Archiv der Kategorie: Sicherheit

Verbesserte Ausleihkonditionen und erhöhte Sicherheit von Kennwörtern

ulb-logoDie ULB meldet heute:

„Ab Donnerstag, 29.9.2016, können Sie entliehene Medien bis zu fünfmal (statt bisher höchstens dreimal) verlängern und damit maximal für etwa ein halbes Jahr entleihen. Mit dieser Neuregelung kommt die ULB dem vielfach geäußerten Wunsch nach, Medien für die komplette Dauer einer größeren schriftlichen Arbeit (wie etwa Bachelor- oder Masterarbeit) entleihen zu können.“

„Zum gleichen Termin werden wir zur Verbesserung der Sicherheit die Anforderungen an das Konto-Kennwort erhöhen. Ab diesem Zeitpunkt muss Ihr Kennwort mindestens sechs Zeichen lang sein und dabei mindestens einen Kleinbuchstaben, einen Großbuchstaben und eine Ziffer enthalten. Sollte Ihr bisheriges Kennwort dieser Anforderung nicht entsprechen, werden Sie beim Einloggen in Ihr ULB-Konto zur Änderung des Kennworts aufgefordert.“

Zur kompletten ULB-Nachricht.

Ein Klick – schon ist man infiziert: Was kann man gegen Erpressungs-Trojaner tun?

heise-ransom1
Screenshot des besprochenen c’t-Artikels

Teuflisch gut gemachte Spam-Mails, kompromittierte Webseiten: Ein Klick, ein unbedachtes Öffnen oder Vorbeisurfen – schon ist man infiziert. Nicht nur Privatpersonen, auch Kliniken sind betroffen bzw. werden gezielt angegriffen.

Statt sich in Sicherheit zu wiegen (denn Klicken und Surfen tut jeder) sollte man vorbeugen. Das aktuelle Heft der c’t sagt gegen 1,49 Euro wie. Im Grunde sind es recht einfache Tipps:

  • Backups ausserhalb der Reichweite des Trojaners
  • – auf eine externe USB-Festplatte, die nur für das Backup angeschlossen wird
  • – Backup auf CD, DVD
  • – Backup in der Cloud (z.B. DropBox, Sciebo)
  • – Backups auf Netzwerkfreigaben sind kritisch (ausser bei FTP-gemounteten)
  • alle Ordner, auf die man per Windows Explorer zugreifen kann, kann auch der Trojaner erreichen
  • keine Attachments unbekannten Hersprungs öffnen, lieber beim Absender nochmal nachfragen
  • Office Makros mit Benachrichtigung deaktivieren (Datei/Optionen/Sicherheitscenter/Einstellungen, s.u.)
  • Alle Programme auf dem aktuellen Stand halten, Updates immer einspielen, insb. zum Browser, zu Adobe Reader, Flash und Java.
  • Es gibt wohl funktionsfähige Anti-Ransomware im beta-Stadium, z.B. von Malwarebytes, die das Ausführen von Erpressungs-Trojanern verhindert.

heise-ransom2
Office Makros mit Benachrichtigung deaktivieren

Sciebo – die Campuscloud

sciebo

Die WWU hat als federführender Projektpartner gemeinsam mit 22 weiteren nordrhein-westfälische Universitäten und Fachhochschulen am 2. Februar den Cloud-Dienst „sciebo“ in Betrieb genommen. Das Gesamtspeichervolumen beträgt 5 Petabyte – das entspricht etwa einer Million DVD-Filme. Schon nach wenigen Stunden hatten sich die ersten 1.000 Nutzer registriert.

Auf den Weg gebracht worden ist das Projekt, das das Land NRW mit rund 2,8 Millionen Euro fördert, 2012 durch eine Petition von Münsteraner Studierenden, die sich einen Sync- und Share-Dienst à la Dropbox an der Uni wünschten.

