Sie dem Kennwort jeweils ein Kürzel für den Anbieter oder Dienst hinzu. So wird aus VSVdGufanAiZfeB!, VSVAmazdGufanAiZfeB! oder aus CenterKaugummiBatteriesähenHundgelb, CenterKaugummiAmazBatteriesähenHundgelb.
 
Variante 4 (Zwei-Faktor-Authentifizierung)
Vor allem für Webseiten mit geschützten Zugriffen (Banken, Börsen, Paypal, usw.) sollten nur noch mit dieser weiteren Absicherung benutzt werden. Dabei muss man nach der Eingabe von Benutzer und Passwort noch eine Zeifenfolge eingeben die via SMS, Chipkarte, App (Google-Authenticator usw.), TAN, TAN-Listen usw. generiert werden. Diese sind nur einmal gültig und verunmöglichen dem Angreifer den Zugriff ohne das örtlich getrennte und schwerer erreichbare Sicherheitsfeature.
 
Mit diesem Wissen können Sie im Jahr 2020 das Risiko eines Datenlecks deutlich minimieren. Leider steht auch hier die Zeit nicht still und wir werden in Zukunft sicher noch mehr Massnahmen ergreifen müssen um diesen Stand behalten zu können. 
Seien Sie vorsichtig auf fremden Computern, öffentlichen Plätzen, unbekannten Geräten an Ihrem Computer (USB) oder in WLan-Netzen die öffentlich sind oder fremde Benutzer mitnutzen (Hotel, Restaurant usw.). Hier besteht eine weitere Möglichkeit  Ihre Daten zu klauen oder auszuspionieren.
 
In diesem Sinne: ToiToiToi und bleiben Sie sicher!

Schlagwörter: , ,