Menü
Ein Beitrag von Adacor

Was Sie gegen Passwortklau im Internet tun können

Immer wieder gelangen Cyberkriminelle an Benutzernamen und Passwörter indem sie komplette Benutzerdatenbanken knacken. Welche Gefahren sind hiermit eigentlich für User genau verbunden und welche Wege gibt es, dem vorzubeugen?

Identitätsdiebstahl? Was tun bevor der Hacker zugreift?Welcher Umgang mit Passwörtern ist empfehlenswert und mit welchen Methoden können Sie Ihre Identität im Web vor Übergriffen schützen?

Die Nachricht über eine gehackte Datenbank scheint viele Benutzer erstaunlicherweise nicht weiter zu beunruhigen. Vor allem dann nicht, wenn der Betreiber in der Zwischenzeit reagiert hat und die Passwörter der User zurückgesetzt hat. Viele User vertrauen einfach darauf, dass der Betreiber alle nötigen Vorkehrungen getroffen hat. Sie gehen davon aus, dass dem einzelnen Benutzer kein Schaden entsteht und der verantwortungsvolle Betreiber die Passwörter ja ohnehin nicht im Klartext abgelegt hat, sondern als Hash. Was soll da schon passieren? Wir zeigen Wege aus diesem Dilemma.

Password Hashing – Was ist das?

Bei umsichtig programmierten Online-Shops und Webdiensten, die eine Benutzerauthentifizierung benötigen, werden die Passwörter nicht im Klartext in der Datenbank des Servers abgelegt, sondern gehasht. Hierbei wird das Passwort einem Algorithmus unterzogen, der aus dem eingegebenen Passwort einen kryptischen Code erzeugt. Sehr verbreitet ist immer noch Message-Digest Algorithm 5, kurz md5, auch wenn dieser als nicht besonders sicher eingestuft wird. Dieser Algorithmus erstellt aus einem Passwort eine 32-stellige Hexadezimalzahl.

Das Besondere beim Hashing ist, dass die Algorithmen „Einbahnstraßen“ sind. Es gibt bis heute offiziell noch keine Möglichkeit, die Zahlenwerte wieder in das ursprüngliche Passwort zurückzuübersetzen. Auch der Betreiber der Seite kann dies nicht. Vielmehr wird bei jedem Login-Versuch das eingegebene Passwort erneut gehasht und anschließend mit dem in der Datenbank abgelegten Hash verglichen. Stimmen beide Werte exakt überein, gilt der Benutzer als authentifiziert. Mittlerweile gibt es eine Vielzahl derartiger Algorithmen, doch häufig werden veraltete Methoden (wie md5, sha usw.) verwendet. Das liegt daran, dass eine ursprünglich getroffene Entscheidung durch einen Shopbetreiber später nur aufwendig wieder geändert werden kann. Unzählige Kundenpasswörter wurden über die Jahre bereits nach dem gewählten Verfahren verschlüsselt und können nicht einfach umgerechnet werden. Außerdem bieten auch die veralteten Verfahren noch gewissen Schutz, solange einem Angreifer nicht beliebig viel Zeit und Versuche zur Verfügung stehen, um den Hash zu knacken. Aber nicht nur wegen möglicher Angriffe von außen sollten Betreiber Passwörter niemals im Klartext in der Passwortdatenbank ablegen, auch intern könnten sich eigene Programmierer Zugriff auf die Daten verschaffen und diese missbrauchen.

Image

Sie wollen eine sichere Cloud?

Dann haben Sie diese mit CloudEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können.
Es gibt keine lange Einarbeitungszeit – diese Cloud funktioniert einfach.
Jetzt direkt informieren

Ist ein gehashtes Passwort sicher? – Jein

Selbst wenn die Passwörter in der Datenbank als Hash abgelegt wurden, sollten User sich nicht zu sehr in Sicherheit wähnen. Das Problem? Auch wenn die Passwörter als Hash gespeichert wurden, hat der Hacker nun die Daten bei sich gespeichert und beliebig lange Zeit, die Passwörter zu knacken. Zwar ist es nach heutigem Stand der Technik noch nicht möglich, einen Hash automatisiert zurück in ein Passwort zu verwandeln, es ist aber denkbar, dass ein ambitionierter Hacker beispielsweise mithilfe diverser Programme versucht, den Hash in mehreren Teilen zu entschlüsseln. Z. B. indem er die entsprechenden Programme verschiedene Buchstaben-, Zahlen- und Sonderzeichenkombinationen durchprobieren lässt. Ähnlich einem Einbrecher, der sich mit einem ganzen Bündel von Dietrichen an einem Schloss zu schaffen macht, und darauf setzt, dass eines der Werkzeuge schon passen wird. Aber warum ist das nun noch gefährlich, wenn der Betreiber die Passwörter zwischenzeitlich doch zurückgesetzt hat und diese Passwörter gar nicht mehr gültig sind?

