In letzter Zeit sind immer öfter Hacker-Angriffe bekannt geworden, bei denen die Nutzer der Systeme durch ihren leichtsinnigen Umgang mit Zugangsdaten eine Mitschuld getragen haben. Warum auch Privatpersonen sichere Passwörter nutzen sollten, was passieren kann und wie man sich wirkungsvoll schützt. Darum soll es in diesem Beitrag gehen.
Wer direkt überprüfen möchte, ob seine Zugangsdaten schon einmal ergaunert wurden, kann seine Email-Adresse auf haveibeenpwned.com überprüfen lassen. Der Sicherheitsexperte Troy Hunt sammelt auf dieser Webseite die Datensätze aus den Hacks der letzten Jahre und gibt Auskunft darüber, ob unsere Zugangsdaten im Internet für jeden zur Verfügung stehen. Denn, die Daten wie er sie verwendet, sind für jeden Käuflich oder kostenlos erhältlich, der sich mit der Materie beschäftigt!
Warum man überall ein anderes Passwort verwenden sollte
Seit knapp 15 Jahren bewege ich mich jetzt bereits durch das Internet. Die Übersicht darüber, wo ich mich überall registriert habe und welche Zugangsdaten verwende, habe ich vor Jahren bereits verloren. Wie merkt man sich die Passwörter all dieser Seiten? Als fauler Mensch fängt man an Abkürzungen zu wählen. Nicht von wenigen weiß ich, dass sie vielleicht 2-3 verschiedene Passwörter verwenden. Quasi eins für die wichtigen Seiten, eins für die wo ich persönliche Daten verwalte und eins für alle anderen. Ahja, und auf der Arbeit muss ich mein Passwort andauernd ändern, daher kleb ich das mit einem Post-It unter meine Tastatur.
Die meisten Anbieter achten auf ein gesundes Maß an Sicherheit und speichern die Passwörter in der Regel mit einer Einwege-Verschlüsselung in ihren Datenbanken. Dennoch, gibt es auch bei prominenten Anbietern immer wieder Sicherheitslücken, bei denen zunächst unbemerkt Passwörter ausgelesen, mitgeschnitten oder umgeleitet werden. Diese Daten landen dann auf dem Schwarzmarkt, wo sie erworben werden können. Einen Überblick solche Sicherheitslücken findet ihr hier. Da sind auch einige prominente Plattformen dabei.
Meist geht es den Käufern dieser Daten gar nicht so sehr um die Webseite, auf der die Zugangsdaten entnommen wurden. Da die meisten Nutzer im Internet überall die gleichen Passwörter verwenden, haben die Hacker ein leichtes Spiel. Vollautomatisiert fragen sie attraktive Services wie WordPress, Paypall, Facebook und Co mit diesen Daten ab. In der Hoffnung Zugang zu euren Konten zu erlangen. Alleine auf meinen kleinen Webseiten verzeichne ich in der Firewall zich Angriffe pro Tag, bei denen verschiedene Zugangsdaten systematisch durchprobiert werden.
Wer interessiert sich den für meine Daten?
Auf den ersten Blick nicht weiter kritisch, wenn jemand Zugang zu meinem alten Ponyhof-Forum oder der Webseite des Fussballvereins hat, oder? Was will denn ein Hacker aus einem fernen Land damit? Nun, die meisten Angriffe funktionieren vollautomatisiert. So generieren die Bots auf unseren alten Accounts Beiträge oder installieren Schadsoftware auf den Systemen.
Noch ungünstiger ist es, wenn der Angreifer mit den Zugangsdaten in sensiblere Systeme einbricht. Etwa Webseiten, bei denen wir unsere Kreditkarte hinterlegt haben oder anderweitig Kosten produziert werden können. Im Nachhinein nachzuweisen, dass man selbst die Kosten produziert hat ist gar nicht mal so einfach. Zumal der Anbieter auf die Pflicht des Nutzers verweisen wird, der die Verantwortung für seinen Zugang trägt.
Ich denke es ist wichtig, sich bewusst zu machen, dass es eben automatisierte Angriffe sind. Ein menschlicher Hacker ist vielleicht zu faul, sich mit den Daten eine unbescholtenen Bürgers am Rande des Internets zu beschäftigen, aber für ein Computerprogramm ist das Kindergarten. Er probiert tausende von Passwort-Kombinationen auf verschiedensten Webseiten binnen weniger Sekunden aus. Am Ende bekommen die Besitzer dieser Programme dann eine Auswertung von Systemen zu denen Sie nun Zugang haben. Wir sollten es ihnen daher nicht zu einfach machen.
Wie man überall ein anderes Passwort verwendet
Aber wie kann man sich denn hunderte Passwörter merken? Kann man nicht! Eine Möglichkeit, seine Passwort-Sicherheit ein wenig zu verbessern, ist sich eine Art Algorithmus als Passwort auszudenken. So kann man z.B. die Passwörter mit einer gemeinsamen Geheimzahl und einer Regel im Kopf selbst erstellen.
Geheimzahl: 62938
Regel: Jeder 2 Buchstabe der Webseite
Bsp:
Facebook.com = F a b o + 62938 = F6a2b9o38
Dies macht zumindest das automatisierte Hacken von Webseiten deutlich schwieriger. Noch besser ist es aber, komplett zufällig generierte Zeichenkette als Passwort und einen Passwort-Manager zu verwenden.
Ein Passwort-Manager hat folgende Vorteile
- Hat in der Regel einen guten Passwort-Generator
- Hilft einem die Übersicht über all seine Online-Accounts zu bewahren
- Man muss sich nur ein Passwort (zum Manager) merken
Ich persönlich verwende KeePass vor allem, weil ich die Passwort-Datei so selbst verwalte, was eine weitere Hürde für Angreifer ist. Denn ein Angriff auf eine zentralisierte Passwort-Datei ist viel interessanter, als einzelne Passwortdateien von Usern aufzuspüren und diese anschließend zu entschlüsseln.