1,2 Milliarden Passwörter geklaut – sind Sie dabei?

11. August 2014 um 08:30

Welche Schritte sollten Sie unternehmen, wenn eines Ihrer Passwörter gestohlen wurde? Wie können Sie vorsorgen und welche weiteren Maßnahmen sind zu empfehlen? Außerdem stelle ich Ihnen einige nützliche Tools vor, die das Leben erleichtern und Sie im Internet sicherer machen.

Ist Ihr eMail-Konto oder Ihre Website schon einmal gehackt worden? Dann kennen Sie die Panik, die einen überkommt, die Angst vor den Konsequenzen und möglichen Schäden, die in Ihrem Namen angerichtet werden. Und für die Sie eventuell werden gerade stehen müssen. Oder die Scham, wenn plötzlich in Ihrem Namen unsäglicher Spam verschickt wird, etwa über Twitter, und Sie befürchten, dass jemand das mit Ihnen in Verbindung bringen könnte.

Website gehackt

Bei uns ist es im Sommer 2012 passiert. Jemand hatte unsere Website gehackt und versandte unaufhörlich Spam darüber. Als wir das bemerkten, haben wir uns sofort an den Provider gewandt. Der behauptete, er sei nicht zuständig, denn das von uns genutzte System aus dem Hause 1und1 werde schon lange nicht mehr gewartet und sei deshalb nicht mehr sicher.

Sie können sich vorstellen, dass wir beinahe vom Stuhl gefallen sind, denn wenn uns jemals von 1und1 mitgeteilt worden sein sollte, dass wir auf ein neueres System hätten upgraden müssen, und wir diese Information verbummelt haben sollten – was durchaus möglich ist – so ist es auf jeden Fall nicht nachdrücklich und deutlich genug gesagt worden.

Wie dem auch sei: Die schon lange geplante und ebenso lange verschobene Umstellung auf ein interaktives Content Management System und der Umzug zu einem neuen Hoster waren in einer Minute beschlossen und in die Wege geleitet. Dann haben wir als erstes die alte Homepage auf Eis gelegt. Jetzt konnte sie keinen Spam mehr versenden – war aber auch nicht mehr zu gebrauchen, denn wir konnten nichts mehr daran ändern: Sie war jetzt eine komplett statische Seite.

Bevor das jemandem auffiel – Gottseidank war gerade Sommerloch und unsere Kunden und Besucher nicht so aktiv, und so hatten wir aus dem gleichen Grund gerade ein bisschen Zeit – haben wir zu zweit eine Woche lang nichts anderes gemacht, als im Sauseschritt die neue Homepage einzurichten und zu betexten, und eine weitere darauf verwendet, alles zu optimieren.

Puh, noch mal davongekommen. Kein größerer Schaden entstanden und der lange überfällige Provider-Wechsel hatte einen weiteren Grund und Anlass bekommen.

Was ist ein gutes Passwort?

Was lernen wir daraus? Mein Passwort war nicht übermäßig schwierig, aber auch nicht trivial. Ich habe vor einiger Zeit anlässlich des Adobe-Hacks schon einmal über Passwörter gebloggt. Darum fasse ich mich jetzt kurz:

1. Triviale Passwörter

Trivial ist ein Passwort, wenn es Buchstaben oder Zeichen in der Folge enthält, wie sie auf der QWERTZ-Tastatur stehen, oder aus einem gängigen Vor- oder Nachnamen und einem Geburtstagsdatum oder ähnlichen, leicht erratbaren Begriffen besteht. Trivial ist ein Passwort, das von einem Menschen oder Programm leicht erraten werden kann.

Beliebt sind auch Hunde- oder Kindernamen in Kombination mit einer Jahreszahl, der Name der Liebsten, verknüpft mit dem Hochzeitsdatum – schlau, dann vergisst man beide nicht 🙂 – oder die Marke meines Monitors oder Computers, die ich vor Augen habe. Letztere komplizierte Buchstaben-Zahlen-Kombination wird fälschlicherweise von Usern oft für schwer zu erraten und daher für sicher gehalten. Die Tatsache, dass sie hier beschrieben steht, sollte Sie jedoch eines Besseren belehren.