Als nichtkommerzieller Dienst steht „sciebo“ sowohl Studierenden als auch Mitarbeiterinnen und Mitarbeitern zur Verfügung. „sciebo“ bietet jedem Nutzer 30 Gigabyte kostenlosen Speicherplatz und ermöglicht die Synchronisation von Daten mit verschiedenen Endgeräten, beispielsweise PC und Smartphone. Außerdem erlaubt er die gemeinsame Arbeit verschiedener Nutzer an denselben Dokumenten, also die die Freigabe von Dateien und Ordnern für andere „sciebo“-Nutzer, für Nicht-WWU-Angehörige und für Projektgruppen. „sciebo“ vereinfacht so den Austausch von Informationen und das gemeinsame Arbeiten.

Die Daten werden an drei Standorten in NRW – Münster, Bonn und Duisburg-Essen – verarbeitet und vertraulich behandelt. Durch das strenge deutsche Datenschutzgesetz sind die Daten besonders gut geschützt.

Weitere Informationen – zur Installation und zu kompatiblen Apps finden Sie in unserem Wssenswiki.

Aufgepasst! Sham journals scam authors

Decan Butler wies kürzlich in Nature unter dem Titel Sham journals scam authors auf ein neues Betrugsmodell bei Open Access hin. Was war passiert?

Vermutlich iranische oder armenische Betrüger hatten Webseiten renommierter Wissenschaftszeitschriften gefakt, darunter Archives des Sciences (echte Webseite | Fake), Wulfenia (echte Webseite | Fake) und Bradleya. Die Schwindler kopierten dabei die Webseiten entweder bis ins Detail oder setzen eine neue, professionell ausschauende auf. Laut Nature waren die gefakten Seiten so gut gemacht, dass sie selbst Thomson Reuters hinters Licht führten, das die falschen Seiten daraufhin in seine Verzeichnisse für Zeitschriften und Impact Faktoren aufnahm.

Die Täuschung ging soweit, dass das Editorial Board um hochrangige Wissenschaftler ergänzt und aufgebläht wurde – eine Praxis, die auch von Bentham und anderen Verlagen bekannt ist.

Die Betrugsmache war Open Access, d.h. der Gewinn wurde über die Article Publication Charges erzielt: Die Fake-Journale verlangen mehr als 500 US-Dollar pro eingereichtem Manuskript. Der Betrag soll auf zwei Banken im armenischen Eriwan überwiesen werden.

Hochschulnetz: Abschaltung von 802.11b und WPA

Nach der PAP-Abschaltung hat das ZIV für den 15. März die nächsten beiden Umstellungen im Uni-WLAN angesetzt, die unmittelbare Auswirkungen auf Ihren Zugang zum Hochschulnetz haben werden:

1. Abschaltung von IEEE 802.11b
Der WLAN-Standard IEEE 802.11b wird abgeschaltet. Betroffen von dieser Abschaltung sind die WLAN-Zugangspunkte (Funkzellen) uni-ms, wwu, eduroam und das Konferenznetz VPN/WEB. WLAN-Geräte, die nur diesen Standard unterstützen, werden nach der Abschaltung den WLAN-Service nicht mehr nutzen können. Folgende WLAN-Standards werden nach dieser Abschaltung weiterhin unverändert unterstützt: IEEE 802.11a, g, n.

2. Abschaltung der WPA-Verschlüsselung
Die schwache WPA-(TKIP-)Verschlüsselung wird nicht mehr angeboten, stattdessen wird die Nachfolgetechnologie WPA2 (AES-Verschlüsselung) unterstützt. Evtl. muß lediglich die Konfiguration geändert oder aber ein Treiberupdate zur Unterstützung von WPA2 durchgeführt werden. Betroffen von dieser Abschaltung sind die Zugangspunkte uni-ms, wwu, eduroam.

Letzterer Punkt ist auch für Ihre Router zu Hause wichtig! Diese sollten ebenfalls auf WPA2 umgestellt werden, falls die Hardware das erlaubt. Dies nicht etwa wegen der Hochschulnetzumstellung, sondern aus Sicherheitsgründen. Bedenken Sie dabei bitte, daß Router bestimmter Hersteller trotz WPA2-Verschlüsselung geknackt werden können. Wikipedia empfiehlt daher den Wireless-Router zuhause mit einem ausreichend sicherem Passwort zu schützen.