Hacker im VisierDie Krux ist, dass die meisten Menschen Schwierigkeiten damit haben, sich viele verschiedene komplexe Passwörter parallel zu merken. Das ist auch der Grund, weshalb viele Internetnutzer lediglich eine kleine Anzahl verschiedener Passwörter bei diversen Internetdiensten und Portalen benutzen. Dadurch hat ein Hacker potenziell die Möglichkeit, einen größeren Schaden anzurichten oder kann im Extremfall sogar die komplette Identität eines Users kapern.  Zwar kann sich der Kriminelle vielleicht nicht mehr bei dem einen Anbieter anmelden, dem er die Passwörter entwendet hat (sofern dieser schnell genug reagierte und die Passwörter zurücksetzen ließ), aber die erbeuteten Benutzernamen- und Passwortkombinationen ermöglichen vielleicht noch den Zutritt zu anderen Shops, Portalen oder Social Media Accounts.

Angenommen, ein Benutzer hat dieselbe Kombination von Benutzername und Passwort sowohl beim gehackten Anbieter als auch bei einem weit verbreiteten Onlineshop wie Amazon oder Zalando im Gebrauch, so hat der Hacker leichtes Spiel: Bei derartig bekannten Onlineshops wird er natürlich zuerst sein Glück versuchen, indem er sich dort mit den erbeuteten Daten einzuloggen versucht. Gelingt dies, gewinnt er über die dortigen Kontoeinstellungen wichtige Informationen, wie z. B. Name, Anschrift und E-Mail-Adresse des Users. Jetzt kann er möglicherweise nicht nur über eine hinterlegte Kreditkarte bequem einkaufen und die Ware z. B. an eine DHL-Packstation in seiner Nähe liefern lassen, sondern die Kenntnis der E-Mail-Adresse führt ihn auch noch direkt zum E-Mail-Konto des Opfers. Ist dieses mit dem gleich Passwort gesichert wie z. B. der Amazon-Account, kann sich der Betrüger das E-Mail-Konto nun ohne weitere Probleme aneignen. Von nun an kann er alle Mails mitlesen und auch unerwünschte Benachrichtigungen (z. B. über einen getätigten Einkauf) verschwinden lassen. Auch erfährt er über die eingehenden Mails möglicherweise, wo es sich sonst noch lohnen könnte, sich mit der ihm bekannten Kombination aus Benutzername und Passwort einzuloggen. Denkbar ist auch, dass er erst mal eine Weile im Verborgenen bleibt und die Mails als eine Art „Ghostreader“ lediglich eine Zeit lang mitliest, um dann geplant gleichzeitig mehrfach zuzuschlagen. Oder er ändert das E-Mail-Passwort, übernimmt auf diese Weise das gesamte E-Mail-Konto und eignet sich so die Identität seines Opfers an. Jetzt kann er sich bei jeder beliebigen Webseite als sein Opfer ausgeben und auch alle anderen Passwörter ändern. Denn die Bestätigungsmails für die Passwortänderungen gehen an den E-Mail-Account, aus dem der eigentliche Eigentümer mittlerweile ausgesperrt ist.

Tipps für den sicheren Umgang mit Passwörtern

Wie also kann man sich vor einem derartigen Schreckensszenario bestmöglich schützen? Die einzige Möglichkeit besteht streng genommen darin, für jeden Internetdienst ein eigenes Passwort zu verwenden. Aber was, wenn man sich eine große Anzahl guter und sicherer Passwörter nur schwerlich merken kann? Wir haben im Folgenden einige Tipps für Sie zusammengestellt, die Ihnen helfen, Ihre Identität im Netz effizient zu schützen.

Tipp 1: Man verwendet pro Dienst ein eigenes kryptisches Passwort und speichert dieses in einem Passwort-Safe (z. B. 1Password oder KeePass) auf dem Rechner, Tablet oder Smartphone ab. Unverzichtbar bei diesem Vorgehen ist, für den Fall eines Hardwaredefekts eine Sicherheitskopie der Passwortdatei anzufertigen und diese sicher aufzubewahren. Kryptische Passwörter kann man sich übrigens sehr einfach mit Passwortgeneratoren online generieren lassen. Meist erhält man dabei ganze Listen von Passwörtern, deren Komplexität man selbst frei einstellen kann. Daraus kann man dann eines oder mehrere Passwörter wählen, die man verwenden möchte. Aber Vorsicht: Niemals Passwörter im Klartext auf einem Rechner oder einem Speicherstick ablegen.