Beispiele für triviale Passwörter:

  • 1234567
  • !“§$%&/
  • asdfghj
  • admin69
  • sommer2014
  • 20August14
  • emil2602
  • Samsung2″ms3000:1

Ist Ihres ähnlich? Dann sollten Sie es ganz schnell ändern!

2. Sichere Passwörter

Sichere Passwörter sind – das wurde schon oft gesagt und muss aber immer wieder betont werden – mindestens 8 Zeichen lang, bestehen aus einer nicht-erratbaren Buchstaben-Zahlenkombination und dazu noch aus eingestreuten Sonderzeichen. (Warum das ausgerechnet 8 Zeichen sein müssen, schrub ich hier.) Also nicht 20herbst14, sondern zum Beispiel 2h0e1r4b!s;t#. (Kopieren Sie das bitte nicht, das ist ab sofort auch nicht mehr sicher 🙂 )

Ein anderes Beispiel: Man nehme die dritte Zeile seines Lieblingsliedes oder -gedichtes, kombiniere die Anfangsbuchstaben mit einigen Zahlen oder Sonderzeichen und kommt zu einem relativ schwer zu erratenden Passwort: S+H1s(i(g+ir?wg%. (Erkannt?)

Solche Passwörter sind schwer zu erraten, aber auch schwer zu merken. Damit kommen wir zur zweiten und dritten Frage. Die zweite Frage lautet: Wie kann ich mir ein solches Passwort nur merken? Und 3.: Wenn ich es gefunden habe und mir sogar merken kann, warum soll ich es dann nicht überall verwenden, es ist doch sicher!

Warum sollen Sie überall andere Passwörter verwenden?

Oder anders herum gefragt: Wie können Hacker an ein nicht-triviales, sicheres Passwort kommen? Ganz einfach: Ihr sorgfältig ausgeklügeltes Passwort fürs Online-Banking etwa ist nur auf Ihrem privaten Computer. Sicher haben Sie den mit einem Passwort geschützt, so dass keiner daran kommt, selbst wenn Sie ihn im Büro offen stehen lassen, während Sie eine Stunde in Mittagspause gehen. Oder wenn Sie Ihren Laptop ärgerlicherweise im ICE vergessen haben. – Sie haben ihn doch passwortgeschützt?

Wenn Sie aber dieses ausgeklügelte Passwort fürs Online-Banking eben aus dem Grund, dass es so sicher ist und weil Sie froh sind, sich die komplizierte Konstruktion merken zu können, nicht nur fürs Online-Banking verwenden, sondern auch zur Einwahl beim Online-Händler und Software-Lieferanten oder einem anderen Seitenanbieter, und dieser alle Passwörter seiner Kunden im Klartext speichert – dann haben Sie ein Problem. Dann kann es nämlich passieren, dass die Seite des Online-Anbieters gehackt wird und die Datendiebe Namen, Passwörter und eMail-Adresse klauen. Und dann haben die Diebe nicht nur Ihr Passwort für den Webshop – was vermutlich zu verkraften wäre – sondern gleichzeitig das Passwort für Ihr Online-Banking! Und vielleicht auch das für Ihr eMail-Konto, Ihren Amazon-Account und den Zugang zum VPN Ihrer Firma.

Rheinbrücke in Köln mit vielen "Liebesschlössern"

Diverse Schlüssel für diverse Schlösser – unbequem, aber sicher.

Ein Passwort, dass für viele Konten genutzt wird, kann noch so sicher sein: Wenn es gestohlen wird, ist es wie ein Generalschlüssel zu all Ihren Häusern, Büros, Tresoren, Briefkästen und Schließfächern. Sie können nur schleunigst alle Stationen abklappern und überall ganz schnell ein neues Passwort einstellen. Aber bitte nicht überall das gleiche!