Data Hub

_ Ist ein Fingerabdruck sicherer als ein Passwort? (Florian Rötzer)
http://www.heise.de/tp/artikel/45/45701/ Ein Passwort kann man
beliebig verändern, ein Fingerabdruck bleibt, selbst wenn
kompromittiert, ein Leben lang derselbe

Ein Smartphone kennt dank des eingebauten GPS-Empfängers sowie der WLAN-Zellen und Mobilfunk-Masten, in denen es gerade eingebucht ist, den genauen Aufenthaltsort seines Besitzers sehr genau. Auf genau diese Positionsdaten haben es viele Anbieter abgesehen.

Werbung nach Maß
Ganz gezielte Werbung, die auf den Standort zugeschnitten ist („Die
Pizzeria um die Ecke hat gerade ein interessantes Angebot“), sind da
nur die harmlosen Konsequenzen. Tatsächlich geht es den
Facebook-Machern darum, die Spuren ihrer Nutzer noch besser verfolgen
zu können. Die Profile lassen sich mit den Positionsdaten um
Gewohnheiten ergänzen. Im Klartext: Facebook versucht aus den
Positionsdaten herauszulesen, wer sich wann mit was beschäftigt.
Informationen wie „Johanna ist in den vergangenen vier Wochen jeden
Freitag in der Bochumer Innenstadt unterwegs und hat von etwa 15 bis
17 Uhr im ‚Café Sonnenschein’ gesessen“ gehören dazu.

Ganz umstritten ist die neue Facebook-App, die angeblich selbst dann noch Positionsdaten sammeln und an Facebook schicken soll, wenn sie gar nicht aktiv ist.

Einige wenige Möglichkeiten hat man, der Datensammelwut durch
Datenkraken wie Facebook zu begegnen. Grundsätzlich sollte man immer
genau überlegen, welche Daten man zur Nutzung durch welche App
freigibt. In iOS ist das etwa in den Einstellungen unter „Datenschutz“ möglich. Bei Android und Blackberry muss man schon während der Installation entscheiden, welche Daten man der gerade installierenden App freigibt. Im Zweifelsfall: App löschen, noch einmal installieren und dabei genau prüfen, welche Daten die App nutzen will. Wichtig auch: Die Standortdaten-Ermittlung (oft auch als „Ortungsdienste“ bezeichnet) sollte ausgeschaltet sein. Man kann sie dann im Bedarfsfall manuell einschalten. Auch das wird in den „Einstellungen“ eines Smartphones erledigt.

Service Computer
Universität Siegen präsentiert Anti-Schnüffel-App: Wie sich
spionierende Apps aussortieren lassen Vorsicht, wenn Sie sich
angeblich harmlose Anwendungen aufs Handy laden! Viele Apps kommen als
lustige Spielchen daher, als Taschenrechner oder Taschenlampe. Und in
Wirklichkeit senden sie dann persönliche Daten vom Handy des
ahnungslosen Nutzers an einen fremden Server. Oder sie steuern
unbemerkt im Hintergrund kostenpflichtige Dienste an. An der Uni
Siegen ist nun eine kostenlose „Anti-Schnüffel-App“ entwickelt worden.
Sie soll Apps filtern und dem Nutzer nur diejenigen anbieten, die
nichts Unerwünschtes tun. Stefan Michel hat sie ausprobiert.

————————————————————

Verizon Wireless, die größte Mobilfunkfirma in den USA, gründete kürzlich eine neue Abteilung namens Precision Market Insights, und Telefonica, die Mutterfirma von O2, legte mit Telefonica Dynamic Insights nach. Diese Dienste sollen helfen, die enorme Menge an privaten Daten zu vermarkten, die Telefon-Unternehmen über unser Verhalten sammeln (siehe Smithsonian Magazine).

Sind anonyme Daten wirklich anonym?

Eine Studie in Scientific Reports hat festgestellt, dass anonymisierte Daten de-anonymisiert werden können. Unter Verwendung von Mobiltelefon-Daten von 1,5 Millionen Menschen und einem ähnlichen Datensatz aus Foursquare konnten etwa 95 Prozent der Nutzer identifiziert werden. Ursache: So wie jeder über eine einzigartige Fingerabdrücke verfügt, so bewegt sich jeder täglich auf einzgartige Weise. Dabei reichten lediglich vier Datenpunkte aus, um jemanden sicher zu identifizieren.

