Anfang der Woche machten führende Webmail-Anbieter wegen gehackter Passwörter Schlagzeilen. Schuld daran sind nicht nur clevere Phishing-Tricks, sondern auch weit weniger clevere PC-Nutzer: Das häufigste Passwort ist Analysen zufolge 123456. Wir zeigen, wie es besser geht.
Das Gros der Passwörter, die von diversen Web-Mail-Anbietern wie Hotmail, Google oder Yahoo Mail in kriminellen Zirkeln kursieren, ist offenbar per E-Mail-Phishing erschlichen worden. In den letzten Tagen meldeten sich jedoch immer mehr Security-Experten zu Wort, die glauben, dass dies nicht die einzige Quelle sei: Passwort-Diebe müssten sich ihre Beute oft gar nicht erhacken oder mit gewieften Phishingseiten ertricksen. Gerade bei gezielten Attacken reiche es oft, in das Facebook-Profil einer Zielperson zu sehen: Nach wie vor beweisen PC-Nutzer eine erschütternde Fantasielosigkeit, wenn sie sich Passwörter ausdenken.
So gehören zu den häufigsten Passwörtern die Namen von Lebenspartnern, Kindern oder Haustieren. Sehr beliebt ist auch die Gedächtnis-Ressourcen schonende Marotte, ein einheitliches Passwort für alle möglichen Web-Accounts vom E-Mail-Postfach über das Social-Network-Login bis hin zum Amazon- oder Ebay-Account zu nutzen. Spätestens dann wird die Sache haarig, denn dort kann man mit Usernamen und Passwort des Konteninhabers bewaffnet nach Herzenslust einkaufen - und sich die Ware als Geschenk verpackt nach Sonstwohin schicken lassen, wenn man will.
Doch selbst die gezielte Recherche nach Passwörtern kann sich der gemeine Web-Kriminelle oft einfach sparen, was auch der aktuelle Fall einmal mehr zeigt: Zum Knacken der Accounts hätte den Phishern offenbar auch das Ausprobieren diverser gängiger Vornamen, Tasten- oder Zahlenfolgen gereicht. Es gibt Scripte, die genau das tun und dafür sorgen, dass es auf dem Schwarzmarkt für geknackte Konten stets frische Ware gibt. Nach Analysen des Securityunternehmens Acunetix zielte die Hotmail-Phishing-Attacke offenbar vornehmlich auf Amerikaner hispanischer Herkunft - was sich an den Vornamen zeigt, die in den Top 20 der meistbenutzten geknackten Passwörter zu finden sind (siehe Kasten linke Spalte).
Es gibt einfache Regeln, die Sicherheit schaffen
In sicherheitstechnischer Hinsicht ein Witz sind aber vor allem die Passwörter, die einfach durch "Tippketten" entstehen: "QWERTZU" ist hier ein Beispiel, das man sich so leicht merken wie knacken kann. Oder lieber UZTREWQ?
Unter den Opfern der Hotmail-Attacke waren Zahlen beliebter als Buchstaben: "123456" findet sich in den Analysen als meistbenutztes Passwort, "12345678" kommt auf den zweiten Platz - da kann man es auch gleich ganz lassen, seinen Account per Passwort zu schützen. Übrigens: Als Passwort einfach den Login-Namen zu nutzen, kommt aufs selbe hinaus.
Solche Analysen sind Wasser auf die Mühlen von Security-Experten, die der Meinung sind, am Ende sei fast immer der Nutzer schuld an seinem Unglück. Verständlich ist das, denn es gibt einfache Regeln für Passwörter, die alle das Knacken erheblich erschweren:
* lange Passwörter sind sicherer als kurze
* die Kombination von Buchstabenfolgen und Zahlen schafft mehr Sicherheit
* kryptische Passwörter sind besser als echte Wörter oder Namen
* nicht aussprechbare Konsonantenfolgen sind schwerer zu erraten als aussprechbare Kunstworte: "Krtw657qackg" ist besser als "Pulensumf912"
* Merksätze helfen, sich kryptische Passwörter zu merken: "Meine Mutter kam 58 aus Wuppertal, Heirat 61" ergibt dann MMK58AWH61
* Nutzen Sie auch Sonderzeichen, wo das erlaubt und möglich ist
* Benutzen Sie für jeden Account ein anderes Passwort. Führen Sie Buch darüber (Notizbuch), aber lagern Sie diese Notizen nicht in der Nähe des Rechners, sondern an einem sicheren Ort
* Als technisches Hilfsmittel gibt es Passwort-Generatoren (siehe Linkverzeichnis in der linken Spalte). Sie spucken auf Anfrage wirklich willkürliche Zeichenfolgen aus: i8gdb"r[e4o ist ein Elf-Zeichen-Passwort mit Sonderzeichen und Zahlen. Der Nachteil: So etwas ist sehr schwer zu merken
* Ändern Sie Ihre Passwörter für wichtige Accounts jedes Quartal.
All das schafft Sicherheit, schützt aber nie völlig davor, Opfer eines Passwort-Hacks zu werden. Man sollte sich darüber im Klaren sein und nur so viel Wichtiges oder Vertrauliches online kommunizieren oder speichern wie unbedingt nötig. Das größte Sicherheitsrisiko online ist tatsächlich die überbordende Mitteilungsfreude. Es gibt viele Menschen, die bei Facebook und Co Intimitäten weltweit veröffentlichen, die sie ihren Nachbarn und Freunden Auge in Auge nicht erzählen würden.
Bei online abgewickelten Finanzgeschäften lässt es sich nicht vermeiden, das Daten übermittelt werden, die man missbrauchen kann. Hier sollte man grundsätzlich die höchste vom Anbieter angebotene Sicherheitslösung nutzen, beim Banking bietet das mTan-Verfahren einen zusätzlichen Schutz. Wer ausschließen will, per Keylogger oder Trojaner beim Banking "belauscht" zu werden, kann für das Banking eine Linux-Live-CD (z.B. Knoppix) nutzen, die stets ein sauberes Betriebssystem anbietet und gegen Attacken gefeit ist, die gegen Windowsrechner gerichtet sind. Linux-Live-CDs gibt es regelmäßig als Beileger in der Magazinpresse, Knoppix auch als kostenlosen Download.
Den höchsten Grad der Online-Sicherheit erreicht man dann, wenn man auch dann nichts Wichtiges, Geldwertes oder Peinliches preisgibt, wenn ein Account einmal geknackt werden sollte. Und für die wirklich wichtigen Dinge gibt es für Privatanwender kostenlose, aber hochgradig sichere Verschlüsselungsmethoden wie Pretty Good Privacy (PGP): Die 30-Tage-Testversion enthält einen E-Mail-Verschlüsseler, der auch nach Ablauf der Testphase für private Zwecke kostenlos weiter genutzt werden darf.
http://www.spiegel.de/netzwelt/web/0,1518,654144,00.html
Абонамент за:
Коментари за публикацията (Atom)
Няма коментари:
Публикуване на коментар