Tipp 2: Man speichert keine Passwörter mehr mithilfe der Passwort-merken-Option, sondern verwendet stattdessen konsequent ausschließlich die Passwort-vergessen-Funktion. So muss nur noch das E-Mail-Konto mit einem starken Passwort gesichert werden. Ggf. hat diese Methode allerdings den Nachteil, dass manche Anbieter einige Minuten Zeit benötigen, eine entsprechende Mail zum Zurücksetzen des Passworts zuzusenden.

Tipp 3: Laut Studien sind lange Passwörter aus mehreren Wörtern (z. B. „Mein Lieblingsbuch ist nicht immer vorrätig!“) sicherer als kryptische Passwörter (z. B. fg4hs!3TDZ) und noch dazu besser zu merken. Pro Dienst erstellt man nun einen Satz, der in Verbindung mit dem Dienst steht und dadurch leichter zu erinnern ist (obiges Beispiel gilt z. B. für Amazon). Ein Problem bei dieser Vorgehensweise kann allerdings sein, dass nicht alle Anbieter beliebig lange Passwörter zulassen oder sogar Anforderungen an das Passwort stellen (z. B. maximal zehn Stellen, ein Sonderzeichen und mindestens eine Zahl). Als kritisch zu bewerten ist dies vor allem dann, wenn Systeme zwar die Möglichkeit bieten, beliebig lange Passwörter einzugeben, diese aber nach z. B. der zehnten Stelle automatisch abgeschnitten werden. Dann besteht die Gefahr, dass man unwissentlich eine sehr einfache Zeichenfolge als Passwort gewählt hat, beispielsweise „Heimwerker“ statt „Heimwerker Online Shop meines Vertrauens“. Deshalb ist es wichtig, die Passwortanforderungen eines jeden Internetanbieters sorgfältig zu lesen und zu prüfen.

Der persönliche E-Mail-Account bedarf besonderen Schutzes

Natürlich kann man die drei vorgestellten Methoden auch miteinander kombinieren, um so von den jeweiligen Vorteilen zu profitieren. Beispielsweise wählt man ein paar richtig gute kryptische Passwörter für die Verwendung bei den wichtigsten Webdiensten aus. Bei Anbietern, die man selten aufsucht, greift man auf die Passwort-vergessen-Funktion zurück. Und auf Seiten, die es entsprechend zulassen, verwendet man lange Passwörter bestehend aus mehreren Wörten. Wichtig ist außerdem, sich zu vergegenwärtigen, dass der persönliche E-Mail-Account des besonderen Schutzes bedarf. Er bildet quasi das Herz einer jeden virtuellen Identität. Deshalb sollte das Passwort für das persönliche E-Mail-Postfach auch ausschließlich für dieses verwendet und darüber hinaus regelmäßig gewechselt werden. Schließlich laufen dort alle Informationen über Passwortänderungen, Bestätigungsmails von Onlineshops und andere persönliche Kommunikation zusammen.

, , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

IT Security

Datensicherheit beim Löschen von Daten

Sind Daten nach dem Löschen unwiederbringlich weg? Der sichere Löschvorgang läuft bei uns in vier aufeinander folgenden Schritten ab.

weiter lesen

Schutz vertraulicher Daten durch Verschlüsselung von Festplatten

Biz & Trends, IT Security

Schutz vertraulicher Daten durch Verschlüsselung von Festplatten

Diesmal beschäftigen wir uns mit der Verschlüsselung von Festplatten, wenn es darum geht, sensible Daten zu schützen.

weiter lesen

Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

IT Security

Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

Zertifizierung nach IDW PS 951 Typ B kurz und bündig erklärt.

weiter lesen


Neueste Nachrichten von Adacor

Cloud

Was macht Cloud-Dienste sexy?

Die reflexartige Antwort ist häufig mit dem Thema “Kostenersparnis“ verbunden. Doch dies sollte nicht einziges Ziel sein.

weiter lesen

IT-Compliance

IT Security

IT-Compliance mit System

Wie sich Gesetze und Regeln in der IT einhalten lassen. Ein Drei-Punkte-Programm zur Einhaltung von IT-Compliance.

weiter lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

Neue Serverkonfiguration schützt einfach und effektiv beim Phishing von Reset-Links.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.