Gehackte Logins und sichere Passwörter

Immer wieder hört man, dass Hacker in ein System eingedrungen sind und Nutzerdaten gestohlen haben, alleine bei Linkedin z. B. knapp 165 Millionen Nutzerkonten. Aber da fängt es erst an, denn die Liste an gehackten Diensten ist lang, derartig lang, dass es gut möglich ist, dass man über solche Hacks nicht nur in den Nachrichten liest, sondern selbst tatsächlich davon betroffen ist. Was passiert eigentlich mit diesen gestohlenen Daten?

Sie werden entweder direkt in Listen veröffentlicht oder über Datenhändler verkauft. Die E-Mailadressen kommen z. B. auf Listen, die Spamversender billig kaufen können und, daran hat man vielleicht nicht gedacht, die Passwörter kommen in Datenbanken, die man beim Versuch, irgendwo einzudringen, abrufen und abarbeiten kann. Besonders ungünstig ist es, wenn man aus lauter Verzweiflung über all die PINs, PUKs und Logins, die man sich heute merken soll, überall das gleiche Passwort einsetzt, oder, viel schlimmer noch, Auslieferungspasswörter in Geräten einfach stehen lässt, denn auch diese können Hacker in Internetlisten bequem nachlesen.

Bekommen Sie in letzter Zeit mehr Spam-E-Mails? Dann ist Ihnen genau das wahrscheinlich passiert! Wie aber kann man sich einigermaßen sicher sein, dass es an einem solchen Hack liegt? Troy Hunt, ein Regionaldirektor bei Microsoft und Sicherheitsexperte hat eine Webseite aufgelegt, in der man seine E-Mailadresse mit einer Datenbank mit den bekannten Hacks abgleichen lassen kann. Wenn Sie viel Spam-Mails bekommen, obwohl Sie mit Ihrer E-Mailadresse sorgsam umgegangen sind, könnte das Ergebnis z. B. so aussehen:


2012 sind Hacker bei dem beliebten Dienst Dropbox eingedrungen und haben sich die Daten von über 68 Millionen Nutzern geschnappt, darunter auch die abgefragte E-Mailadresse samt Passwort. Das ist noch lange kein Rekord, denn allein bei Myspace waren es knapp 360 Millionen Nutzerkonten! 

Dieses Passwort sollten Sie auf der Stelle ändern, und zwar in allen Instanzen, in denen Sie es einsetzen. Auch für die E-Mailadresse gibt es wenig Hoffnung, denn vermutlich sehen Sie nur die Spam-Mails, die diverse Spamfilter durchgelassen haben und in Wirklichkeit steht Ihre Adresse auf ungezählten Spamlisten in aller Welt und wird von immer klügeren Algorithmen in Massen-Emails eingesetzt, die Spamfilter immer effizienter austricksen. Wenn man einmal darauf steht, kommt man von diesem Spamlisten kaum mehr herunter und es hilft nur eines und das ist, auf eine neue E-Mailadresse umzusteigen. Vielleicht könnte man ihre Nutzung auch bis auf eine sogenannte „Whitelist“ komplett blocken, aber dann ist man unerreichbar für jeden, der nicht auf dieser Liste steht. Deshalb ist es auch eine gute Idee, sich von vornherein eine zweite E-Mailadresse zuzulegen, die man für Logins im Internet verwendet und auf seine private E-Mail weiterleitet. So ist das Risiko, dass die private E-Mailadresse auf einer Spamliste erscheint, gering und wenn man einmal die Zweit-E-Mail ändern muss, tut es nicht weh.

Damit der Verlust eines Logins nicht im Chaos mündet, sollte man folgende Regeln beachten:

  1. Für jeden Login ein eigenes Passwort setzen!
  2. Passwörter, wie 12345 oder wertzu unbedingt meiden! Auch Namen und Geburtsdaten werden von Hackern als Erstes getestet.

Allgemein für relativ sicher werden Passwörter gehalten, die sich aus Sätzen zusammensetzen, die man sich leicht merken kann. Zum Beispiel „Ich finde den BiteBlog gut!“ ergibt „IfdBBg!“. Damit es leichter wird, für jeden Dienst ein eigenes Passwort zu setzen, an das man sich dennoch erinnern kann, kann man Variable einsetzen, die z. B. den Dienst selbst enthalten, wie im obigen Beispiel gezeigt. Das passende Facebook Login könnte dann sein „IfFBg!“ für „Ich finde Facebook gut!“, wobei hier die sechs Stellen auch nicht unterschritten werden sollten, denn kurze Passwörter können mit blanker Rechenpower (brute force) geknackt werden. 

Im Grunde hat man also immer den gleichen Satz, aus dem Buchstaben in einer Reihenfolge entstehen, an die man sich nicht erinnern muss, so lange man den Algorithmus dafür im Kopf hat. Das Ganze lässt sich noch sicherer gestalten, indem man eine zweite Variable einführt, mit der man z. B. das Wort „gut“ im Beispiel ersetzt. Vielleicht eine Bewertung , z.B. „gut, durchschnittlich oder schlecht“. Oder man gibt Noten, auf einer Skala von 1-3 oder 1-5, solange man sich daran erinnern kann, wie gerne man einen Dienst mag. Dann könnte für Facebook z. B. das Passwort „mBfFB=3“ herauskommen, wenn mein Satz lautet „meine Bewertung für Facebook ist drei“ und bei Twitter „mBfT=2“ und die Sparkasse „mBfdSK=1". Das wird für eine außenstehende Person, die meinen Satz nicht kennt und obendrein nicht weiß, was ich von der Seite, um deren Login es geht, halte, schon sehr schwer zu knacken sein und dennoch sperre ich mich nicht selbst vor lauter Sorge um meine Sicherheit aus!

© Rainer Schöttl 2018           Impressum          Datenschutz