Die Forscher stellten zusammenfassend fest:

There is much good that can come from mining cell phone data, for businesses, for city planners, for scientists, for doctors. But it’s important to recognize that today’s technology makes true privacy very hard to keep.

Für die Nichtparanoiden unter uns: this TED talk by Malte Spitz.

Sensible Informationen sind hauptsächliche in Bewegungsdaten versteckt. Diese werden u.a. beim Telefonieren oder Simsen erfasst, beim Fotografieren (Geotaggen) aber auch von einer Vielzahl von Apps, bei denen man es nicht erwartet hätte, wie z.B. Angry Birds.

———————————————————————-

Direktmarketing ohne Wissen des Surfers

Ein Besucher, der auf einer Website vorbeischaute und dort keine persönlichen Daten hinterliess, erhielt trotzdem wenig später eine Werbe-E-Mail. Wie geht das?

hes. Sumit Suman besuchte unlängst die Internetseite des Webmarketing-Dienstleisters uberVu.com. Dort trug er keine persönlichen Daten ein und verknüpfte sich auch nicht via Social Media mit dem Unternehmen. Trotzdem erhielt er am nächsten Tag eine E-Mail mit Werbeangeboten der US-Firma. Suman verfasste daraufhin einen Beitrag auf Google+, den Elisabeth Michaud, Community Managerin bei uberVU, beantwortete: Sie entschuldigte sich und kündigte an, dass Suman keine Nachrichten mehr erhalten soll. Im Übrigen nutze man Technologie des Unternehmens LeadLander, um sich mit Firmen zu vernetzen, deren Angestellte uberVu.com besuchen. Man werde in Zukunft aber auf die Dienste von LeadLander verzichten. Auch Unternehmen wie Relead, VisiStat und FullContact bieten nach eigenen Angaben die Identifikation von Seitenbesuchern mittels Social Networks und Geodaten an.

Wie genau Sumit Suman identifiziert werden konnte, ist offen. Seit Jahren ist bekannt, dass sich dazu der Fingerabdruck eines Browsers auswerten lässt. Darren Nix, Gründer von Leaky.com und 42 Floors, schrieb dazu nun in einem Blogeintrag, er habe ein Angebot eines Dienstleisters bekommen, der E-Mail-Adressen von Website-Besuchern anbietet. Voraussetzung dafür sei, dass sie zuvor auf einer anderen Seite ein Formular mit ihren Daten ausgefüllt hätten.

http://www.nzz.ch/aktuell/digital/ubervu-sumit-suman-1.17886098

Elektronische Buchhandlungen sammeln Daten über Leser titlelte die Münsterische Zeitung vor kurzem. Was war geschehen?

E-Book-Reader speichern ganze Bibliotheken auf engstem Raum. Gleichzeitig sammeln die Betreiber von Online-Buchläden aber auch Daten über ihre Besucher – oder räumen sich zumindest entsprechende Rechte ein. «Da wird die gesamte Nutzung protokolliert», sagt Christian Gollner von der Verbraucherzentrale Rheinland-Pfalz. Welche Daten das genau sind, verrät ein Blick in die Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzbestimmungen der Händler.

Viele Anbieter speichern demnach zum Beispiel nicht nur Titel und Verfasser gekaufter Bücher, sondern auch das dafür genutzte Gerät, Markierungen und Lesezeichen. Entsprechende Klauseln finden sich bei einem Großteil der Händler. Zumindest in den USA erlauben sich außerdem fast alle Plattformen, Suchanfragen und Einkäufe der Nutzer zu speichern, zeigt eine Übersicht der Datenschutzorganisation Electronic Frontier Foundation (EFF). Ob dabei auch das Leseverhalten analysiert wird, ist in vielen Fällen unklar.

