Meine Passwortstrategie, wenn ich denn überhaupt je eine gehabt habe, könnte ernsthaft veraltet sein, nein: Sie ist mit Sicherheit veraltet, wie ich jetzt in der Macworld lesen musste: What you don’t know about passwords might hurt you. Als notorischer Password-Wiederverwender hat mich das dort aufgezeigte Passwortklau-Szenario doch ziemlich aufgeschreckt. Sie sollten auf jeden Fall den obigen Artikel lesen, aber wenn Sie keine Zeit dafür haben, finden Sie hier meine
Zusammenfassung:
Man unterscheidet grob zwischen fünf Arten des Passwortdiebstahls:
1. Kurze, unsichere Passwörter, die mit Hilfe einer Brute-Force-Attacke erkannt werden, also durch reines Ausprobieren. Dank steigender Rechenkapazitäten können kurze Passwörter, selbst wenn sie nicht in einem Lexikon stehen (dictionary attack), innerhalb weniger Minuten geknackt werden. Einen ausreichenden Schutz gegen die Brute-Force-Methode gewähren nur lange (>7 Zeichen), zufällige, alphanumerische Passwörter mit Großkleinschreibung und Sonderzeichen. (Onlinedienste gehen zwar zunehmend dazu über, das Konto zu sperren oder auf Sicherheitsfragen zu verweisen, wenn man mehrmals das Passwort falsch eingibt, verhindern aber nicht den großen Passwortklau mit anschliessendem Offline-Knacken.)
2. Keylogger. Ausspähen von Passwörter in nicht gesicherten WLAN-Netzen (z.B. am Flughafen) oder mit Keyloggern (schreiben Tastaturanschläge mit) in einem Internet-Café am Urlaubsort oder simplem Über-die-Schulter-gucken.
3. Die Nutzung von ähnlichen Passwörtern bei verschiedenen Diensten. In den vergangenen Monaten wurden mehrere Angriffe auf große Onlinedienstleister bekannt, bei denen Nutzerpasswörter ausgespäht wurden. So wurden im Juni 2012 mehr als sechs Millionen Passwörter bei LinkedIn gestohlen und einen Monat später mehr als 450.000 Yahoo-Passwörter. Auch Googlemail-Nutzer sollen Opfer einer Phishingattacke geworden sein. Da Passwortdiebstahl weltweit drastisch ansteigt, kann man kann nie ganz sicher sein, ob der eigene Provider betroffen ist und ob bereits ein eigenes Passwort abgefischt wurde. Ganz schlimm, wenn man dieses Passwort auch für das Amazon- oder iTunes-Konto verwendet, wo die Kreditkartendaten hinterlegt sind. Gerät Ihr LinkedIn-Passwort in die Hände von Hackern, probieren sie dieses Passwort sofort auch bei anderen Portalen aus. Die Wiederverwendung von Passwörtern ist eine große Gefahr, aber menschlich. Wer kann sich schon zig Passwörter merken? Abhilfe schaffen Programme, die automatisch neue, zufällige Passwörter erstellen und diese dann mit einem Mausklick in Web-Formulare eintragen.
4. Gezielte Phishing-Attacken, bei denen die Nutzer per E-Mail aufgefordert werden, sein Passwort in einer vermeintlich echten Portal-Webseite einzugeben, die aber von den Hackern täuschend echt nachgebaut wurde. Schadsoftware (wie Keylogger) oder Schadseiten können auch durch ein Besuch von unsicheren Webseiten aktiviert werden.
5. Passwort-Wiederherstellung: Wie der Wired-Reporter Mat Honan am eigenen Leib erfahren musste, können Hacker in wenigen Stunden das komplette digitale Leben eines Menschen übernehmen, fernsteuern und zerstören. 2 Dinge müssen hierfür zusammenkommen: Passwortdiebstahl (mittels einem der obigen Tools) und Passwortwiederherstellung. Hat man das Passwort für das Emailkonto ergattert, auf das Sie sich ein Passwort zuschicken lassen, wenn Sie es vergessen haben, kann der Hacker diesen Passwort-Reset bei allen Diensten anfordern, für die Sie sich angemeldet haben. Er braucht dann nicht umständlich deren (unterschiedliche) Passwörter zu erraten, sondern kann sich einfach ein neues zuschicken lassen. Wenn Sie dann noch Ihre Daten in die Cloud hochgeladen haben, sind diese dem Hacker genauso zugänglich. Sämtliche Dokumente auf Mat Honan’s Macbook wurden gelöscht, weil die Hacker sie auch in der Cloud gelöscht hatten: Ein Sync – und alles war weg!
Auch wenn Sie noch keinen Diebstahl Ihrer Passwörter oder Kreditkarten bemerkt haben: Dies muss nicht sofort erfolgen. Bekannterweise gibt es zwei kriminelle Gruppen im Internet. Die einen klauen die Daten und bieten sie auf geheimen Marktplätzen an, die anderen kaufen dort die Daten nach Bedarf. Und da können schon mal zwischen Diebstahl und Benutzung einige Monate liegen. Dumm nur für die Hacker, wenn Sie zwischendurch Ihr Passwort geändert haben…
Empfehlungen:
1. Ein Tool benutzen, dass zufällige, alphanumerische Passwörter (mit Sonderzeichen und Groß/Kleinschreibung) generiert, die für jeden Dienst unterschiedlich sind, und in Passwortmasken einträgt. Dies kann man z.B. mit 1Password (kostenpflichtig) oder KeePass (open source).
2. Alternativ ist es meist schon eine deutliche Verbesserung der Sicherheit, wenn man sich zufällige Passwörter generieren läßt (z.B. mit http://www.passwort-generator.com/) und per Hand in Webformulare einträgt. Meist kann sich der Web-Browser dann diese Passwörter mewrken und automatisch eintragen (Master-Passwort nicht vergessen!).
3. Die aktuelle c’t rät von dem beliebten Trick des Merksatz-Passwortes ab (M1Pinlzk = „Mein Passwort ist nicht leicht zu knacken“) und setzt auf ein 8-stelliges Master-Passwort, das mit drei Stellen des jeweiligen Dienstes ergänzt und so gut gemerkt werden kann. (Master = „:xT9/qwB“, Dienst eBay = „ea3„, Gesamt-Passwort = „:3xT9/qewBa„)
4. Recovery-Emailkonto doppelt und dreifach absichern, oder eine Emailadresse nur dafür benutzen und für nichts anderes sonst.
5. Sich alles aufschreiben (aber nicht abspeichern!).
6. Dokumente nicht nur in der Cloud sichern, sondern täglich/stündlich (mit Time Machine/Apple oder File History/Windows) auf einer externen Festplatte.
Foto: (c) totumweb at flickr