Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen. Dort kann jeder Internetnutzer kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten.
2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter sind allein durch die unter dem Namen "Collection #1-#5" bekannt gewordenen Datensammlungen veröffentlicht worden. Bei den Sammlungen handelt es sich um eine neue Zusammenstellung teils bereits bekannter Leaks. All diese Daten wurden in den Identity Leak Checker inzwischen vollständig eingepflegt.
Wo kommen diese Daten her?
Die Daten stammen aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit und wurden unter dem Namen „Collection #1“ einfach zusammengetragen. Die gesammelten Daten sind von den Anbietern so strukturiert, dass sie vor allem für „Credential Stuffing“ zu gebrauchen sind. Dies ist eine spezielle Art des Hackings, bei dem der Hacker nicht das Passwort eines einzelnen Accounts knackt, sondern einen Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste füttert. Die gefundene Datensammlung kann leicht dazu benutzt werden, um massenweise Konten bei verschiedenen Webdiensten zu übernehmen. Diese Taktik ist oft sehr erfolgreich, weil Nutzer oft die gleichen Passwörter bei verschiedenen Diensten verwenden.
Passwortsicherheit
Wer sich sorgen macht, dass seine Mailadresse mit dem dazugehörigen Passwort in der Datensammlung auftauchen könnte, kann den Identity Leak Checker verwenden. Dort sind die Daten gespeichert. Der Dienst sagt dem Anwender dann, ob seine Mailadresse Teil der Datensammlung ist. Aus rechtlichen und logistischen Gründen werden aber keine Passwörter in dem Dienst gespeichert. Sollte sich die eigene Adresse in dem Datensatz befinden, sollte das dazugehörige Passwort umgehend geändert werden. Um sich allgemein vor Passwortklau auf Webseiten zu schützen, sollten Passwörter nur in Passwort-Felder auf den Seiten eingegeben werden. Außerdem sollte für jede Webseite ein anderes Passwort genutzt werden. Viele machen den Fehler und benutzen ein und dasselbe Passwort für zahlreiche Webseiten und Dienste und machen es Hackern damit sehr einfach an sensible Daten zu gelangen.
Tipps für ein gutes Passwort
- Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können. Hierfür gibt es unterschiedliche Hilfsstrategien: Der eine merkt sich einen Satz und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5-6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort.
- Grundsätzlich gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein.
- Bei Verschlüsselungsverfahren für WLAN wie zum Beispiel WPA und WPA2 sollte das Passwort beispielsweise mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren.
- Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…). Manche Anbieter von Onlinediensten machen technische Vorgaben für die verwendbaren bzw. zu verwendenden Zeichen. Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese eventuell nicht eingegeben werden können.
- Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen. Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie "asdfgh" oder "1234abcd" bestehen. Manche Anbieter gleichen Passwörter gegen eine sogenannte "black list" ab, in der genau solche nicht geeigneten Passwörter hinterlegt sind. Möchte man sie nutzen, erhält man einen Hinweis, dass das Passwort in dieser Form nicht zugelassen wird bzw. nicht sicher ist.
- Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert.
- Wichtige Passwörter sollten in regelmäßigen Abständen geändert werden.
Weitere Sicherheits-Tipps haben wir für Sie auf raiffeisen.net zusammengefasst.
(Quellen: SecurityInsider, BSI)