Noch mehr Gelegenheit zur Datensammelei gibt es, wenn ein Online-Buchhändler mehr als nur Bücher anbietet: Amazon hat zum Beispiel den neuen «Send it to Kindle»-Button für Webseiten vorgestellt. Wird dieser auf einer Seite angezeigt, können Nutzer sich Artikel und andere Texte auf ihren Kindle schicken lassen, müssen sich dafür aber bei Amazon einloggen.

Aus den gesammelten Daten können die Buchhändler Profile erstellen. Zunächst geht es dabei meistens um personalisierte Werbung, sagt Christian Gollner. «Im Grunde versuchen die Firmen, sich wie ein Buchhändler vor Ort zu verhalten. Der kennt ja auch irgendwann Ihre Vorlieben», erklärt der Verbraucherschützer. Allerdings geben Verbraucher dabei ungewollt recht viel über sich preis: «Im Grunde entstehen da detaillierte Verhaltensprofile.» So könnten die Anbieter zum Beispiel protokollieren, zu welcher Zeit ihr Kunde besonders gerne liest und welche Stellen er öfter gelesen hat.

Wer nicht so viel über sich verraten will, sollte vor dem Kauf das Kleingedruckte eines Anbieters gründlich studieren. Wichtig ist dabei unter anderem, ob der Händler die Daten weitergeben darf. Denn dann kommt die personalisierte Werbung vielleicht nicht mehr nur vom Händler selbst, Leser von Reiseführern werden also zum Beispiel mit Werbung für günstige Urlaubstouren überhäuft. Manche Anbieter geben ihren Nutzern zumindest die Möglichkeit, dem Datenhandel zu widersprechen. «Da würde ich dann auf jeden Fall Gebrauch von machen», sagt Gollner.

Oft können Kunden im E-Book-Reader oder einer App auch selbst auswählen, welche Daten gespeichert werden sollen und zum Beispiel Markierungen oder Lesezeichen abschalten. Und wer wissen will, was ein Anbieter alles über ihn weiß, kann dort um Auskunft bitten – die Kontaktdaten verrät das Impressum auf der Webseite. E-Books ganz ohne Datensammelei gibt es im Netz ebenfalls, wenn auch nur vereinzelt. Unter orgenlibrary.org können Nutzer zum Beispiel Klassiker ohne Kopierschutz kostenlos herunterladen – in der Regel allerdings nur auf Englisch.

H.A.T. Hub of All Things. HAT-Browser. Internet of Things.

Passwort vergessen: Welche Farbe hatte Ihr erstes Auto?

Passwörter sind immer ein Thema: Entweder hat man seins gerade vergessen oder es ist gehackt worden. Für’s erstere bietet das ZIV jetzt eine elegante Lösung an:

Wer sein ZIV-Passwort vergessen hat muß sich entweder persönlich am ZIV-Service-Schalter ausweisen oder einen Brief mit einer Kopie seines Personalausweises ans ZIV schicken (ganz Ausgebuffte können dies auch per E-Mail mit elektronischer Unterschrift erledigen).* Wem das alles zu aufwendig oder zu langatmig ist, sollte das neue Angebot des ZIV zur Passwortzurücksetzung per SMS nutzen, die fast euphorisch beworben wird:

Jetzt gibt es eine wesentlich komfortablere Methode, die den Gang zum Serviceschalter erspart und trotzdem sehr zeitnah funktioniert: das ZIV-mTAN-Verfahren. Zur Identifizierung des Nutzers wird lediglich ein Mobiltelefon benötigt. Die Gründe liegen auf der Hand: das Verfahren ist sehr sicher und gleichzeitig sehr nutzerfreundlich.

Wie nutze ich das mTAN-Verfahren?

Im Nutzerportal MeinZIV läßt sich im Menüpunkt „Passwörter und PINs / Vorsorge gegen Verlust“ eine Mobilfunknummer hinterlegen. Diese Rufnummer wird durch die Eingabe eines mehrstelligen Codes verifiziert, die dem Nutzer per SMS zugeschickt wird. Außerdem wird für das mTAN-Verfahren ein individuell festlegbares Frage-Antwort-Paar benötigt, deren Antwort möglichst nur dem Nutzer selbst bekannt ist, wie z.B. „Welches Farbe hatte Ihr erstes Auto?“. Falls das Passwort dann vergessen wird, kann auf der Seite Passwort vergessen ein Code angefordert werden, der 15 Minuten gültig ist. Dieser Code ermöglicht gemeinsam mit der korrekten Antwort auf die geheime Sicherheitsfrage das Ändern des vergessenen Passwortes. Das Verfahren ist kostenlos.

„Welches Farbe hatte Ihr erstes Auto?“

Obige – beliebte – Frage ist beim ZIV leider nur dann eine sinnvolle Sache, wenn die Farbe Ihres ersten Autos mindestens 8 Zeichen lang ist, denn kürzere Eingaben akzeptiert das ZIV nicht… „gelb“ geht also nicht, wohl aber „gelborange“… Aber – wie im aktuellen c’t zu lesen ist – sollte man sowieso bei diesen (und weiteren) persönlichen Angaben eher was falsches angeben. Grund: Die Hacker besorgen sich die „echte“ Farbe bei plauderfreudigen Nutzern über deren Facebook-Timeline.

* Eine Passworthilfe auf anderen Wegen (z. B. per Telefon, per Fax oder per unsignierter oder unzureichend signierter E-Mail) bearbeitet das ZIV aus Sicherheitsgründen nicht!

Foto: CCbySA singlefin, flickr.com

Vermutlich sind Ihre Passwörter längst bekannt

Meine Passwortstrategie, wenn ich denn überhaupt je eine gehabt habe, könnte ernsthaft veraltet sein, nein: Sie ist mit Sicherheit veraltet, wie ich jetzt in der Macworld lesen musste: What you don’t know about passwords might hurt you. Als notorischer Password-Wiederverwender hat mich das dort aufgezeigte Passwortklau-Szenario doch ziemlich aufgeschreckt. Sie sollten auf jeden Fall den obigen Artikel lesen, aber wenn Sie keine Zeit dafür haben, finden Sie hier meine

Zusammenfassung:

Man unterscheidet grob zwischen fünf Arten des Passwortdiebstahls:

1. Kurze, unsichere Passwörter, die mit Hilfe einer Brute-Force-Attacke erkannt werden, also durch reines Ausprobieren. Dank steigender Rechenkapazitäten können kurze Passwörter, selbst wenn sie nicht in einem Lexikon stehen (dictionary attack), innerhalb weniger Minuten geknackt werden. Einen ausreichenden Schutz gegen die Brute-Force-Methode gewähren nur lange (>7 Zeichen), zufällige, alphanumerische Passwörter mit Großkleinschreibung und Sonderzeichen. (Onlinedienste gehen zwar zunehmend dazu über, das Konto zu sperren oder auf Sicherheitsfragen zu verweisen, wenn man mehrmals das Passwort falsch eingibt, verhindern aber nicht den großen Passwortklau mit anschliessendem Offline-Knacken.)

2. Keylogger. Ausspähen von Passwörter in nicht gesicherten WLAN-Netzen (z.B. am Flughafen) oder mit Keyloggern (schreiben Tastaturanschläge mit) in einem Internet-Café am Urlaubsort oder simplem Über-die-Schulter-gucken.

3. Die Nutzung von ähnlichen Passwörtern bei verschiedenen Diensten. In den vergangenen Monaten wurden mehrere Angriffe auf große Onlinedienstleister bekannt, bei denen Nutzerpasswörter ausgespäht wurden. So wurden im Juni 2012 mehr als sechs Millionen Passwörter bei LinkedIn gestohlen und einen Monat später mehr als 450.000 Yahoo-Passwörter. Auch Googlemail-Nutzer sollen Opfer einer Phishingattacke geworden sein. Da Passwortdiebstahl weltweit drastisch ansteigt, kann man kann nie ganz sicher sein, ob der eigene Provider betroffen ist und ob bereits ein eigenes Passwort abgefischt wurde. Ganz schlimm, wenn man dieses Passwort auch für das Amazon- oder iTunes-Konto verwendet, wo die Kreditkartendaten hinterlegt sind. Gerät Ihr LinkedIn-Passwort in die Hände von Hackern, probieren sie dieses Passwort sofort auch bei anderen Portalen aus. Die Wiederverwendung von Passwörtern ist eine große Gefahr, aber menschlich. Wer kann sich schon zig Passwörter merken? Abhilfe schaffen Programme, die automatisch neue, zufällige Passwörter erstellen und diese dann mit einem Mausklick in Web-Formulare eintragen.

4. Gezielte Phishing-Attacken, bei denen die Nutzer per E-Mail aufgefordert werden, sein Passwort in einer vermeintlich echten Portal-Webseite einzugeben, die aber von den Hackern täuschend echt nachgebaut wurde. Schadsoftware (wie Keylogger) oder Schadseiten können auch durch ein Besuch von unsicheren Webseiten aktiviert werden.

5. Passwort-Wiederherstellung: Wie der Wired-Reporter Mat Honan am eigenen Leib erfahren musste, können Hacker in wenigen Stunden das komplette digitale Leben eines Menschen übernehmen, fernsteuern und zerstören. 2 Dinge müssen hierfür zusammenkommen: Passwortdiebstahl (mittels einem der obigen Tools) und Passwortwiederherstellung. Hat man das Passwort für das Emailkonto ergattert, auf das Sie sich ein Passwort zuschicken lassen, wenn Sie es vergessen haben, kann der Hacker diesen Passwort-Reset bei allen Diensten anfordern, für die Sie sich angemeldet haben. Er braucht dann nicht umständlich deren (unterschiedliche) Passwörter zu erraten, sondern kann sich einfach ein neues zuschicken lassen. Wenn Sie dann noch Ihre Daten in die Cloud hochgeladen haben, sind diese dem Hacker genauso zugänglich. Sämtliche Dokumente auf Mat Honan’s Macbook wurden gelöscht, weil die Hacker sie auch in der Cloud gelöscht hatten: Ein Sync – und alles war weg!

Auch wenn Sie noch keinen Diebstahl Ihrer Passwörter oder Kreditkarten bemerkt haben: Dies muss nicht sofort erfolgen. Bekannterweise gibt es zwei kriminelle Gruppen im Internet. Die einen klauen die Daten und bieten sie auf geheimen Marktplätzen an, die anderen kaufen dort die Daten nach Bedarf. Und da können schon mal zwischen Diebstahl und Benutzung einige Monate liegen. Dumm nur für die Hacker, wenn Sie zwischendurch Ihr Passwort geändert haben…

Empfehlungen:
1. Ein Tool benutzen, dass zufällige, alphanumerische Passwörter (mit Sonderzeichen und Groß/Kleinschreibung) generiert, die für jeden Dienst unterschiedlich sind, und in Passwortmasken einträgt. Dies kann man z.B. mit 1Password (kostenpflichtig) oder KeePass (open source).

2. Alternativ ist es meist schon eine deutliche Verbesserung der Sicherheit, wenn man sich zufällige Passwörter generieren läßt (z.B. mit http://www.passwort-generator.com/) und per Hand in Webformulare einträgt. Meist kann sich der Web-Browser dann diese Passwörter mewrken und automatisch eintragen (Master-Passwort nicht vergessen!).

3. Die aktuelle c’t rät von dem beliebten Trick des Merksatz-Passwortes ab (M1Pinlzk = „Mein Passwort ist nicht leicht zu knacken“) und setzt auf ein 8-stelliges Master-Passwort, das mit drei Stellen des jeweiligen Dienstes ergänzt und so gut gemerkt werden kann. (Master = „:xT9/qwB“, Dienst eBay = „ea3„, Gesamt-Passwort = „:3xT9/qewBa„)

4. Recovery-Emailkonto doppelt und dreifach absichern, oder eine Emailadresse nur dafür benutzen und für nichts anderes sonst.

5. Sich alles aufschreiben (aber nicht abspeichern!).

6. Dokumente nicht nur in der Cloud sichern, sondern täglich/stündlich (mit Time Machine/Apple oder File History/Windows) auf einer externen Festplatte.

Foto: (c) totumweb at flickr