Aus dem gleichen Grund sollten Sie Ihr Passwort regelmäßig ändern. Je häufiger es verwendet wird und je älter es ist, desto größer die Gefahr, dass an irgendeiner Stelle ein Leck entstanden ist. Gute IT-Sicherheits-Systeme fordern uns deshalb in regelmäßigen Abständen auf, unser Passwort zu ändern. (Btw: Fragen Sie mal Ihre Bank, warum Sie sich seit 25 Jahren mit dem gleichen Passwort einloggen dürfen 😉 )

Wie soll ich mir denn hunderte Passwörter merken?

Das ist eine gute Frage. Ich habe mal bei mir selbst nachgeschaut: Über 300 verschiedene Konten und Zugänge kommen da zusammen. Darunter sind eher triviale wie Presseportale oder der besagte Katzenfutter-Shop, aber eben auch Bankdaten, eMail-Accounts und persönliche Webseiten. Natürlich ist es unmöglich, sich sämtliche Passwörter zu merken, zumal ich etwa 40 eMail-Adressen habe, die in den jeweiligen Zugangsdaten stehen. Ausprobieren geht nicht, denn meist fliegt man nach drei Fehlversuchen raus. (Habe ich für Sie getestet.)

Eine Lösung ist ein Passwort-Tresor. Es gibt verschiedene (kostenpflichtige und kostenlose) Programme auf dem Markt, zum Beispiel Archicrypt. Das ist ein kleines Programm, das selbst verschlüsselt und mit einem eigenen Passwort geschützt ist. Sie erstellen für jedes Konto einen neuen Eintrag und tragen normalerweise in ein jeweils eigenes Feld den URL der Webseite ein, die eMail-Adresse, mit der Sie angemeldet sind, das sichere Passwort (das gewöhnlich nicht direkt im Klartext zu sehen ist) und in einem eigenen Feld möglicherweise die Sicherheitsfragen, die gestellt werden können. Sie können Ordner und Hierarchien bilden und es gibt eine Suche über alles.

Wenn Sie einen solchen Tresor auf Ihrem Rechner ablegen, nehmen Sie bitte für seinen Schutz ein anderes Passwort als dasjenige, das Sie zum Booten Ihres Rechners verwenden. Und legen Sie den Tresor an einem versteckten Ort ab, nicht auf dem Desktop. So haben Sie schon ein paar Hemmnisse für jeden Datendieb eingebaut und müssen sich nur zwei Passwörter merken: das für den Rechner und das für den Tresor. (Übrigens sollten sie keines von beiden auf ein Post-it schreiben und unter Ihre Tastatur kleben …)

Sie können den Tresor aber auch auf einem verschlüsselten USB-Stick ablegen. Der sollte verschlüsselt sein, denn so ein kleiner Stick geht schnell verloren und könnte geknackt werden. Verschlüsselte USB-Sticks gibt es zum Beispiel von Kanguru. (Achtung! Schleichwerbung 🙂 ) Sie werden in Deutschland vom Aachener Händler OPTIMAL System-Beratung vertrieben, einem früheren Kunden. Ein USB-Stick hat den Vorteil, dass man ihn immer und überallhin mitnehmen kann. Es wäre allerdings sträflich leichtsinnig, ihn nicht zu verschlüsseln. #nonmention

Eigentlich wollte ich jetzt noch ein paar Tricks zum Backup und zur eMail-Speicherung verraten, aber ich denke, wenn Sie bis hierher gekommen sind, haben Sie lange genug durchgehalten. Bitte schreiben Sie einen Kommentar, wenn Sie andere Programme kennen oder bessere Ideen haben, oder gerne auch, wenn Ihnen etwas gar nicht einleuchtet. Ich wünsche allzeit guten Passwort-Schutz!


TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste